Tệp .htaccess là tệp cấu hình máy chủ được hỗ trợ bởi nhiều máy chủ web, bao gồm cả phần mềm máy chủ web Apache phổ biến nhất. Tệp có vẻ đơn giản này được đóng gói mạnh mẽ với tất cả các loại chức năng và tính năng, nếu được sử dụng đúng cách có thể xác định rất hiệu quả cách máy chủ web của bạn xử lý các yêu cầu. Tìm hiểu cách hạn chế quyền truy cập vào các tệp và thư mục của WordPress bằng tệp .htaccess.
Ngoài việc xác định cách máy chủ web xử lý các yêu cầu, nó cũng rất hữu ích để bảo vệ các tệp WordPress của bạn khỏi sự truy cập trái phép của tin tặc. Trong bài viết này, chúng tôi khám phá nhiều cách bạn có thể bảo vệ các tệp và thư mục WordPress của mình bằng cách sử dụng .htaccess.
1. Làm cách nào để bảo vệ các tệp và thư mục WordPress của bạn bằng cách sử dụng .htaccess?
Hãy cùng khám phá một số kỹ thuật đơn giản mà bạn có thể sử dụng để bảo vệ các tệp WordPress của mình khỏi những con mắt tò mò. Nhấp để TweetTrước khi chúng ta tiếp tục bảo vệ các tệp khác, trước tiên, chúng ta hãy bắt đầu với việc bảo vệ .htaccess. Tuy nhiên, như chúng tôi luôn nói, trước khi thực hiện bất kỳ thay đổi nào ( bất kể chúng lớn hay nhỏ ) luôn sao lưu trang web của bạn và trong trường hợp này, hãy lưu một vài bản sao của tệp .htaccess trên hệ thống cục bộ của bạn. Điều này là để ngăn chặn bất kỳ thiệt hại nào có thể phát sinh do vô tình làm sai lệch tệp.
i. Bảo vệ tệp .htaccess
Có thể dễ dàng tìm thấy tệp .htaccess trong thư mục gốc của web public_html. Có hai cách để truy cập tệp này - sử dụng FTP chẳng hạn như FileZilla hoặc sử dụng Trình quản lý tệp của tài khoản lưu trữ WordPress của bạn. Trong bài viết này, chúng tôi đang sử dụng Trình quản lý tệp để truy cập tệp và chỉ cho bạn cách bạn có thể bảo mật tệp.
Bước 1: Đăng nhập vào tài khoản lưu trữ web của bạn bằng tên người dùng và mật khẩu của bạn. Nếu bạn không chắc chắn về thông tin đăng nhập tài khoản lưu trữ web của mình, hãy tham khảo hướng dẫn của chúng tôi.
Bước 2: Nhấp vào Trình quản lý tệp .
Bước 3: Tiếp theo, nhấp vào thư mục public_html.
Bước 4: Bên trong, bạn sẽ thấy tệp .htaccess. Nhấp chuột phải vào nó. Và chọn tùy chọn để chỉnh sửa .
Khi bạn truy cập tệp, hãy đặt đoạn mã sau vào đó.
# Deny access to .htaccess
<Files .htaccess>
Order allow,deny
Deny from all
</Files>
Điều này sẽ hạn chế người dùng truy cập tệp .htaccess của bạn. Đơn giản phải không?
Bây giờ chúng ta đã bảo mật tệp .htaccess, đã đến lúc chúng ta chuyển sang các tệp khác. Vì vậy, chúng ta hãy bắt đầu với việc bảo mật thư mục wp-admin.
