--- title: "Giới hạn IP đăng nhập vào WordPress Admin với file .htaccess" author: "Trung Hiếu" date: "2016-08-10" lastmod: "2016-08-10" url: "https://wpcanban.com/wordpress/thu-thuat-wordpress/gioi-han-ip-dang-nhap-vao-wordpress.html" --- # Giới hạn IP đăng nhập vào WordPress Admin với file .htaccess Giới hạn IP đăng nhập vào WordPress Admin với file `.htaccess`. ![gioi-han-ip-dang-nhap-vao-wordpress-admin-voi-file-htaccess](https://wpcanban.com/wp-content/uploads/2016/08/gioi-han-ip-dang-nhap-vao-wordpress-admin-voi-file-htaccess.png) File [.htaccess](https://wpcanban.com/tag/htaccess/) (có trên server Apache, LiteSpeed) là một trong những tập tin rất quan trọng đối với website [WordPress](https://wpcanban.com/category/wordpress). Nó không chỉ giúp tạo permalink thân thiện với công cụ tìm kiếm, tăng tốc độ load mà còn tăng cường khả năng bảo mật. Trong những bài viết trước đây, tôi đã giới thiệu cho các bạn nhiều phương pháp khác nhau để chống Brute Force Attacks rồi phải không nào. Và hôm nay, thêm một lựa chọn nữa giúp các bạn làm điều đó. Tham khảo thêm: - [Tổng hợp thủ thuật với file .htaccess trong WordPress](https://wpcanban.com/wordpress/thu-thuat-wordpress/tong-hop-thu-thuat-voi-file-htaccess-trong-wordpress.html) - [Bảo mật WordPress bằng file .htaccess](https://wpcanban.com/wordpress/thu-thuat-wordpress/bao-mat-wordpress-bang-file-htaccess.html) Ngay sau đây, tôi sẽ hướng dẫn cho các bạn cách giới hạn IP đăng nhập vào WordPress Admin thông qua việc sử dụng file `.htaccess`. ## Giới hạn IP đăng nhập WordPress Admin Nếu bạn không biết chính xác IP mà mình đang sử dụng, hãy kiểm tra bằng công cụ [sau đây](https://www.whatismyip.com/). ### Trường hợp sử dụng IP tĩnh (Static IP Addresses) Nếu bạn sử dụng IP tĩnh (thường là máy tính để bàn, máy tính xác tay) và chỉ có bạn là người dùng duy nhất trên website, hãy thêm đoạn code sau đây vào file `.htaccess` trong thư mục gốc, nơi chứa bộ cài WordPress. ``` ErrorDocument 401 /path-to-your-site/index.php?error=404 ErrorDocument 403 /path-to-your-site/index.php?error=404 RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^IP Address One$ RewriteCond %{REMOTE_ADDR} !^IP Address Two$ RewriteCond %{REMOTE_ADDR} !^IP Address Three$ RewriteRule ^(.*)$ - [R=403,L] ``` Trong đó: - Thay `path-to-your-site` bằng path đến file `index.php` trong thư mục gốc của WordPress (nằm ngang hàng với file `wp-config.php`). - Thay `One`, `Two`, `Three` bằng các địa chỉ IP tĩnh của bạn. Bạn có thể xóa bớt dòng (từ 7 đến 8) nếu có ít IP hơn hoặc bổ sung thêm dòng nếu có nhiều IP. Mỗi dòng tương ứng với 1 IP. Lưu file `.htaccess` lại và kiểm tra kết quả. ### Trường hợp sử dụng IP động (Dynamic IP Addresses) Nếu bạn sử dụng IP động (thường là điện thoại di động, máy tính bảng) hoặc có nhiều người dùng trên website của bạn, hãy thêm đoạn code sau đây vào file `.htaccess` trong thư mục gốc của WordPress. ``` ErrorDocument 401 /path-to-your-site/index.php?error=404 ErrorDocument 403 /path-to-your-site/index.php?error=404 RewriteEngine on RewriteCond %{REQUEST_METHOD} POST RewriteCond %{HTTP_REFERER} !^http://(.*)?your-site.com [NC] RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteRule ^(.*)$ - [F] ``` Trong đó: - Thay `path-to-your-site` bằng path đến file `index.php` trong thư mục gốc của WordPress (nằm ngang hàng với file `wp-config.php`). - Thay `your-site.com` bằng tên miền của bạn. Code này sẽ giúp hạn chế Brute Force Attacks trang đăng nhập của WordPress, trong khi vẫn cho phép người dùng truy cập vào website của bạn một cách bình thường. Lưu file `.htaccess` lại và kiểm tra kết quả. Trong trường hợp gặp lỗi đăng nhập, các bạn chỉ cần truy cập vào file `.htaccess` và loại bỏ code đi là được. Thật đơn giản phải không nào? Chúc các bạn thành công! *Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều.* :)