• WordPress
    • Thủ thuật WordPress
    • WordPress plugins
    • WordPress themes
    • Hosting và domain
  • Kiếm tiền
    • Google AdSense
    • Tiếp thị liên kết
    • Rút gọn link
  • Quà tặng
  • Khuyến mãi
  • Đánh giá
  • Dịch vụ
    • WordPress Hosting
    • Cài đặt WordPress
    • Quét mã độc WP
    • Tối ưu WordPress
    • Cài theme Paradise
  • Liên hệ

WP Căn bản

Thủ thuật WordPress và kiếm tiền online

wordpress-theme-tot-nhat

  • Bắt đầu
  • Thủ thuật WordPress
  • WordPress plugins
  • WordPress themes
  • Hosting và domain
  • Thông báo
Trang chủ » WordPress » Thủ thuật WordPress » Cấu hình HSTS cho blog/ website thông qua file .htaccess

Cấu hình HSTS cho blog/ website thông qua file .htaccess

13/02/2017 13/02/2017 Trung Hiếu 46 Bình luận

Mục lục

  • Cấu hình HSTS cho shared host
  • Cấu hình HSTS cho server hoặc VPS
    • Server sử dụng nền tảng Apache
    • Server sử dụng nền tảng NginX
  • Kiểm tra HSTS

Cấu hình HSTS cho blog/ website WordPress thông qua file .htaccess.

HSTS – viết tắt của HTTP Strict Transport Security – là  một tính năng bảo mật cho phép blog/ website thông báo cho các trình duyệt chỉ nên giao tiếp bằng giao thức HTTPS an toàn thay vì HTTP. Bằng cách thêm một lá cờ (flag) vào phần header mà trình duyệt web nhận được khi gửi yêu cầu tới máy chủ, HSTS đảm bảo rằng tất cả kết nối sau đó tới một website được mã hóa bằng giao thức HTTPS và ngăn chặn hacker sử dụng chứng chỉ số không hợp lệ.

Theo một báo cáo được hãng bảo mật Netcraft công bố cách đây không lâu thì chỉ có khoảng 5% máy chủ web được cài đặt HSTS, đồng nghĩa với việc 95% còn lại sẽ đứng trước nguy cơ bị tấn công trong quá trình kết nối giữa server và client, kể cả khi chúng đã được cài đặt SSL.

Tham khảo thêm:

  • Cài SSL cho WordPress trong nháy mắt với plugin Really Simple SSL
  • Sửa lỗi SSL trong WordPress một cách đơn giản
  • Kiểm tra mức độ tương thích của SSL với trình duyệt web

Vậy làm thế nào để cài đặt HSTS cho blog/ website của bạn nhằm khắc phục tình trạng trên? Bài viết hôm nay sẽ hướng dẫn bạn cách làm điều đó.

Cấu hình HSTS cho shared host

Nếu bạn đang sử dụng shared host chạy trên nền tảng web server Apache hoặc LiteSpeed, bạn hoàn toàn có thể cấu hình HSTS cho blog/ website của mình (đã cài đặt sẵn SSL và hoạt động với giao thức HTTPS) bằng cách thêm đoạn code sau vào trong file .htaccess của thư mục gốc:

Nếu bạn sử dụng SSL cho cả subdomain, hãy sử dụng đoạn code sau:

Và đừng quên thiết lập tự động redirect từ HTTP về HTTPS nhé. Nếu bạn chưa biết cách làm thế nào thì vui lòng tham khảo code trong bài viết “Hướng dẫn chuyển từ HTTP sang HTTPS không bị mất thứ hạng“.

Cấu hình HSTS cho server hoặc VPS

Server sử dụng nền tảng Apache

Thêm đoạn sau vào cấu hình trong Virtual Host trên port 443:

Nhớ thay x.x.x.x bằng IP server hoặc VPS của bạn.

Cũng đừng quên thiết lập redirect từ HTTP sang HTTPS trong cấu hình Virtual Host trên port 80:

Khởi động lại Apache.