ii. Hạn chế quyền truy cập vào thư mục wp-admin bằng .htaccess
Thư mục wp-admin chứa các tệp cùng nhau cung cấp năng lượng cho các công cụ quản trị. Tệp admin.php trong thư mục này thực hiện các chức năng sau:
- Cho phép kết nối với cơ sở dữ liệu
- Hiển thị trang tổng quan WordPress
- Kiểm soát trang đăng nhập của trang web của bạn
Như bạn có thể thấy, thư mục wp-admin là một thư mục rất quan trọng và cần phải cẩn thận để bảo vệ nó khỏi bị truy cập trái phép. Đó là bởi vì việc truy cập vào bảng điều khiển quản trị sẽ cho phép tin tặc tạo ra sự tàn phá trên trang web của bạn. Để làm như vậy, hãy hạn chế quyền truy cập của người dùng vào thư mục quản trị WordPress bằng tệp .htaccess. Cho phép truy cập vào các địa chỉ IP cụ thể mà bạn chọn. Để thực hiện việc này, bạn cần tạo một tệp .htaccess riêng với một mã cụ thể ( mã trong hộp màu xanh lam bên dưới ) và tải nó lên thư mục wp-admin của bạn.
Để tạo tệp .htaccess mới, chỉ cần mở tệp mới trong trình soạn thảo văn bản mặc định của bạn và đặt tên là .htaccess . Không phải .htaccess.txt hoặc .htaccess.doc hoặc bất kỳ phần mở rộng tệp bổ sung nào khác. Chỉ đơn giản là .htaccess . Khi bạn đã làm xong, hãy dán đoạn mã sau vào đó.
# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 12.34.56.78
</Limit>
Để tải tệp .htaccess mới tạo vào thư mục wp-admin, hãy đăng nhập vào tài khoản máy chủ lưu trữ web của bạn và mở trình quản lý tệp như hình dưới đây.
Khi bạn nhấp vào Trình quản lý tệp, bạn có thể thấy tất cả các tệp và thư mục trong trang web của mình như được hiển thị bên dưới. Sau đó nhấp vào thư mục public_html.
Nhấp vào thư mục wp-admin.
Sau đó nhấp vào nút tải lên như hình trước.
Chọn .htaccess bạn vừa tạo trên hệ thống cục bộ của mình và tải nó lên trong cửa sổ mở ra.
Khi bạn đã tải lên tệp .htaccess mới, bạn đã hoàn tất! Các biện pháp bảo mật mới này sẽ hạn chế người dùng, ngoài những người bạn đã cấp quyền rõ ràng, truy cập vào bảng điều khiển quản trị của bạn.
Lưu ý rằng điều này sẽ chỉ hạn chế quyền truy cập vào wp-admin và sẽ không hạn chế hoàn toàn quyền truy cập trang web WordPress. Người dùng đã đăng ký vẫn có thể truy cập wp-admin nhưng điều đó cũng có thể bị giới hạn bởi vai trò của người dùng. Người ta có thể hạn chế quyền đối với người dùng để không phải mọi người dùng đã đăng ký đều có thể truy cập vào thư mục.
iii. Chặn truy cập trái phép vào wp-config.php
Tệp wp-config xử lý các cấu hình cơ sở của WordPress và chứa thông tin nhạy cảm về cài đặt WordPress của bạn như cài đặt MySQL, khóa bí mật, chi tiết kết nối cơ sở dữ liệu WordPress, v.v. Xem xét tính chất quan trọng của dữ liệu mà tệp này chứa, cần hết sức lưu ý để bảo vệ nó khỏi những con mắt tò mò.
Tệp .htaccess có thể hữu ích để bảo vệ tệp rất quan trọng này đang được người dùng web truy cập. Để làm như vậy, tất cả những gì bạn cần làm là sao chép mã được cung cấp bên dưới vào tệp .htaccess của bạn.
Như đã giải thích trong phần ‘ Bảo vệ tệp .htaccess ', Truy cập tệp .htaccess của bạn từ Trình quản lý tệp và thêm mã sau vào đó.
<files wp-config.php>
order allow,deny
deny from all
</files>
Khi bạn đã thêm mã được cung cấp ở trên, bạn sẽ chặn truy cập trái phép vào wp-config.php.
iv. Làm cách nào để chặn quyền truy cập vào nội dung wp / nội dung tải lên và vô hiệu hóa việc thực thi pHp?
