12 thủ thuật .htaccess hữu ích cho WordPress

Bạn đang tìm kiếm một số thủ thuật .htaccess hữu ích cho trang web WordPress. Tệp .htaccess là một tệp cấu hình mạnh mẽ cho phép bạn thực hiện nhiều thứ để tối ưu WordPress. Trong bài viết này, chúng tôi sẽ chỉ cho bạn một số thủ thuật .htaccess hữu ích nhất cho WordPress.

Tệp .htaccess dùng để làm gì?

Tệp .htaccess là tệp cấu hình máy chủ. Nó cho phép bạn xác định các quy tắc để máy chủ của bạn tuân theo để phù hợp với trang web của bạn.

WordPress sử dụng tệp .htaccess để tạo cấu trúc URL thân thiện với SEO. Tuy nhiên, tập tin này có thể làm nhiều hơn nữa. Xem hướng dẫn chống hack sử dụng .htaccess

Tệp .htaccess nằm trong thư mục gốc của trang web WordPress của bạn. Bạn cần kết nối vào tài khoản hosting của mình bằng ứng dụng FTP để chỉnh sửa nó.

Nếu bạn không thể tìm thấy tệp .htaccess của mình, có thể cpanel mặc định đã ẩn file này. Trường hợp này bạn có thể cho hiện thị các file ẩn bằng cách nhấn vào biểu tượng cài đặt của cpanel & chọn “Show all hidden files”. Đối với ứng dụng WinSCP bạn chỉ cần nhấn tổ hợp phím ctrl+H

Trước khi chỉnh sửa tệp .htaccess, đừng quên tạo bản sao của tệp này vào máy tính của bạn. Bạn có thể sử dụng lại tập tin đó trong trường hợp nếu gặp lỗi.

1. Bảo vệ trang quản trị WordPress

Bạn có thể sử dụng tệp .htaccess để bảo vệ khu vực quản trị WordPress của mình bằng cách giới hạn quyền truy cập vào các địa chỉ IP được chọn. Chỉ cần sao chép và dán mã này vào tệp .htaccess của bạn:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Đừng quên thay thế giá trị xx bằng địa chỉ IP của riêng bạn. Nếu bạn sử dụng nhiều hơn một địa chỉ IP để truy cập internet, thì hãy đảm bảo bạn cũng thêm chúng vào.

2. Bảo vệ thư mục bằng mật khẩu

Nếu bạn truy cập trang web WordPress của mình từ nhiều khu vực bao gồm các điểm internet công cộng, thì việc giới hạn quyền truy cập vào các địa chỉ IP cụ thể có thể không phù hợp với bạn.

Bạn có thể sử dụng tệp .htaccess để thêm mật khẩu bổ sung vào trang quản trị WordPress của bạn.

Trước tiên, cần tạo tệp .htpasswds. Bạn dễ dàng tạo file này từ công cụ tạo htpasswds.

Sau đó tải tệp .htpasswds này bên ngoài thư mục web hoặc vào thư mục wp-admin (/home/user/.htpasswds/public_html/wp-admin/passwd/)

Tiếp theo, chúng ta tạo tệp .htaccess và tải chúng vào thư mục /wp-admin. Thên đoạn code sau vào file.

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any 
</Files>

Lưu ý: đừng quên thay đường dẫn tới tệp passwd.

3. Tắt duyệt thư mục

Nhiều chuyên gia bảo mật WordPress khuyên bạn nên vô hiệu hóa duyệt thư mục. Với chức năng duyệt thư mục được kích hoạt, tin tặc có thể xem các tệp và thư mục trang web của bạn để tìm tệp dễ bị tấn công.

Để vô hiệu hóa duyệt thư mục trên trang web của bạn, bạn cần thêm dòng sau vào tệp .htaccess của bạn.

Options -Indexes

4. Vô hiệu hóa thực thi PHP trong một số thư mục WordPress

Đôi khi tin tặc tấn công vào một trang web WordPress và cài đặt một “cổng vào” (gọi là backdoor). Các tệp backdoor này thường được ngụy trang thành các tệp hệ thống của WordPress và được đặt trong thư mục /wp-includes/ hoặc /wp-content/uploads/.

Một cách khác để cải thiện bảo mật WordPress của bạn là vô hiệu hóa thực thi PHP cho một số thư mục WordPress.

Bạn sẽ cần tạo một tệp .htaccess và thêm đoạn mã sau.

<Files *.php>
deny from all
</Files>

Lưu tệp và tải chúng lên thư mục /wp-content/uploads/ và /wp-includes/ trên hosting của bạn.

