• Trang chủ
  • WordPress
    • Thủ thuật WordPress
    • WordPress Plugins
    • WordPress Themes
  • Hosting và Domain
  • Kiếm tiền
  • Đánh giá
  • Khuyến mãi
  • Thông báo
  • Giới thiệu
  • Liên hệ

WP Căn bản

Kiến thức căn bản cho người dùng WordPress

paradise-child-theme-wordpress-theme-tot-nhat
  • Dịch vụ WordPress Hosting
  • Dịch vụ tối ưu WordPress
  • Dịch vụ quét mã độc WordPress
  • Mua Paradise child theme
Trang chủ » WordPress » Thủ thuật WordPress » Chống SQL injection hiệu quả cho WordPress với file htaccess
hosting-tot-nhat-danh-cho-wordpress

Chống SQL injection hiệu quả cho WordPress với file htaccess

Cập nhật: 22/02/2018 Trung Hiếu 28 Bình luận

Mục lục Hiện
  • 1. Chống SQL injection hiệu quả với file htaccess

Chống SQL injection hiệu quả cho WordPress với file htaccess.

chong-sql-injection-hieu-qua-cho-wordpress-voi-file-htaccess

Nếu bạn chưa biết thì SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL  “độc hại” một cách bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác như xóa, chèn, cập nhật… trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy.

Tham khảo thêm:

  • Bảo mật WordPress bằng file htaccess
  • Giới hạn IP đăng nhập vào WordPress Admin với file htaccess
  • Đặt password cho thư mục bằng cách sử dụng file htaccess

SQL injection thường xảy ra trên các ứng dụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase… và WordPress là một trong những “nạn nhân” phổ biến.

Làm thế nào để bảo vệ blog/ website WordPress của bạn chống lại SQL injection? Nếu bạn đang sử dụng hosting hoặc VPS có webserver Apache, LiteSpeed thì ngay sau đây là giải pháp hữu hiệu giúp bạn làm điều đó.

Chống SQL injection hiệu quả với file htaccess

1. Mở file htaccess trong thư mục gốc của WordPress ra và thêm đoạn code sau đây vào trong.

## SQL Injection Block ##
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\:  [NC,OR]
RewriteCond %{QUERY_STRING} http\:  [NC,OR]
RewriteCond %{QUERY_STRING} https\:  [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|ê|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

2. Lưu lại và thưởng thức kết quả. Tất cả chỉ đơn giản như vậy thôi nhưng sẽ giúp bạn chống được phần lớn các phương thức tấn công SQL injection. Chúc các bạn thành công!

WP Căn bản đã phát hành một ebook mang tên “Bảo mật WordPress toàn tập“, tổng hợp những lời khuyên và thủ thuật hữu ích giúp bạn bảo vệ blog/ website của mình một cách tốt nhất. Nếu bạn có nhu cầu, có thể tham khảo chi tiết tại đây.

Bạn biết phương pháp khác hiệu quả hơn để chống SQL injection cho WordPress? Hãy chia sẻ nó với chúng tôi trong khung bình luận bên dưới.

Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)

  • Chia sẻ lên Facebook
  • Chia sẻ lên Twitter
  • Chia sẻ lên LinkedIn

Bài viết liên quan

Plugin chống copy nội dung siêu nhẹ cho WordPress
Plugin chống copy nội dung siêu nhẹ cho WordPress
Chống spam cho plugin Contact Form 7
Chống spam cho plugin Contact Form 7
Thông báo website bị tấn công DDoS qua email
Thông báo website bị tấn công DDoS qua email

Chuyên mục: Thủ thuật WordPress Thẻ: .htaccess/ Bảo mật WordPress

dich-vu-wordpress-hosting-chong-ddos-mien-phi

Nói về Trung Hiếu

Một người con của xứ Nghệ, hiện đang sinh sống tại Hà Nội. Tôi là người sáng lập và đứng sau mọi hoạt động của WP Căn bản. Tìm hiểu thêm về tôi tại đây.

Bài viết trước « Hướng dẫn cài Let’s Encrypt miễn phí trên hosting cPanel
Bài viết sau Chuyển từ HTTP sang HTTPS không bị mất thứ hạng tìm kiếm »

Reader Interactions

Bình luận

    Để lại một bình luận Hủy

    Tất cả các bình luận đều sẽ được kiểm duyệt nghiêm ngặt. Mọi bình luận trái quy định sử dụng sẽ bị gỡ bỏ link hoặc xóa bỏ hoàn toàn. Vui lòng đọc kỹ quy định trước khi bình luận. Xin cảm ơn!

