Tạo .htaccess chống hacked trong WordPress

Chống hacked WordPress với .htaccess

WordPress ngày càng trở nên phổ biến vì vậy các hacker luôn tìm cách phá hoại những website đang sử dụng WordPress.
Nếu bạn cài đặt WordPress trên Apache web server thì có thể tùy biến thêm các dòng code vào file .htaccess để bảo mật wordpress blog hơn.
.htaccess là file ẩn mặc định trong cấu hình server hacker mà không thể đọc được nội dung trong đó.

Trước tiên, bạn backup file .htaccess và thêm các dòng lệnh dưới đây vào phía dưới:

# 5G BLACKLIST/FIREWALL (2013)
# @ http://perishablepress.com/5g-blacklist-2013/

# 5G:[QUERY STRINGS]

	RewriteEngine On
	RewriteBase /
	RewriteCond %{QUERY_STRING} (javascript:).*(\;) [NC,OR]
	RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3) [NC,OR]
	RewriteCond %{QUERY_STRING} (\\|\.\./|`|=\'$|=%27$) [NC,OR]
	RewriteCond %{QUERY_STRING} (\;|\'|\"|%22).*(union|select|insert|drop|update|md5|benchmark|or|if) [NC,OR]
	RewriteCond %{QUERY_STRING} (base64_encode|localhost|mosconfig) [NC,OR]
	RewriteCond %{QUERY_STRING} (boot\.ini|echo.*kae|etc/passwd) [NC,OR]
	RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC]
	RewriteRule .* - [F]

# 5G:[USER AGENTS]

	# SetEnvIfNoCase User-Agent ^$ keep_out
	SetEnvIfNoCase User-Agent (binlar|casper|cmsworldmap|comodo|diavol|dotbot|feedfinder|flicky|ia_archiver|jakarta|kmccrew|nutch|planetwork|purebot|pycurl|skygrid|sucker|turnit|vikspider|zmeu) keep_out

		Order Allow,Deny
		Allow from all
		Deny from env=keep_out

# 5G:[REQUEST STRINGS]

	RedirectMatch 403 (https?|ftp|php)\://
	RedirectMatch 403 /(https?|ima|ucp)/
	RedirectMatch 403 /(Permanent|Better)$
	RedirectMatch 403 (\=\\\'|\=\\%27|/\\\'/?|\)\.css\()$
	RedirectMatch 403 (\,|\)\+|/\,/|\{0\}|\(/\(|\.\.\.|\+\+\+|\||\\\"\\\")
	RedirectMatch 403 \.(cgi|asp|aspx|cfg|dll|exe|jsp|mdb|sql|ini|rar)$
	RedirectMatch 403 /(contac|fpw|install|pingserver|register)\.php$
	RedirectMatch 403 (base64|crossdomain|localhost|wwwroot|e107\_)
	RedirectMatch 403 (eval\(|\_vti\_|\(null\)|echo.*kae|config\.xml)
	RedirectMatch 403 \.well\-known/host\-meta
	RedirectMatch 403 /function\.array\-rand
	RedirectMatch 403 \)\;\$\(this\)\.html\(
	RedirectMatch 403 proc/self/environ
	RedirectMatch 403 msnbot\.htm\)\.\_
	RedirectMatch 403 /ref\.outcontrol
	RedirectMatch 403 com\_cropimage
	RedirectMatch 403 indonesia\.htm
	RedirectMatch 403 \{\$itemURL\}
	RedirectMatch 403 function\(\)
	RedirectMatch 403 labels\.rdf
	RedirectMatch 403 /playing.php
	RedirectMatch 403 muieblackcat

# 5G:[REQUEST METHOD]

	RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
	RewriteRule .* - [F]

# 5G:[BAD IPS]

	Order Allow,Deny
	Allow from all
	# uncomment/edit/repeat next line to block IPs
	# Deny from 123.456.789

Sử dụng đoạn code này sẽ nguy hiểm và tôi khuyên bạn nên backup file .htaccess trước đó để tránh lỗi xẩy ra.
Chú ý: một vài wordpress blog sau khi thêm vào cuối đoạn code trên có thể không làm việc, trong trường hợp này hãy thử chèn vào phía trên cùng của file hoặc thêm trước tại dòng thiết lập WordPress permalink rules.

Cách thức hoạt động?

Đoạn code trên khóa mọi truy cập có ý định xấu dựa trên phương thức gửi dữ liệu, URL giới thiệu, cookies, URI, query string, dựa trên địa chỉ IP.

Nếu bạn không hiểu các dòng code ở trên, cũng không vấn đề gì chỉ cần biết rằng nó sẽ làm tăng bảo mật cho website của bạn.

Làm ảnh hưởng đến SEO?

Không, đoạn code không khóa truy cập từ máy tìm kiếm nhưng sẽ khóa mọi truy cập lạ thường từ bên ngoài.
Nếu thấy hay thì đừng quên nhấn like và chia sẻ bài viết này tới mọi người nhé.

Để nhận được bài viết mới vui lòng đăng ký kênh kiến thức WordPress từ A-Z ở Form bên dưới. Bạn cũng có thể nhận được sự trợ giúp trên Twitter và Facebook