hongsmilemedia
Thành viên
- Tham gia
- 12/11/2014
- Bài viết
- 8
Trước khi thực hiện bất kì thay đổi nào bạn cần backup file .htaccess đề phòng trường hợp có lỗi xảy ra thì có cái mà restore.
Nếu bạn chưa có file .htaccess, chỉ cần tạo một file rỗng rồi đặt tên là .htaccess (có dấu . nhé). Sau đó upload lên server.
1. Hạn Chế Đăng Nhập Vào Trang Quản Trị
Bạn có thể sử dụng .htaccess để hạn chế truy cập vào trang quản trị trong WordPress dựa trên địa chỉ IP. Bạn chỉ cần copy và paste đoạn code bên dưới vào file .htaccess là được:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
Thay thế xx.xx.xx.xxx bằng IP của bạn. Nếu bạn sử dụng nhiều IP để đăng nhập thì cần add những IP đó vào file .htaccess. Lưu ý: ở Việt Nam các gói cước Internet phổ thông sử dụng IP động nên IP của bạn sẽ thay đổi khi restart modem hoặc qua 1 ngày. Vì vậy nếu bạn sử dụng tính năng hạn chế IP đăng nhập vào trang quản trị thì cần để ý đến đặc điểm này.
2. Đặt Mật Khẩu Bảo Vệ Thư Mục Admin
Đầu tiên bạn cần tạo file .htpasswds bằng công cụ miễn phí tại đây.
Upload file .htpasswds đó vào một thư mục nào đó nằm ngoài thư mục public của website. Ví dụ: home/user/.htpasswds/public_html/wp-admin/passwd/
Bây giờ bạn cần tạo 1 file .htaccess và thêm đoạn code này vào:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
Order allow,deny
Allow from all
Satisfy any
Lưu ý: Nhớ thay đổi dường dẫn nơi lưu file .htpasswords và thêm username vào nhé.
Cuối cùng upload file .htaccess vào thư mục wp-admin. Thế là xong, từ giờ trở đi chỉ có bạn và những người bạn cho phép mới có thể đăng nhập vào trang admin thôi.
3. Ngăn Duyệt Thư Mục Trong WordPress
Nhiều chuyên gia khuyên rằng nên tắt chế độ duyệt đường dẫn thư mục trên website. Nếu website bạn cho phép duyệt các thư mục trên browser, hacker có thể biết được cấu trúc file và thư mục để tìm ra lỗ hổng.
Để tắt chế độ hiển thị thư mục trên trình duyệt bạn chỉ cần thêm dòng bên dưới vào file .htaccess:
Options -Indexes
4. Vô Hiệu Hóa Thực Thi PHP Ở Một Vài Thư Mục
Các website bị hacker xâm nhập đều để lại shell. Dù bạn đã khắc phục được những gì hacker gây ra nhưng nếu không phát hiện được file shell này thì mọi thứ dường như vô nghĩa vì hacker có thể dễ dàng lấy lại quyền điều khiển. Đa phần những file shell này được lưu trữ ở các thư mục gốc của WordPress như /wp-include/ hay /wp-content/uploads/… Có một cách để cải thiện việc bảo mật cho WordPress là vô hiệu hóa việc thực thi PHP cho vài thư mục của WordPress.
Tạo một file .htaccess rỗng và thêm đoạn code này:
order allow,deny
deny from all
Sau đó upload file này lên thư mục /wp-content/uploads/và /wp-includes/.
5. Bảo Vệ File Thiết Lập Wp-Config.Php
Có thể nói file quan trong nhất trong một thư mục của một website WordPress là wp-config.php. Nó chứa đựng các thông tin về username, password của cơ sở dữ liệu. Đề có thể bảo vệ file wp-config.php khỏi những truy cập đàng ngờ, bạn chỉ cần thêm đoạn code sau vào file .htaccess:
order allow,deny
deny from all
6. Thiết Lập 301 Redirect
Sử dụng 301 redirect là thủ thuật hay được sử dụng trong SEO để nói với khách truy cập rằng nội dung đã được chuyển sang vị trí mới.