Đôi khi, tin tặc để lại cửa hậu để truy cập các tệp trên trang web của bạn để ngay cả khi vụ hack bị phát hiện và xử lý, chúng vẫn có thể truy cập trang web dễ dàng trong tương lai. Các tệp backdoor này thường được ngụy trang thành các tệp WordPress trong thư mục wp-include hoặc wp-content / uploads /. Và đây thường là các tệp .php. Để bảo mật tốt hơn các tệp và thư mục WordPress của bạn, bạn cần phải vô hiệu hóa việc thực thi các loại tệp này. Điều này có thể giúp WordPress của bạn hạn chế quyền truy cập và điều đó có thể được thực hiện bằng cách tắt thực thi PHP trong các thư mục này.
Vô hiệu hóa thực thi PHP bằng cách sử dụng .htaccess là một quá trình rất dễ dàng nếu bạn làm theo các hướng dẫn đơn giản của chúng tôi về T.
Trước hết, hãy tạo một tệp .htaccess mới trong trình soạn thảo văn bản của bạn và thêm mã sau vào đó.
<Files *.php>
deny from all
</Files>
Bước tiếp theo, hãy đăng nhập vào tài khoản lưu trữ web của bạn và mở Trình quản lý tệp . Tại đây, bạn có quyền truy cập vào nội dung và thư mục tải lên. Tìm kiếm wp-content / upload / thư mục.
Nhấp vào Tải lên và tải lên tệp .htaccess mới được tạo.
Khi nhấp vào Tải lên , một cửa sổ mới sẽ mở ra cho phép bạn chọn tệp .htaccess từ hệ thống cục bộ của bạn.
Khi bạn đã tải tệp .htaccess lên wp-content / upload / , bạn phải thêm nó vào thư mục wp-include thư mục.
Tương tự như thêm nó vào wp-content / upload / thư mục, mở trình quản lý tệp để truy cập vào wp-include thư mục từ Thư mục chính của trang web của bạn.
Nhấp vào wp-bao gồm rồi nhấp vào nút tải lên.
Khi bạn nhấp vào nút tải lên, bạn sẽ có thể chọn một tệp từ hệ thống cục bộ của mình. Chọn tệp .htaccess mà bạn vừa tạo và tải nó lên.
Khi bạn đã thêm .htaccess vào cả hai thư mục rất quan trọng này, bạn đã vô hiệu hóa thành công bất kỳ thực thi PHP nào trong các thư mục này.
v. Tắt duyệt thư mục trong WordPress bằng htaccess
Duyệt thư mục là một tính năng trong đó bạn thấy danh sách các tệp và thư mục, thay vì một trang web, khi bạn cố gắng truy cập một trang web. Ví dụ:bạn có một thư mục tên là private (làm ví dụ) trên trang web của bạn, giả sử www.example.com . Nếu duyệt thư mục chưa bị tắt trong thư mục cụ thể này, thì nếu ai đó nhập www.example.com/private/ họ sẽ thấy tất cả các tệp và thư mục trong thư mục private.
Điều này có thể gây tai hại cho trang web của bạn vì điều này có thể cung cấp rất nhiều thông tin cho tin tặc mưu mô. Sau đó ai có thể lên kế hoạch tấn công vào trang web của bạn được trang bị kiến thức về hệ thống phân cấp tệp trang web của bạn? Bằng cách tắt duyệt thư mục trong WordPress bằng htaccess, bạn sẽ giới hạn cấp độ truy cập vào trang web của mình.
Để tắt tính năng duyệt thư mục cho một thư mục cụ thể, hãy tạo tệp .htaccess trong trình soạn thảo văn bản của bạn và lưu nó dưới dạng .htaccess (không có bất kỳ phần mở rộng tệp bổ sung nào). Sau đó, thêm mã sau vào nó và hạn chế quyền truy cập vào các tệp WordPress của bạn.
