Hướng dẫn bảo mật WordPress với .htaccess

WordPress đang ngày một trở nên phổ biến hơn và Rất nhiều vi phạm an ninh đã được báo cáo gần đây và điều quan trọng là phải thực hiện mọi biện pháp phòng ngừa để bạn không trở thành trang web tiếp theo trong danh sách tin tặc tấn công. Trong bài viết này mình sẽ hướng dẫn bảo mật WordPress bằng cách sử dụng file .htaccess

Có một vài cách để bạn thực hiện bảo mật cho WordPress:

• Thực hiện các bảo mật tiêu chuẩn được khuyến nghị bởi WordPress: hardening WordPress
• Cài đặt plugin bảo mật như Wordfence
• Cấu hình tệp .htaccess

Sử dụng .htaccess chỉ là một trong số đó, giúp bạn ngăn chặn sự tấn công từ bên ngoài.

.htaccess là một tệp cấu hình cho phép bạn ghi đè cài đặt cấu hình máy chủ của bạn.

Bạn có thể truy cập tệp này thông qua sử dụng plugin Yoast SEO hoặc sửa tệp sử dụng phần mềm FTP.

Mặc định WordPress sinh ra tệp .htaccess khi bạn lưu cấu trúc permalink cho SEO. Đây là nội dung bạn sẽ thấy trong file .htaccess:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Cấu hình htaccess này cho phép WordPress hoạt động bình thường, tuy nhiên để tăng cường bảo mật bạn cần bổ xung thêm các cấu hình khác vào tệp htaccess.

Bảo vệ wp-config.php

Một trong những File quan trọng nhất là wp-config.php, nó chứa mọi thông tin cấu hình của WordPress như kết nối database.

Đoạn mã sau sẽ ngăn truy cập vào tệp wp-config.php từ trình duyệt.

<files wp-config.php>
order allow,deny
deny from all
</files>

Tắt khả năng duyệt thư mục

Để ngăn không cho người dùng xem danh sách các tệp của bạn có trong mọi thư mục, bạn cần thêm dòng sau vào tệp htaccess:

# directory browsing
Options All -Indexes

Hotlinking

Đôi khi những trang web khác sẽ cố gắng sử dụng hình ảnh và video của bạn và gây phiền toái cho các dịch vụ của bạn, sử dụng không gian đĩa và băng thông của bạn. Mặc dù đây không phải là vấn đề bảo mật của WordPress, nhưng nó chắc chắn sẽ giúp trang web của bạn được an toàn tuyệt đối. Thêm phần này vào .htaccess sẽ ngăn việc liên kết tài nguyên từ website khác:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?YourDomain [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

Đừng quên thay “YourDomain” với tên miền của bạn. Trong trường hợp nếu bạn muốn cho phép một số website sử dụng tài nguyên trên website của bạn, sử dụng tool này để tạo mã anti-hotlinking.

Bảo vệ thư mục /wp-content

WordPress lưu tất cả các tệp quan trọng ở đây như files theme, plugin và các hình ảnh và chúng là một tài sản mà bạn muốn các công cụ tìm kiếm thu thập dữ liệu. Và bạn không muốn cho phép truy cập vào các tệp .php chứa thông tin nhạy cảm?

Để thực hiện, bạn cần tạo thêm một tệp .htaccess riêng biệt Và đặt nó vào thư mục /wp-content của bạn. Code này sẽ cho phép truy cập vào các tệp hình ảnh, CSS, java-script và XML, nhưng từ chối cho các tệp khác.

order deny,allow
deny from all
<files ~ ".(xml|css|jpe?g|png|gif|js)$">
allow from all
</files>

Chúc mừng, lúc này trang web WordPress của bạn bây giờ trở nên an toàn hơn rất nhiều. Có một điều duy nhất chúng ta nên làm đó là bảo vệ tập tin .htaccess.

Bảo vệ .htaccess

Cuối cùng chúng ta cần bảo vệ chính tệp .htaccess, đoạn mã sau sẽ ngăn mọi truy cập bất hợp pháp vào file .htaccess.

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

lưu ý: Thực hiện các thay đổi đối với .htaccess là một công việc không quá khó, nhưng nếu bạn sử dụng các plugin (ví dụ: WordPress SEO) để định cấu hình .htaccess, cũng là một giải pháp khác.

Một điều cần lưu ý khác, hãy luôn cập nhật mới các giao diện và plugin để các phiên bản mới được vá lỗi tức thời – tránh sử dụng mật khẩu yếu, luôn sử dụng các plugin được đánh giá cao và được nhiều người sử dụng, không nên tắt tự động cập nhật WordPress, nếu không cần thiết v.v.

Nếu bạn thấy bài viết này hữu ích, hãy chia sẻ với bạn bè bằng cách nhấn nút chia sẻ ở bên dưới. Theo dõi chúng tôi trên Twitter và Facebook