Hay nói cách khác, nếu bạn muốn redirect user từ một địa chỉ này đến 1 địa chỉ khác thì chỉ cần paste đoạn code sau vào file .htaccess
Redirect 301 /oldurl/ https://www.techchannel24h.com/newurl
Redirect 301 /category/television/https://www.techchannel24h.com/category/tv/
7. Ban IP
Nếu bạn thấy có những request bất thường từ một địa chỉ IP nào đó và muốn ban nó, không cho truy cập vào website. Vậy thì add đoạn code sau vào file .htaccess:
Seeing unusual requests from an IP address? Want to block an IP address from accessing your website? Add this code to your .htaccess file:
order allow,deny
deny from xxx.xxx.xx.x
allow from all
Thay xxx bằng địa chỉ IP mà bãn muốn block.
8. Vô Hiệu Hóa Image Hotlinking
Khi bạn bật Image Hotlinking, người khác có thể sử dụng hình ảnh từ website của bạn để hiển thị trên web của họ. Việc này có thể gây chậm và tiêu hao băng thông của bạn. Thường thì nó không ảnh hưởng nhiều nhưng nếu bạn chạy một website tiêu tốn nhiều tài nguyên, chia sẻ nhiều ảnh thì việc bật Image Hotlinking có thể gây ra vài rắc rối.
Bạn có thể tắt Image Hotlinging bằng cách thêm đoạn code bên dưới vào file .htaccess:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?techchannel24h.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?feeds2.feedburner.com/wpbeginner [NC]
RewriteRule .(jpg|jpeg|png|gif)$ – [NC,F,L]
Nhớ thay techchannel24h.com bằng domain của bạn nhé.
9. Bảo Vệ File .htaccess Khỏi Những Truy Cập Đáng Ngờ
Qua các thủ thuật trên bạn có thể thấy .htaccess có rất nhiều tính năng. Bởi vì khả năng của nó lớn nên chúng ta cần bảo vệ nó khỏi tay hacker bằng cách thêm đoạn code sau vào file .htaccess:
order allow,deny
deny from all
satisfy all
Hy vọng bài viết đã giúp ích được bạn trong việc sử dụng các thủ thuật .htaccess cho WordPress, PHP...
Bài viết tại --> techchannel24h.com |
Nếu bạn chưa có file .htaccess, chỉ cần tạo một file rỗng rồi đặt tên là .htaccess (có dấu . nhé). Sau đó upload lên server.
1. Hạn Chế Đăng Nhập Vào Trang Quản Trị
Bạn có thể sử dụng .htaccess để hạn chế truy cập vào trang quản trị trong WordPress dựa trên địa chỉ IP. Bạn chỉ cần copy và paste đoạn code bên dưới vào file .htaccess là được:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
Thay thế xx.xx.xx.xxx bằng IP của bạn. Nếu bạn sử dụng nhiều IP để đăng nhập thì cần add những IP đó vào file .htaccess. Lưu ý: ở Việt Nam các gói cước Internet phổ thông sử dụng IP động nên IP của bạn sẽ thay đổi khi restart modem hoặc qua 1 ngày. Vì vậy nếu bạn sử dụng tính năng hạn chế IP đăng nhập vào trang quản trị thì cần để ý đến đặc điểm này.
2. Đặt Mật Khẩu Bảo Vệ Thư Mục Admin
Đầu tiên bạn cần tạo file .htpasswds bằng công cụ miễn phí tại đây.
Upload file .htpasswds đó vào một thư mục nào đó nằm ngoài thư mục public của website. Ví dụ: home/user/.htpasswds/public_html/wp-admin/passwd/
Bây giờ bạn cần tạo 1 file .htaccess và thêm đoạn code này vào:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
Order allow,deny
Allow from all
Satisfy any
Lưu ý: Nhớ thay đổi dường dẫn nơi lưu file .htpasswords và thêm username vào nhé.
Cuối cùng upload file .htaccess vào thư mục wp-admin. Thế là xong, từ giờ trở đi chỉ có bạn và những người bạn cho phép mới có thể đăng nhập vào trang admin thôi.
