---
title: "Bảo mật WordPress hiệu quả bằng file .htaccess"
author: "Trung Hiếu"
date: "2014-12-04"
lastmod: "2022-06-19"
url: "https://wpcanban.com/wordpress/thu-thuat-wordpress/bao-mat-wordpress-bang-file-htaccess.html"
---

# Bảo mật WordPress hiệu quả bằng file .htaccess

Hướng dẫn bảo mật WordPress đơn giản và hiệu quả bằng file `.htaccess`.

![htaccess-for-wordpress-security](https://wpcanban.com/wp-content/uploads/2014/12/htaccess-for-wordpress-security.jpg)

Tôi thường sử dụng [Defender Security](https://wordpress.org/plugins/defender-security/) để tăng cường khả năng bảo mật cho các website của khách hàng. Trong đó, tôi phát hiện ra một tính năng khá thú vị của plugin này đó là tạo file `.htaccess` cho các thư mục nhạy cảm của [WordPress](https://wpcanban.com/category/wordpress) để ngăn chặn các tập tin `.php` (thường được hacker sử dụng) truy cập trái phép vào đây và ăn cắp dữ liệu. Tuy nhiên, các bạn cũng có thể tự tạo các file `.htaccess` này mà không cần sử dụng đến plugin Defender Security và bài viết này được sinh ra là nhằm mục đích hướng dẫn các bạn làm điều đó.

Tham khảo thêm:

- [Tổng hợp thủ thuật với file .htaccess trong WordPress](https://wpcanban.com/wordpress/thu-thuat-wordpress/tong-hop-thu-thuat-voi-file-htaccess-trong-wordpress.html)
- [Tăng tốc WordPress bằng cách sử dụng file .htaccess](https://wpcanban.com/wordpress/thu-thuat-wordpress/tang-toc-blog-wordpress-cua-ban-bang-cach-su-dung-htaccess.html)

## Bảo mật WordPress hiệu quả bằng file .htaccess

Lưu ý: hướng dẫn này chỉ dành riêng cho các web server hỗ trợ file .htaccess như Apache hoặc LiteSpeed và Open LiteSpeed.

Những thư mục được Defender Security khuyến cáo nên tạo file `.htaccess` để ngăn các tập tin `.php` truy cập trái phép bao gồm `/wp-includes/`, `/wp-content/` và `/wp-content/uploads/`. Các bạn có thể tạo file `.htaccess` ngay trên host bằng cách sử dụng chức năng tạo file mới của cPanel/ DirectAdmin hoặc tạo bằng NotePad trên máy tính rồi upload lên host, vào đúng thư mục tương ứng.

Với thư mục `/wp-includes/`, các bạn tạo file `.htaccess` với nội dung như sau:

```
<Files *.php>
Order allow,deny
Deny from all
</Files>
<Files wp-tinymce.php>
Allow from all
</Files>
<Files ms-files.php>
Allow from all
</Files>
Options All -Indexes
```

Còn đây là nội dung của file `.htaccess` dành cho thư mục `/wp-content/` và thư mục `/wp-content/uploads/`:

```
<Files *.php>
Order allow,deny
Deny from all
</Files>
Options All -Indexes
```

## Chặn truy cập file nhạy cảm

Thêm đoạn code sau đây vào cuối file `.htaccess` trong thư mục cài đặt WordPress (nằm ngang hàng với file `wp-config.php`):

```
<FilesMatch "\.(txt|md|exe|sh|bak|inc|pot|po|mo|log|sql)$">
Order allow,deny
Deny from all
</FilesMatch>
<Files robots.txt>
Allow from all
</Files>
<Files ads.txt>
Allow from all
</Files>
```

Việc này sẽ giúp ngăn chặn truy cập các file có đuôi txt, exe, sql… trong thư mục cài đặt WordPress, ngoại trừ các file [robots.txt](https://wpcanban.com/wordpress/thu-thuat-wordpress/mau-file-robots-txt-chuan-cho-blog-wordpress.html) và ads.txt (sử dụng bởi Google AdSense).

Xong, chỉ vài thao tác đơn giản như vậy thôi, nhưng đổi lại, website của bạn đã trở nên an toàn hơn rất nhiều so với trước. Chúc các bạn thành công!

*Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều.* :)