Chống SQL injection hiệu quả cho WordPress với file .htaccess.
Nếu bạn chưa biết thì SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL “độc hại” một cách bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác như xóa, chèn, cập nhật… trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy.
Tham khảo thêm:
- Giới hạn IP đăng nhập vào WordPress Admin với file .htaccess
- Đặt password cho thư mục bằng cách sử dụng file .htaccess
SQL injection thường xảy ra trên các ứng dụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase… và WordPress là một trong những “nạn nhân” phổ biến.
Làm thế nào để bảo vệ website WordPress của bạn chống lại SQL injection? Nếu bạn đang sử dụng hosting hoặc VPS có webserver Apache, LiteSpeed thì ngay sau đây là giải pháp hữu hiệu giúp bạn làm điều đó.
Chống SQL injection hiệu quả với file .htaccess
1. Mở file .htaccess trong thư mục gốc của WordPress ra và thêm đoạn code sau đây vào trong.
## SQL Injection Block ##
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|ê|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]2. Lưu lại và thưởng thức kết quả. Tất cả chỉ đơn giản như vậy thôi nhưng sẽ giúp bạn chống được phần lớn các phương thức tấn công SQL injection. Chúc các bạn thành công!
Bạn biết phương pháp khác hiệu quả hơn để chống SQL injection cho WordPress? Hãy chia sẻ nó với chúng tôi trong khung bình luận bên dưới.
Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều. :)
Cái đoạn ## SQL Injection Block ## dùng để ghi chú phải ko nhỉ?
Mà code này áp dụng cho tất cả website sử dụng Wordpress phải ko bạn?
Đúng rồi bạn. Mình không chắc chắn việc nó có tương thích với tất cả các website hay không. Bạn có thể thử, nếu lỗi hoặc xung đột gì đó thì chỉ cần xóa code đi là xong mà. :)
Chào anh Hiếu.
Nhờ anh Hiếu hướng dẫn giúp cách tìm file htaccess trên host, mình có tìm thấy đường dẫn và rất nhiều tệp có tên như vậy, nhưng khi tìm đến thì không thấy tệp tin đó đâu, có phải nó đang ẩn…?
Cảm ơn anh.
Bạn tham khảo bài viết “Hiển thị file htaccess trong cPanel một cách đơn giản” nhé. :P
Dùng rocket mà clear cache là mất :D
Làm gì có chuyện đó nhỉ? Cache của WP Rocket thì liên quan gì đến file .htaccess đâu? :O
code gì đâu? ????
Bạn đang dùng trình duyệt gì mà không nhìn thấy code vậy? Thử reload xem. :P
chrome và cốc cốc không hiển thị :P
Đù. Là do tài khoản GistHub tự nhiên bị ẩn nên code không hiện. =.=! “One of our mostly harmless robots seems to think you are not a human. Because of that, it’s hidden your profile from the public. If you really are human, please contact support to have your profile reinstated. We promise we won’t require DNA proof of your humanity.”. Điên quá!
mà sao mình cài cái bình luận FB vào site không hiển thị nhở? :9 tới đoạn ấn “Debug” rồi ấn nút “Fetch new scrape information” là không thấy nút Fetch new scrape information đâu .
“Fetch new scrape information”. Cái này là dành để khắc phục lỗi không hiển thị ảnh khi chia sẻ link lên FB mà. :P Bạn chèn bằng plugin hay code trực tiếp vào theme? :P
Chèn = code trong theme , :((
Thử dùng plugin xem. Có thể do bạn chèn chưa đúng cách đó thôi. :P
Hơ, làm theo đúng trên hd google mà :(( plugin thì dùng oke có mình hạn chế plugin
Hiển thị lại rồi nhé. Cứ phải gửi mail chửi cho thì bọn nó mới chịu mở lại tài khoản. Hehe. :P
Có thể dùng được cho các mã nguồn khác không ạ
Mình chưa thử. Nhưng tối ưu nhất cho WordPress bạn ạ. :P
trang này có menu ngang luôn theo cuộn trang hay vậy?
Cái này gọi là Sticky Menu hoặc Sticky Header bạn nhé. :P
hi ad nếu mình áp dụng cho blogspot thì làm thế nào đc đây ad? blog mình có thể làm giống trang của ad đc không? www.dayhoclaixeoto.edu.vn
Vậy Thì Đối Với Nignx Thì Làm Thế NÀo Vậy Anh Hiếu?
Tự tìm cách convert từ .htaccess sang file config của NginX. :P
Klq mình cập nhật lên Yoast seo phiên bản mới nhất thì khi vào web hay bị lỗi trắng trang không biết Hiếu có bị không nhỉ :D
Không bị gì nhé. :P
e đang sài webserver Apache thì cũng làm như trên ạ ?
Áp dụng được cho Apache và LiteSpeed. :P
Thank you bác :)