  1. đường 9 bình luậnviết

    03/11/2022 lúc 10:40

    Cái đoạn ## SQL Injection Block ## dùng để ghi chú phải ko nhỉ?
    Mà code này áp dụng cho tất cả website sử dụng Wordpress phải ko bạn?

    Bình luận
    • Trung Hiếu Quản lýviết

      03/11/2022 lúc 12:45

      Đúng rồi bạn. Mình không chắc chắn việc nó có tương thích với tất cả các website hay không. Bạn có thể thử, nếu lỗi hoặc xung đột gì đó thì chỉ cần xóa code đi là xong mà. :)

      Bình luận
  2. Hồ Thanh Phong 9 bình luậnviết

    04/03/2018 lúc 10:44

    Chào anh Hiếu.
    Nhờ anh Hiếu hướng dẫn giúp cách tìm file htaccess trên host, mình có tìm thấy đường dẫn và rất nhiều tệp có tên như vậy, nhưng khi tìm đến thì không thấy tệp tin đó đâu, có phải nó đang ẩn…?
    Cảm ơn anh.

    Bình luận
    • Trung Hiếu Quản lýviết

      04/03/2018 lúc 16:57

      Bạn tham khảo bài viết “Hiển thị file htaccess trong cPanel một cách đơn giản” nhé. :P

      Bình luận
  3. MMO (Miu Miu Official) 9 bình luậnviết

    07/09/2017 lúc 14:21

    Dùng rocket mà clear cache là mất :D

    Bình luận
    • Trung Hiếu Quản lýviết

      08/09/2017 lúc 22:51

      Làm gì có chuyện đó nhỉ? Cache của WP Rocket thì liên quan gì đến file .htaccess đâu? :O

      Bình luận
  4. Vinh 41 bình luậnviết

    11/11/2016 lúc 15:35

    code gì đâu? ????

    Bình luận
    • Trung Hiếu Quản lýviết

      11/11/2016 lúc 15:37

      Bạn đang dùng trình duyệt gì mà không nhìn thấy code vậy? Thử reload xem. :P

      Bình luận
      • Vinh 41 bình luậnviết

        11/11/2016 lúc 16:43

        chrome và cốc cốc không hiển thị :P

        Bình luận
        • Trung Hiếu Quản lýviết

          11/11/2016 lúc 17:16

          Đù. Là do tài khoản GistHub tự nhiên bị ẩn nên code không hiện. =.=! “One of our mostly harmless robots seems to think you are not a human. Because of that, it’s hidden your profile from the public. If you really are human, please contact support to have your profile reinstated. We promise we won’t require DNA proof of your humanity.”. Điên quá!

          Bình luận
          • Vinh 41 bình luậnviết

            11/11/2016 lúc 18:49

            mà sao mình cài cái bình luận FB vào site không hiển thị nhở? :9 tới đoạn ấn “Debug” rồi ấn nút “Fetch new scrape information” là không thấy nút Fetch new scrape information đâu .

          • Trung Hiếu Quản lýviết

            12/11/2016 lúc 08:36

            “Fetch new scrape information”. Cái này là dành để khắc phục lỗi không hiển thị ảnh khi chia sẻ link lên FB mà. :P Bạn chèn bằng plugin hay code trực tiếp vào theme? :P

          • Vinh 41 bình luậnviết

            12/11/2016 lúc 16:44

            Chèn = code trong theme , :((

          • Trung Hiếu Quản lýviết

            12/11/2016 lúc 19:19

            Thử dùng plugin xem. Có thể do bạn chèn chưa đúng cách đó thôi. :P

          • Vinh 41 bình luậnviết

            12/11/2016 lúc 20:18

            Hơ, làm theo đúng trên hd google mà :(( plugin thì dùng oke có mình hạn chế plugin

        • Trung Hiếu Quản lýviết

          11/11/2016 lúc 17:30

          Hiển thị lại rồi nhé. Cứ phải gửi mail chửi cho thì bọn nó mới chịu mở lại tài khoản. Hehe. :P

          Bình luận
  5. Tấn Hóa 1 bình luậnviết

    30/09/2016 lúc 16:31

    Có thể dùng được cho các mã nguồn khác không ạ

    Bình luận
    • Trung Hiếu Quản lýviết

      30/09/2016 lúc 16:41

      Mình chưa thử. Nhưng tối ưu nhất cho WordPress bạn ạ. :P

      Bình luận
  6. Nguyen Tai 2 bình luậnviết

    30/09/2016 lúc 01:03

    trang này có menu ngang luôn theo cuộn trang hay vậy?

