WordPress hiện cung cấp cho hơn 60 triệu trang web, điều này làm cho nó trở thành CMS phổ biến nhất. Vì sự phổ biến thu hút sự chú ý cả tốt và xấu, các trang web WordPress có xu hướng trải qua 90000 lần tấn công mỗi phút trong ngày. Thật không may, khi nói đến bảo mật trang web, không có viên đạn bạc nào cung cấp bảo mật trên tất cả các mặt. Thay vào đó, người ta phải làm nhiều việc, thực hiện bảo mật ở nhiều phông chữ khác nhau để đảm bảo trang web của họ an toàn trước tin tặc. Quá trình thêm các lớp bảo vệ khác nhau được gọi là lớp bảo vệ. Trước đó, chúng tôi đã nói về các biện pháp bảo vệ như sử dụng xác thực HTTP, xác thực hai yếu tố, sử dụng tên người dùng và mật khẩu mạnh. Hôm nay chúng ta đang tìm hiểu một phương pháp bảo vệ khác, trong đó bạn sẽ giới hạn quyền truy cập vào thư mục quản trị WordPress.
Thư mục quản trị WordPress là nơi chứa các tệp WordPress cốt lõi. Các tệp trong đó cho phép những người dùng như bạn thực thi các chức năng quản trị khác nhau. Ví dụ:khi bạn đang cố gắng đăng nhập vào trang tổng quan, WordPress sẽ kiểm tra xem thông tin xác thực mà bạn đã cung cấp có chính xác hay không, hoặc liệu bạn có phải là quản trị viên hay một người đóng góp đơn giản với quyền truy cập hạn chế vào trang web hay không. Các tệp trong thư mục wp-admin cho phép WordPress thực hiện các chức năng này.
Khi tin tặc truy cập vào trang web của bạn, chúng có thể sửa đổi các tệp để tiếp tục động cơ của chúng. Họ có thể bắt đầu ra lệnh cho ai có quyền truy cập vào trang web và ai không. Có khả năng thực sự là họ có thể chặn quản trị viên và chủ sở hữu trang web. Bạn có thể mất quyền truy cập vào trang web của mình. Đây là lý do tại sao việc đề phòng sớm là bắt buộc. Giới hạn quyền truy cập vào thư mục quản trị WordPress hạn chế tin tặc chiếm trang web của bạn.
Cách dễ nhất để giải thích giới hạn hoạt động như thế nào là thông qua phép loại suy. Nếu trang web của bạn là một ngôi nhà và thì cánh cửa dẫn đến ngôi nhà là thư mục quản trị WordPress của bạn. Bây giờ nếu bạn triển khai một người bảo vệ ở cửa, nó sẽ đảm bảo an toàn hơn nữa cho ngôi nhà của bạn (đọc, trang web). Người bảo vệ có trách nhiệm kiểm tra (đọc địa chỉ IP) của mọi người truy cập và sau đó cho phép hoặc từ chối quyền truy cập vào ngôi nhà (tức là trang web). Trong bài đăng này, chúng tôi sẽ hướng dẫn bạn cách giới hạn quyền truy cập vào thư mục quản trị WordPress bằng Địa chỉ IP. Về cơ bản, điều này có nghĩa là bạn sẽ chỉ chặn các địa chỉ IP giả mạo cụ thể truy cập vào thư mục quản trị của trang web WordPress của bạn.
Trước khi chúng ta bắt đầu, điều quan trọng cần lưu ý là bạn cần đảm bảo rằng Địa chỉ IP của bạn là tĩnh. Nếu bạn không chắc chắn về địa chỉ IP của mình, chúng tôi khuyên bạn nên thực hiện tìm kiếm trên Google hoặc nói chuyện với nhà cung cấp internet của bạn.
Giới hạn quyền truy cập vào Thư mục quản trị viên WordPress:
Để bắt đầu, trước tiên bạn cần tải xuống tệp .htaccess từ Trình quản lý tệp của mình. Thực hiện theo các bước bên dưới:
Đăng nhập vào tài khoản máy chủ lưu trữ web của bạn và truy cập một trang có tên là cPanel . Ở đó, bạn sẽ có thể tìm thấy một tùy chọn cho Trình quản lý tệp . Chọn trang đó và một trang sẽ mở ra trông giống như sau:
Bước 2: Đây là một trang quản lý tệp điển hình. On the left-hand side, there are a bunch of folders. Select public_html, and you’d see a drop-down.
Step 3: In the drop down there will a folder called wp-admin . You’ll find a .htaccess file in this folder. You’d notice that unlike other files in the directory, .htaccess has no extension like .html or .txt. or PHP.
Step 4: To download the .htaccess file all you need to do is download the file using a download button on the File Manager page. It should look something like the image below:
Sometimes .htaccess is hidden and may not appear in the public_html folder. When that’s the case, what you need to do is go back to the cPanel , and click on File Manager . A popup will appear where you’ll have to select ‘Show Hidden Files’.
In case, you find out that your website does not have a .htaccess file, you’ll need to create a new one.
After you have downloaded the .htaccess file, open it. It should look something like the picture below:
Step 5: At the end of the .htaccess file, add the following code:
order deny, allow allow from your.IP.address deny from all
Lưu ý: Place the IP address that you want to blacklist instead of ‘IP.address.1’ and ‘IP.address.2’.
Step 6: After you are done, you will need to upload the file in the public_html directory in the File Manager. There should be an Upload option in the File Manager page.
After you upload the file, the IP’s you mentioned will be blocked. When these IP addresses try to access your site, they’ll see a ‘403 Forbidden’ error on the page.
Make sure that the .htaccess file you modified was from the ‘wp-admin’ directory and not the root directory (i.e. public_html) of your WordPress. There is a .htaccess file in the root directory, and we are not making any changes in that. If by mistake, you modified the .htaccess file in the ‘wp-admin’ directory, then all visitor to your site will be blocked. You don’t want that. Therefore we’d recommend you to be very careful.
There is one issue that may crop up when you limit access to WordPress admin directory using IP. It breaks the front-end Ajax functionality. This particular functionality enables web pages to show real-time changes. For instance, you may be using a plugin that allows Twitter feed on your site. Every time you tweet something, it automatically appears on the site. You don’t need to reload the page to see the tweet. This is possible due to the Ajax functionality.
To avoid breaking the front-end Ajax functionality, you’ll need to find out if any of your plugins use Ajax in the front end. If yes, then you’ll have to add the following code to your .htaccess file from the wp-admin directory.
<Files admin-ajax.php> order allow, deny allow from all satisfy any </Files>
And that’s it.
Over to You
In order to limit access to WordPress admin directory, you’d have to have a bit of knowledge about WordPress files. We hope that after reading this post, your site will be a bit more secure than it was before. Please contact us if you have any queries or feedback. And thanks for reading.