# disable directory browsing
Options All -Indexes
Khi bạn đã thêm mã, hãy tải tệp .htaccess mới tạo này lên thư mục mà bạn muốn tắt tính năng này. Ví dụ:nếu bạn muốn tắt duyệt thư mục cho thư mục wp-include, thì hãy tải tệp .htaccess này lên thư mục wp-include như đã thực hiện trước đó thông qua Trình quản lý tệp.
vi. Chặn các địa chỉ IP cụ thể truy cập trang web
Bạn có thể nhận thấy rằng một số người dùng nhất định từ các địa chỉ IP nhất định đã liên tục gửi thư rác, thực hiện các nỗ lực tấn công hoặc chỉ đơn giản là cố gắng có được quyền truy cập trái phép của người dùng vào trang web WordPress của bạn. Bạn hoàn toàn có thể ngăn chặn quyền truy cập trái phép của người dùng WordPress bằng cách chặn địa chỉ IP của họ truy cập vào trang web của bạn bằng cách sử dụng tệp .htaccess. Để làm điều đó, hãy sao chép mã được cung cấp bên dưới vào tệp .htaccess của bạn.
<Limit GET POST>
order allow,deny
deny from 123.456.78.9
allow from all
</Limit>
Địa chỉ IP trong đoạn mã trên chỉ là giả. Bạn có thể thay thế các giá trị này bằng địa chỉ IP mà bạn muốn chặn. Nếu thay vì một cái, bạn có nhiều cái, chỉ cần thêm từng cái riêng biệt vào một dòng giống như sau:
deny from 213.546.87.9
Nếu thay vì địa chỉ IP đầy đủ, bạn muốn từ chối quyền truy cập vào một khối địa chỉ IP, chỉ cần bỏ qua phần cuối cùng của octet như được hiển thị bên dưới.
deny from 213.546.87.9
Điều này sẽ chặn tất cả các địa chỉ IP từ 213.546.87.0 đến 213.546.87.255.
Nếu bạn vô tình chặn địa chỉ ip của quản trị viên trang web hoặc thành viên trong nhóm, hãy xem hướng dẫn của chúng tôi về cách đưa địa chỉ ip vào danh sách trắng
vii. Chặn các miền cụ thể truy cập trang web của bạn
Không phải lúc nào bạn cũng có thể biết các địa chỉ IP cụ thể đang gửi thư rác cho bạn. Tuy nhiên, bạn có thể biết rằng những cuộc tấn công này đến từ các liên kết được đăng trên một số tên miền độc hại. .htaccess cho phép bạn chặn bất kỳ khách truy cập nào đã truy cập trang web của bạn từ một liên kết từ các trang web độc hại đó.
Để chặn tên miền, hãy thêm mã sau vào tệp .htaccess của bạn.
SetEnvIfNoCase Referer "badsite.com" bad_referer
Order Allow,Deny
Allow from ALL
Deny from env=bad_referer
Trong đoạn mã trên, hãy thay thế 'badsite' bằng miền bạn muốn chặn. Khi làm như vậy, bất cứ khi nào người dùng cố gắng truy cập trang web của bạn từ miền bạn đã chặn, họ sẽ nhận được thông báo lỗi và sẽ không thể truy cập trang web của bạn.
2. Một giải pháp thay thế
Mặc dù tất cả các giải pháp trên đều hiệu quả để hạn chế quyền truy cập vào các tệp và thư mục trong WordPress, nhưng không thể phủ nhận rằng nó gây ra rủi ro lớn cho trang web của bạn. Tại sao? Chà, vì bạn đang loay hoay với một tệp cấu hình rất quan trọng. Ngay cả một dấu chấm không đúng vị trí cũng có thể làm gián đoạn chức năng của trang web của bạn! Đáng sợ, phải không?
Do đó, nếu bạn không phải là chuyên gia, tốt nhất bạn nên sử dụng plugin bảo mật cho trang web WordPress vì nó sẽ giúp làm cứng trang web của bạn. Một plugin WordPress có tên MalCare có thể xử lý các khía cạnh bảo mật của trang web của bạn. Có thể là danh sách đen các địa chỉ IP cụ thể, thực hiện các biện pháp tăng cường trang web tại chỗ, bảo vệ trang đăng nhập của bạn, quét phần mềm độc hại hoặc nhiều biện pháp bảo mật quan trọng như vậy, MalCare thực hiện tất cả!
Để có các giải pháp bảo mật trang web hoàn chỉnh,
Thử MalCare miễn phí!