Server sử dụng nền tảng NginX

Bổ sung đoạn code sau vào file cấu hình của NginX (ví dụ /etc/nginx/nginx.conf):

Khởi động lại NginX.

Kiểm tra HSTS

Để kiểm tra xem liệu blog/ website của bạn đã được cài đặt HSTS thành công hay chưa, bạn có thể truy cập Qualys SSL Labs, nhập địa chỉ blog/ website vào mục Hostname và click vào nút Submit. Đợi một lát cho quá trình kiểm tra hoàn tất. Nếu bạn nhận được thông báo như hình bên dưới thì có nghĩa là HSTS đã được thiết lập thành công.

Đơn giản vậy thôi. Bạn còn chần chừ gì nữa mà không thiết lập HSTS cho blog/ website của mình ngay lập tức để đảm bảo an toàn?

Mọi thắc mắc liên quan đến việc cấu hình HSTS cho blog/ website WordPress nói riêng và blog/ website nói chung, xin vui lòng gửi vào khung bình luận bên dưới để được hỗ trợ và giải đáp.

Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)

Bài viết liên quan

Chuyên mục: Thủ thuật WordPress Thẻ: Bảo mật WordPress, HSTS, SSL

dich-vu-cai-dat-website-wordpress-mien-phi

Tác giả: Trung Hiếu

Một người con của xứ Nghệ, hiện đang sinh sống tại Hà Nội. Theo dõi tôi trên Facebook để cập nhật những tin tức mới nhất liên quan đến WordPress nhé.

Previous Post: « Theme Paradise v4.2 chính thức ra mắt, hỗ trợ WooCommerce
Next Post: Tải có điều kiện các file JS và CSS của plugin WooCommerce »

Reader Interactions

Bình luận

    Trả lời Hủy

    Lưu ý:
    > Không sử dụng từ khóa trong mục "Tên".
    > Hãy sử dụng tên thật và địa chỉ email chính xác.
    > Vui lòng bình luận bằng tiếng Việt có dấu.
    Mọi bình luận trái quy định sẽ bị gỡ bỏ link hoặc xóa bỏ hoàn toàn.

  1. Thanh đã bình luận:

    25/04/2019 at 12:03

    Mình dùng cách Cấu hình HSTS cho shared host
    Mình cho code vào cuối file .htaccess
    và kiểm tra = cả Security Headers và Qualys SSL Labs
    Nhưng vẫn không ra kết quả A và A+
    Mình có dùng plugin jetpack và Sucuri
    Mong bạn có thể giúp đỡ

    Trả lời
    • Trung Hiếu đã bình luận:

      25/04/2019 at 12:06

      Site của bạn đang chạy CloudFlare thì phải bật tính năng HSTS trong tab Crypto của CloudFlare ấy.

      Trả lời
      • Thanh đã bình luận:

        25/04/2019 at 12:19

        Mình không biết cấu hình mục HSTS (Strict-Transport-Security) sao cho hợp lý. mong bạn giúp đỡ

        Trả lời
      • Thanh đã bình luận:

        25/04/2019 at 12:32

        Mình cấu hình theo bài viết
        Cài đặt CloudFlare SSL miễn phí cho website WordPress
        của bạn rồi. Chúc bạn 1 ngày vui vẻ. Cảm ơn nha

        Trả lời
  2. Đào Anh đã bình luận:

    27/09/2017 at 18:17

    Cho mình hỏi đoạn code: includeSubDomains; preload” env=HTTPS
    Chỉ dùng nó cho web subdomain hay là cho cả domain chính ??
    domain chính và subdomain có đoạn code .htaccess này giống hay khác nhau ??

    Xin cảm ơn.

    Trả lời
    • Trung Hiếu đã bình luận:

      28/09/2017 at 15:35

      Bạn chỉ cần chèn vào domain chính là nó sẽ có hiệu lực cho cả domain chính lẫn subdomain nhé. :P

      Trả lời
      • Đào Anh đã bình luận:

        29/09/2017 at 08:34

        Yêu cạ thương :)))) Cảm ơn bác Hiếu nhiều nhé
        Thảo nào, trước cứ thấy vào subdomain bị chầm chậm lần đầu

        Trả lời
  3. Mai nam đã bình luận:

    23/05/2017 at 00:51

    Đã lên A+ chỉ sau 3 phút, Cám ơn Hiếu nha.