5. Bảo vệ tệp wp-config.php

Đây là tệp cấu hình quan trọng nhất trong WordPress chứa trong thư mục gốc. Nó chứa thông tin về cơ sở dữ liệu & cấu hình của plugin.

Để bảo vệ tệp wp-config.php của bạn chúng ta thêm mã này vào tệp .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

6. Thiết lập chuyển hướng 301

Sử dụng chuyển hướng 301 là cách thân thiện nhất với SEO cho biết rằng một nội dung đã được chuyển đến một vị trí mới.

Mặt khác, nếu bạn muốn nhanh chóng thiết lập chuyển hướng, thì tất cả những gì bạn cần làm là dán mã này vào tệp .htaccess. Xem ví dụ sau:

Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/

7. Chặn IP đáng ngờ

Bạn có thấy các lượt truy cập cao bất thường đến trang web của bạn từ một địa chỉ IP cụ thể không? Bạn có thể dễ dàng chặn các request đó bằng cách chặn địa chỉ IP trong tệp .htaccess.

Thêm mã sau vào tệp .htaccess:

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>

Đừng quên thay xx bằng địa chỉ IP bạn muốn chặn.

8. Vô hiệu hóa liên kết Hotlinking cho hình ảnh trong WordPress

Các trang web khác trực tiếp liên kết hình ảnh (hotlink) từ trang web của bạn có thể làm cho trang web của bạn chậm và vượt quá giới hạn băng thông. Đây là một vấn đề lớn đối với hầu hết các trang web nhỏ hơn. Tuy nhiên, nếu bạn điều hành một trang web phổ biến hoặc một trang web có nhiều hình ảnh, thì điều này có thể trở thành một mối quan tâm lớn.

Bạn có thể ngăn chặn hotlinking hình ảnh bằng cách thêm mã này vào tệp .htaccess của bạn:

#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?hoangweb.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L] 

Đoạn mã này chỉ cho phép hình ảnh được hiển thị nếu truy xuất bắt nguồn từ hoangweb.com hoặc google.com.

9. Bảo vệ .htaccess từ truy cập trái phép

Như bạn đã thấy file htaccess có thể làm được rất nhiều điều. Do sự kiểm soát của nó trên máy chủ web của bạn, điều quan trọng là phải bảo vệ nó khỏi sự truy cập trái phép của tin tặc. Chỉ cần thêm mã sau vào tệp .htaccess:

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

10. Tăng kích thước tải tệp trong WordPress

Có nhiều cách khác nhau để tăng giới hạn kích thước tải tệp trong WordPress. Tuy nhiên, đối với người dùng sử dụng share hosting, một số phương pháp này có thể không hoạt động.

Cách đơn giản nhất là thêm mã sau vào tệp .htaccess:

php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300

Đoạn mã này sẽ ghi đè lên cấu hình máy chủ web để tăng kích thước tải tệp cũng như tăng thời gian thực thi tối đa trong WordPress.

11. Vô hiệu hóa XML-RPC sử dụng .htaccess

Mỗi bản cài đặt WordPress đi kèm với một tệp có tên xmlrpc.php. Tệp này cho phép các ứng dụng của bên thứ ba kết nối với trang web WordPress của bạn. Hầu hết các chuyên gia bảo mật WordPress khuyên rằng nếu bạn không sử dụng bất kỳ ứng dụng của bên thứ ba nào, thì bạn nên tắt tính năng này. Xem hướng dẫn chi tiết về cách vô hiệu hóa XMLRPC trong WordPress.

Có nhiều cách để làm điều đó, một trong số đó là thêm đoạn mã sau vào tệp .htaccess của bạn:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

12. Chặn dò tìm người dùng trong WordPress

Một kỹ thuật phổ biến được sử dụng trong các cuộc tấn công là chạy script quét người dùng trên một trang web WordPress và sau đó cố gắng bẻ khóa mật khẩu cho người dùng đó.

Bạn có thể chặn các lần quét như vậy bằng cách thêm mã sau vào tệp .htaccess:

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans 

Mình hy vọng bài viết này sẽ giúp bạn sử dụng hiệu quả tệp .htaccess để bảo vệ trang web WordPress của bạn một cách tốt nhất.

Để nhận được bài viết mới vui lòng đăng ký kênh kiến thức WordPress từ A-Z ở Form bên dưới. Bạn cũng có thể nhận được sự trợ giúp trên Twitter và Facebook