3. Ngăn Duyệt Thư Mục Trong WordPress
Nhiều chuyên gia khuyên rằng nên tắt chế độ duyệt đường dẫn thư mục trên website. Nếu website bạn cho phép duyệt các thư mục trên browser, hacker có thể biết được cấu trúc file và thư mục để tìm ra lỗ hổng.
Để tắt chế độ hiển thị thư mục trên trình duyệt bạn chỉ cần thêm dòng bên dưới vào file .htaccess:
Options -Indexes
4. Vô Hiệu Hóa Thực Thi PHP Ở Một Vài Thư Mục
Các website bị hacker xâm nhập đều để lại shell. Dù bạn đã khắc phục được những gì hacker gây ra nhưng nếu không phát hiện được file shell này thì mọi thứ dường như vô nghĩa vì hacker có thể dễ dàng lấy lại quyền điều khiển. Đa phần những file shell này được lưu trữ ở các thư mục gốc của WordPress như /wp-include/ hay /wp-content/uploads/… Có một cách để cải thiện việc bảo mật cho WordPress là vô hiệu hóa việc thực thi PHP cho vài thư mục của WordPress.
Tạo một file .htaccess rỗng và thêm đoạn code này:
order allow,deny
deny from all
Sau đó upload file này lên thư mục /wp-content/uploads/và /wp-includes/.
5. Bảo Vệ File Thiết Lập Wp-Config.Php
Có thể nói file quan trong nhất trong một thư mục của một website WordPress là wp-config.php. Nó chứa đựng các thông tin về username, password của cơ sở dữ liệu. Đề có thể bảo vệ file wp-config.php khỏi những truy cập đàng ngờ, bạn chỉ cần thêm đoạn code sau vào file .htaccess:
order allow,deny
deny from all
6. Thiết Lập 301 Redirect
Sử dụng 301 redirect là thủ thuật hay được sử dụng trong SEO để nói với khách truy cập rằng nội dung đã được chuyển sang vị trí mới.
Hay nói cách khác, nếu bạn muốn redirect user từ một địa chỉ này đến 1 địa chỉ khác thì chỉ cần paste đoạn code sau vào file .htaccess
Redirect 301 /oldurl/ https://www.techchannel24h.com/newurl
Redirect 301 /category/television/https://www.techchannel24h.com/category/tv/
7. Ban IP
Nếu bạn thấy có những request bất thường từ một địa chỉ IP nào đó và muốn ban nó, không cho truy cập vào website. Vậy thì add đoạn code sau vào file .htaccess:
Seeing unusual requests from an IP address? Want to block an IP address from accessing your website? Add this code to your .htaccess file:
order allow,deny
deny from xxx.xxx.xx.x
allow from all
Thay xxx bằng địa chỉ IP mà bãn muốn block.
8. Vô Hiệu Hóa Image Hotlinking
Khi bạn bật Image Hotlinking, người khác có thể sử dụng hình ảnh từ website của bạn để hiển thị trên web của họ. Việc này có thể gây chậm và tiêu hao băng thông của bạn. Thường thì nó không ảnh hưởng nhiều nhưng nếu bạn chạy một website tiêu tốn nhiều tài nguyên, chia sẻ nhiều ảnh thì việc bật Image Hotlinking có thể gây ra vài rắc rối.
Bạn có thể tắt Image Hotlinging bằng cách thêm đoạn code bên dưới vào file .htaccess:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?techchannel24h.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?feeds2.feedburner.com/wpbeginner [NC]
RewriteRule .(jpg|jpeg|png|gif)$ – [NC,F,L]
Nhớ thay techchannel24h.com bằng domain của bạn nhé.
9. Bảo Vệ File .htaccess Khỏi Những Truy Cập Đáng Ngờ
Qua các thủ thuật trên bạn có thể thấy .htaccess có rất nhiều tính năng. Bởi vì khả năng của nó lớn nên chúng ta cần bảo vệ nó khỏi tay hacker bằng cách thêm đoạn code sau vào file .htaccess:
order allow,deny
deny from all
satisfy all
Hy vọng bài viết đã giúp ích được bạn trong việc sử dụng các thủ thuật .htaccess cho WordPress, PHP...
Bài viết tại --> techchannel24h.com |