    Trả lời
  4. NGUYEN THAI HIEN đã bình luận:

    27/03/2017 at 16:54

    Bị -A dù cái và có cái trên. Giúp với. Lỗi thông báo như sau:
    The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.
    https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-deploying-forward-secrecy

    Trả lời
    • Trung Hiếu đã bình luận:

      27/03/2017 at 16:56

      Link web của bạn là gì? :P

      Trả lời
      • NGUYEN THAI HIEN đã bình luận:

        27/03/2017 at 16:56

        chuyenlacothat.org

        Trả lời
        • Trung Hiếu đã bình luận:

          27/03/2017 at 17:05

          Site này chạy trên hosting hay VPS? Lúc cài SSL bạn có tạo Private Key không? Hay tạo thẳng CSR luôn? :P

          Trả lời
  5. Clean Aplite đã bình luận:

    20/03/2017 at 10:43

    Đã lên A+ chỉ sau 3 phút, Cám ơn Hiếu nha. Mong là Website sẽ không bị tấn công nữa!

    Trả lời
  6. Vy Spirit đã bình luận:

    18/03/2017 at 13:23

    Tự nhiên hôm nay mình kt lại thì ko thấy A+ nữa, vô .htaccess xem thì mất dòng code đã chèn. Cài lại thì ok :D

    Trả lời
  7. Văn Luận đã bình luận:

    10/03/2017 at 23:08

    Hình như phải mua phải k bạn

    Trả lời
    • Trung Hiếu đã bình luận:

      11/03/2017 at 07:31

      Bạn comment mà hình như không thèm đọc qua bài viết thì phải? Có chữ nào trong bài viết bảo HSTS phải mua không bạn? :P

      Trả lời
  8. Nguyễn Thanh Bình đã bình luận:

    24/02/2017 at 22:54

    È hèm, anh Hiếu đẹp troai hay đăng lên Facebook đây rồi !

    Trả lời
  9. thuy phuong đã bình luận:

    22/02/2017 at 19:59

    Không thấy code đâu nữa cả bạn ơi,
    http://prntscr.com/ebzh0g

    Trả lời
    • Trung Hiếu đã bình luận:

      22/02/2017 at 20:45

      Bạn đang dùng trình duyệt gì vậy? F5 thử xem. Mình xem trên điện thoại vẫn thấy bình thường mà. :)

      Trả lời
  10. Mộc Gin đã bình luận:

    18/02/2017 at 15:36

    Lê A+ luôn, còn cái nào làm nốt đi ạnh, cho full 100 cả :)

    Trả lời
    • Vy Spirit đã bình luận:

      18/02/2017 at 19:42

      Web cậu load cũng đã ghê :D

      Trả lời
      • Đạo tặc Comment đã bình luận:

        18/02/2017 at 22:18

        Của mình còn chậm lắm, tội không biết fix nốt mấy lỗi còn lại :D

        Trả lời
        • Trung Hiếu đã bình luận:

          19/02/2017 at 09:29

          Nhiều lúc không phải cứ nhất nhất làm theo chỉ dẫn của các công cụ test tốc độ là đúng đâu bạn. Còn phải dựa theo trải nghiệm thực tế nữa. Ví dụ mình tối ưu điểm max 100/100 của cả 3 công cụ là Google PageSpeed Insights, GTMetrix và Pingdom thì quá đơn giản. :D

          Trả lời
  11. dong đã bình luận:

    18/02/2017 at 04:24

    web mình không làm vẫn đc A+, có nên làm nữa không hè :D

    Trả lời
    • Trung Hiếu đã bình luận:

      18/02/2017 at 08:17

      Không có lý do gì để không làm bạn ạ. :P

      Trả lời
  12. Đào Văn tiến đã bình luận:

    16/02/2017 at 14:08

    đúng là thứ em đang cần tìm đây rùi cám ơn anh nhiều nhé. cám ơn anh nhiều

    Trả lời
  13. CGTricks đã bình luận:

    14/02/2017 at 12:19

    Cảm ơn những kiến thức rất có ích từ WP Căn bản. Luôn theo dõi và ủng hộ Hiếu :D

    Trả lời
  14. NgocBlue đã bình luận:

    14/02/2017 at 11:43

    Thực ra là đọc không hiểu lắm đâu, nhưng vẫn cứ cài :D.

    Trả lời
    • Trung Hiếu đã bình luận:

      14/02/2017 at 11:49

      Cài đi. Không thiệt đâu. :D

      Trả lời
    • Trung Hiếu đã bình luận:

      14/02/2017 at 11:51

      Cứ làm đi. Chỉ có lợi chứ không có hại đâu. :D

      Trả lời
      • NgocBlue đã bình luận:

        14/02/2017 at 11:57

        Thì trước giờ đọc wpcanban thấy bảo cài gì là đều cài hết :))

        Trả lời
  15. Kien đã bình luận:

    14/02/2017 at 10:30

    Đã thêm và lên A+, cảm ơn Hiếu!
    Nếu một website thêm cái này khi chưa thiết lập tự động redirect từ HTTP về HTTPS thì có báo lỗi gì không nhỉ?

    Trả lời
    • Trung Hiếu đã bình luận:

      14/02/2017 at 10:40

      Mình chưa thử nên không rõ. Trước giờ cứ cài SSL là mặc định thiết lập redirect từ HTTP sang HTTPS để không ảnh hưởng đến SEO và vấn đề truy cập của khách hàng. :D

      Trả lời
  16. Ngô Văn Cẩn đã bình luận:

    14/02/2017 at 00:03

    sao e thêm vào /etc/nginx/nginx.conf vào check vẫn không ra kết quả nhỉ :3
    http://sv1.upsieutoc.com/2017/02/13/Capture94eac.png

    Trả lời
    • Trung Hiếu đã bình luận:

      14/02/2017 at 08:23

      Xóa cache các kiểu chưa? Kiểm tra xem có bị conflict với code nào khác trong file config không? :D

      Trả lời
      • Ngô Văn Cẩn đã bình luận:

        14/02/2017 at 11:09

        vẫn vậy a à :3

        Trả lời
  17. Tịnh Nguyễn Blog đã bình luận:

    13/02/2017 at 14:07

    Hông biết các thế lực đen tối hắc blog mình lúc nào, thêm được mẹo bảo mật nào thì đở thêm chút đó. Chia sẻ này ngon nè, tớ đã làm và thành công.

    Có bác nào chưa biết thư mục gốc là thư mục nào không ? Có 2 file .htaccess luôn đó.

    Trả lời
    • Trung Hiếu đã bình luận:

      13/02/2017 at 14:15

      Không phải là có 2 file .htaccess mà chỉ có 1 thôi. File còn lại là file backup của nó. File backup của file .htaccess thường được tạo ra khi bạn cài đặt plugin gì đó có can thiệp code vào file .htaccess. Nó cũng có thể được tạo ra bởi Let’s Encrypt. :P

      Trả lời
      • Tịnh Nguyễn Blog đã bình luận:

        13/02/2017 at 14:25

        Ò ò, tớ cũng không biết vụ backup này nữa, nội dung trong 2 file khác nhau hoàn toàn (hôm trước làm ẩu sửa lộn cái file đó >> web đứng hình wp-admin).
        Host mình có một file trong Home . Còn một file thứ 2 trong ” public_html ” (thư mục con của Home) thì lâu nay vẫn xài và thực hiện trên file thứ 2 này (file này lỗi thì nó đứng hình toàn bộ web).

