--- title: "Chống SQL injection hiệu quả cho WordPress với file .htaccess" author: "Trung Hiếu" date: "2016-09-27" lastmod: "2018-02-22" url: "https://wpcanban.com/wordpress/thu-thuat-wordpress/chong-sql-injection-cho-wordpress.html" --- # Chống SQL injection hiệu quả cho WordPress với file .htaccess Chống SQL injection hiệu quả cho WordPress với file .htaccess. ![chong-sql-injection-hieu-qua-cho-wordpress-voi-file-htaccess](https://wpcanban.com/wp-content/uploads/2016/09/chong-sql-injection-hieu-qua-cho-wordpress-voi-file-htaccess.png) Nếu bạn chưa biết thì SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL “độc hại” một cách bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác như xóa, chèn, cập nhật… trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy. Tham khảo thêm: - [Giới hạn IP đăng nhập vào WordPress Admin với file .htaccess](https://wpcanban.com/wordpress/thu-thuat-wordpress/gioi-han-ip-dang-nhap-vao-wordpress.html) - [Đặt password cho thư mục bằng cách sử dụng file .htaccess](https://wpcanban.com/wordpress/thu-thuat-wordpress/dat-password-cho-thu-muc-bang-cach-su-dung-file-htaccess.html) SQL injection thường xảy ra trên các ứng dụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase… và [WordPress](https://wpcanban.com/category/wordpress) là một trong những “nạn nhân” phổ biến. Làm thế nào để bảo vệ website WordPress của bạn chống lại SQL injection? Nếu bạn đang sử dụng hosting hoặc VPS có webserver Apache, LiteSpeed thì ngay sau đây là giải pháp hữu hiệu giúp bạn làm điều đó. ## Chống SQL injection hiệu quả với file .htaccess 1. Mở file `.htaccess` trong thư mục gốc của WordPress ra và thêm đoạn code sau đây vào trong. ``` ## SQL Injection Block ## RewriteEngine On RewriteBase / RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] RewriteRule ^(.*)$ - [F,L] RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR] RewriteCond %{QUERY_STRING} boot\.ini [NC,OR] RewriteCond %{QUERY_STRING} tag\= [NC,OR] RewriteCond %{QUERY_STRING} ftp\: [NC,OR] RewriteCond %{QUERY_STRING} http\: [NC,OR] RewriteCond %{QUERY_STRING} https\: [NC,OR] RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR] RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|ê|"|;|\?|\*|=$).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ - [F,L] ``` 2. Lưu lại và thưởng thức kết quả. Tất cả chỉ đơn giản như vậy thôi nhưng sẽ giúp bạn chống được phần lớn các phương thức tấn công SQL injection. Chúc các bạn thành công! WP Căn bản đã phát hành một ebook mang tên “[Bảo mật WordPress toàn tập](https://shop.wpcanban.com/san-pham/bao-mat-wordpress-toan-tap)“, tổng hợp những lời khuyên và thủ thuật hữu ích giúp bạn bảo vệ website của mình một cách tốt nhất. Nếu bạn có nhu cầu, có thể tham khảo chi tiết [tại đây](https://wpcanban.com/khuyen-mai/ebook-bao-mat-wordpress-toan-tap.html). Bạn biết phương pháp khác hiệu quả hơn để chống SQL injection cho WordPress? Hãy chia sẻ nó với chúng tôi trong khung bình luận bên dưới. *Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều.* :)