Cấu hình HSTS cho blog/ website WordPress thông qua file .htaccess.
HSTS – viết tắt của HTTP Strict Transport Security – là một tính năng bảo mật cho phép blog/ website thông báo cho các trình duyệt chỉ nên giao tiếp bằng giao thức HTTPS an toàn thay vì HTTP. Bằng cách thêm một lá cờ (flag) vào phần header mà trình duyệt web nhận được khi gửi yêu cầu tới máy chủ, HSTS đảm bảo rằng tất cả kết nối sau đó tới một website được mã hóa bằng giao thức HTTPS và ngăn chặn hacker sử dụng chứng chỉ số không hợp lệ.
Theo một báo cáo được hãng bảo mật Netcraft công bố cách đây không lâu thì chỉ có khoảng 5% máy chủ web được cài đặt HSTS, đồng nghĩa với việc 95% còn lại sẽ đứng trước nguy cơ bị tấn công trong quá trình kết nối giữa server và client, kể cả khi chúng đã được cài đặt SSL.
Tham khảo thêm:
- Cài SSL cho WordPress trong nháy mắt với plugin Really Simple SSL
- Sửa lỗi SSL trong WordPress một cách đơn giản
- Kiểm tra mức độ tương thích của SSL với trình duyệt web
Vậy làm thế nào để cài đặt HSTS cho blog/ website của bạn nhằm khắc phục tình trạng trên? Bài viết hôm nay sẽ hướng dẫn bạn cách làm điều đó.
Cấu hình HSTS cho shared host
Nếu bạn đang sử dụng shared host chạy trên nền tảng web server Apache hoặc LiteSpeed, bạn hoàn toàn có thể cấu hình HSTS cho blog/ website của mình (đã cài đặt sẵn SSL và hoạt động với giao thức HTTPS) bằng cách thêm đoạn code sau vào trong file .htaccess của thư mục gốc:
Nếu bạn sử dụng SSL cho cả subdomain, hãy sử dụng đoạn code sau:
Và đừng quên thiết lập tự động redirect từ HTTP về HTTPS nhé. Nếu bạn chưa biết cách làm thế nào thì vui lòng tham khảo code trong bài viết “Hướng dẫn chuyển từ HTTP sang HTTPS không bị mất thứ hạng“.
Cấu hình HSTS cho server hoặc VPS
Server sử dụng nền tảng Apache
Thêm đoạn sau vào cấu hình trong Virtual Host trên port 443:
Nhớ thay x.x.x.x bằng IP server hoặc VPS của bạn.
Cũng đừng quên thiết lập redirect từ HTTP sang HTTPS trong cấu hình Virtual Host trên port 80:
Khởi động lại Apache.
Server sử dụng nền tảng NginX
Bổ sung đoạn code sau vào file cấu hình của NginX (ví dụ /etc/nginx/nginx.conf):
Khởi động lại NginX.
Kiểm tra HSTS
Để kiểm tra xem liệu blog/ website của bạn đã được cài đặt HSTS thành công hay chưa, bạn có thể truy cập Qualys SSL Labs, nhập địa chỉ blog/ website vào mục Hostname và click vào nút Submit. Đợi một lát cho quá trình kiểm tra hoàn tất. Nếu bạn nhận được thông báo như hình bên dưới thì có nghĩa là HSTS đã được thiết lập thành công.
Đơn giản vậy thôi. Bạn còn chần chừ gì nữa mà không thiết lập HSTS cho blog/ website của mình ngay lập tức để đảm bảo an toàn?
Mọi thắc mắc liên quan đến việc cấu hình HSTS cho blog/ website WordPress nói riêng và blog/ website nói chung, xin vui lòng gửi vào khung bình luận bên dưới để được hỗ trợ và giải đáp.
Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
Mình làm từ sáng đó bạn loay hoay mãi còn chả biết đúng không nữa
Trong phần nhật ky vps : từ ngày 12/8 đến hum nay. 1858 cuộc tấn công DDoS, Brute Force Attack.
Mình cài bảo mật ithemes security pro do bên bán cung cấp. User Security Check admin lúc nào cũng có 3 đến 4 người truy cập admin của mình từ nơi khác
Mình cài kasperky protection add chome : có 90 quảng cáo bị chặn. trong khi web mình không cài quảng cáo nào cả.
Mới hum trước web mình nó link chuyển đến web khác nữa chứ. ( Check google maste tool)
Không rành kỹ thuật thì chuyển qua dùng shared host đi bạn. Hoặc chọn bên nào có dịch vụ VPS Fully Managed ấy (nếu có điều kiện kinh tế hoặc nhu cầu về tài nguyên cao), Cloudways hoặc CyberHosting đều là những sự lựa chọn tốt.
Cảm ơn bạn : Mình sẽ suy nghĩ :)
Mới đầu mình vps gà lên gói vps pro có cài đặt sẵn mà :) + themer mua luôn
Cứ nghĩ cài xong chỉ việc up bài ai dè rắc rối quá.
Mình bỏ làm web từ 5 năm do nhiều vấn đề giờ làm lại thấy gà ghê :)
Hồi đó mình cũng mua vps nước ngoài làm site phim. web 250k còn chưa thấy lỗi bao giờ.
Giờ mua vps vn thấy ngu ngu sao ta . sập nên sập xuống. Nghĩ mà chán :~
Đạ ta