        Trả lời
        • Trung Hiếu đã bình luận:

          13/02/2017 at 14:29

          Nếu là file .htaccess của thư mục /home/ thì đừng động vào. Chỉ chỉnh sửa những file .htaccess nằm trong thư mục /public_html/ và các thư mục con của nó thôi. :P

          Trả lời
          • Tịnh Nguyễn Blog đã bình luận:

            13/02/2017 at 15:29

            Trời quơi, lúc đó đang lên cơn ngu người nên xóa banh nó rồi. Khóc hết nước mắt luôn đó chứ, may mà sau đó đã sớm lấy lại được vẻ đẹp zai :p

  18. Vy Spirit đã bình luận:

    13/02/2017 at 12:52

    Hay ghê, cảm ơn bạn :D
    Web mình chưa thêm code thì chỉ đc hạng A mà thêm xong check lại thì lên A+ :D

    Trả lời
    • Trung Hiếu đã bình luận:

      13/02/2017 at 12:55

      Site của mình cũng thế. :D Ban đầu A. Cài thêm HSTS thì lên A+. :D

      Trả lời
      • PHương đã bình luận:

        30/04/2019 at 21:56

        Lên A+ Là kiểm tra bằng cái gì lên A+ vậy các bạn

        Trả lời
        • Trung Hiếu đã bình luận:

          30/04/2019 at 21:58

          Trong bài viết mình có để link công cụ test rồi mà bạn. Bạn đọc kỹ lại sẽ thấy nhé.

          Trả lời
          • PHương đã bình luận:

            01/05/2019 at 10:53

            OK mình thấy rồi, thanks nha. Đã kiểm tra lên A+

Primary Sidebar

NHẬN BÀI VIẾT QUA EMAIL

Hãy đăng ký ngay để là người đầu tiên nhận được thông báo qua email mỗi khi chúng tôi có bài viết mới!

Theo dõi qua mạng xã hội

Dịch vụ WordPress Hosting

dich-vu-wordpress-hosting-gia-re-tot-nhat

Bạn đang tìm gì?

  • WordPress căn bản
  • Bảo mật WordPress
  • Tăng tốc WordPress
  • Sửa lỗi WordPress
  • Thủ thuật Genesis
  • Thủ thuật SEO

Dịch vụ tối ưu WordPress

dich-vu-toi-uu-website-wordpress-chat-luong-cao

Bài viết mới nhất

  • Google Site Kit có thực sự cần thiết cho website của bạn? 18/11/2019
  • Hạ cấp WordPress về phiên bản cũ một cách đơn giản 13/11/2019
  • Lazyload hình ảnh với plugin chính thức từ Google 06/11/2019
  • Hướng dẫn đổi tên miền không mất thứ hạng tìm kiếm 20/10/2019
  • Ẩn bài viết trong WordPress một cách đơn giản 08/10/2019
  • Chèn nút like Facebook vào bài viết trên website WordPress 10/09/2019

Dịch vụ quét mã độc miễn phí

quet-ma-doc-mien-phi-cho-website

Footer

Bình luận mới nhất

  • Duẩn Hoàng trong Google Site Kit có thực sự cần thiết cho website của bạn?
  • Trung Hiếu trong Hướng dẫn cài LiteSpeed Cache cho WordPress một cách đơn giản
  • Thanh mộc hương trong Google Site Kit có thực sự cần thiết cho website của bạn?
  • Dat Nguyen trong Hướng dẫn cài LiteSpeed Cache cho WordPress một cách đơn giản

Bình luận nhiều nhất (tháng)

  1. Dat Nguyen (2)
  2. Du Dang (2)
  3. Duẩn (2)
  4. Mai Xuân Tiến (2)
  5. Phong Thần Thánh (2)
  6. Thanh Tuyền (2)

Liên kết và Đối tác

  • Quy định sử dụng
  • Chính sách bảo mật
  • Bản quyền nội dung
  • Canh Me

Thống kê WP Căn bản

10 Chuyên mục - 928 Bài viết - 34275 Bình luận

Bản quyền © 2014 - 2019 · WP Căn bản · Sử dụng Paradise child theme và dịch vụ WordPress Hosting