    Bình luận
    • Trung Hiếu Quản lýviết

      30/09/2016 lúc 07:56

      Cái này gọi là Sticky Menu hoặc Sticky Header bạn nhé. :P

      Bình luận
      • Nguyen Tai 2 bình luậnviết

        30/09/2016 lúc 08:36

        hi ad nếu mình áp dụng cho blogspot thì làm thế nào đc đây ad? blog mình có thể làm giống trang của ad đc không? www.dayhoclaixeoto.edu.vn

        Bình luận
  7. Ngô Quý 77 bình luậnviết

    27/09/2016 lúc 20:50

    Vậy Thì Đối Với Nignx Thì Làm Thế NÀo Vậy Anh Hiếu?

    Bình luận
    • Trung Hiếu Quản lýviết

      28/09/2016 lúc 08:25

      Tự tìm cách convert từ .htaccess sang file config của NginX. :P

      Bình luận
  8. Bùi Công Luận 127 bình luậnviết

    27/09/2016 lúc 20:28

    Klq mình cập nhật lên Yoast seo phiên bản mới nhất thì khi vào web hay bị lỗi trắng trang không biết Hiếu có bị không nhỉ :D

    Bình luận
    • Trung Hiếu Quản lýviết

      28/09/2016 lúc 08:34

      Không bị gì nhé. :P

      Bình luận
  9. Le Hai Phong 13 bình luậnviết

    27/09/2016 lúc 15:36

    e đang sài webserver Apache thì cũng làm như trên ạ ?

    Bình luận
    • Trung Hiếu Quản lýviết

      27/09/2016 lúc 15:48

      Áp dụng được cho Apache và LiteSpeed. :P

      Bình luận
  10. Trung Duong 1 bình luậnviết

    27/09/2016 lúc 10:07

    Thank you bác :)

    Bình luận

Sidebar chính

NHẬN BÀI VIẾT QUA EMAIL

Hãy đăng ký ngay để là người đầu tiên nhận được thông báo qua email mỗi khi chúng tôi có bài viết mới!

Tham gia cùng 10.000+ người khác.

Theo dõi qua mạng xã hội

Facebook Group

wpcanban-facebook-group

Bạn đang tìm gì?

WordPress căn bản

Bảo mật WordPress

Tăng tốc WordPress

Sửa lỗi WordPress

Thủ thuật Genesis

Thủ thuật SEO

Thủ thuật CloudFlare

Thủ thuật LiteSpeed

Thủ thuật WooCommerce

Sử dụng theme Paradise

Dịch vụ tối ưu WordPress miễn phí

dich-vu-toi-uu-wordpress-mien-phi

Dịch vụ quét mã độc miễn phí

dich-vu-quet-ma-doc-wordpress-mien-phi

Footer

Bài viết mới nhất

  • Plugin chống copy nội dung siêu nhẹ cho WordPress 20/05/2025
  • Tự động tạo alt-text cho hình ảnh trong WordPress 18/05/2025
  • Năm 2025 rồi, có nên viết blog nữa không? 07/05/2025
  • Ra mắt plugin APCu Object Cache độc quyền tại WP Căn bản 16/04/2025

Bình luận mới nhất

  • Trung Hiếu trong Bật mí về các công nghệ mà WP Căn bản đang sử dụng
  • Khánh trong Bật mí về các công nghệ mà WP Căn bản đang sử dụng
  • Trung Hiếu trong Năm 2025 rồi, có nên viết blog nữa không?
  • Tuấn Kỷ Nguyên Blog trong Năm 2025 rồi, có nên viết blog nữa không?

Thông tin hữu ích

  • Giới thiệu bản thân
  • Quy định sử dụng
  • Chính sách bảo mật
  • Bản quyền nội dung

Thống kê WP Căn bản

9 Chuyên mục - 1.001 Bài viết - 35.504 Bình luận

Bản quyền © 2014 - 2025 · WP Căn bản (tiền thân là eBooksvn.com) · Sử dụng Paradise child theme và dịch vụ WordPress Hosting