Hướng dẫn sử dụng file .htaccess để tăng cường bảo mật cho website WordPress của bạn

0
240 views

Đối với những người có trang web WordPress bị hack, bạn sẽ biết rằng tin tặc có xu hướng sửa đổi các file trong mã nguồn và sẽ chuyển hướng tất cả truy cập sang url khác. Thường tin tặc sẽ sửa đổi các file php nằm trong thư mục themes hoặc upload file php vào thư mục uploads của bạn. Trong nội dung bài viết này chúng tôi sẽ hướng dẫn bạn cách sử dụng file .htaccess để hạn chế khả năng bị tấn công cũng như tăng cường bảo mật cho website wordpress của bạn.

1. Vô hiệu hóa thực thi PHP trong thư mục /wp-content/uploads

Để làm điều này bạn chỉ cần thêm rules sau vào trong file .htaccess của bạn

2. Bảo vệ tệp tin wp-config.php

Để bảo vệ tệp wp-config.php của bạn khỏi sự truy cập trái phép, chỉ cần rule sau vào tệp .htaccess của bạn.

3. Bảo vệ .htaccess khỏi truy cập trái phép

Để bảo vệ .htaccess khỏi sự truy cập trái phép của tin tặc, bạn có thể ngăn chúng truy cập tệp thông qua rule này.

4. Chặn cross-site scripting (XSS)

Đoạn mã sau đây bảo vệ trang web của bạn khỏi một số cuộc tấn công XSS cơ bản, cụ thể là tiêm một đoạn mã để cố gắng sửa đổi các biến toàn cục và yêu cầu.

5. Hạn chế quyền truy cập vào wp-includes

Thư mục /wp-includes/ chứa các tệp WordPress cốt lõi. Không có lý do nào để cho phép bất cứ ai có quyền truy cập vào nó, bao gồm cả chủ sở hữu và quản trị viên. Vì vậy, để tăng cường bảo mật, tốt nhất là nên hạn chế tất cả quyền truy cập vào nó.

6. Hạn chế quyền truy cập trực tiếp vào các file PHP của Plugins & Themes

Như đã đề cập trước đó, không có lý do nào để bất kỳ ai có quyền truy cập vào các file php trong plugins và themes, vô hiệu hóa việc truy cập trực tiếp vào nó là một biện pháp bảo mật tốt.

7. Bảo vệ file xmlrpc.php

Hiện nay các chuyên gia đã phát hiện ra một phương thức mới để tấn công các website WordPress thông qua XML-RPC. Phương thức này tỏ ra hiệu quả khi kết hợp với cách truyền thống là Brute Force. Nó sẽ cố gắng vét cạn tất cả username/password để đăng nhập vào website và thực thi các lệnh được điều khiển tữ xa của hacker. Vì vậy để hạn chế điều này hãy chặn truy cập vào file xmlrpc.php trên website của bạn.

8. Giới hạn truy cập wp-admin

Nếu bạn đang sử dụng IP tĩnh bạn có thể muốn giới hạn quyền truy cập chỉ vào wp-admin và chỉ cho phép địa chỉ IP của bạn được quyền truy cập. Để làm điều này, bạn cần tạo một file .htaccess bên trong thư mục wp-admin với nội dung sau:

9. Tìm kiếm một nhà cung cấp hosting uy tín

Ngoài cách dùng .htaccess để tăng cường bảo mật các bạn cũng nên lựa chọn cho mình một nhà cung cấp hosting uy tín để sử dụng.

Đối với các hosting Linux tại HOSTVN đều sử dụng Cloud Linux đảm bảo hạn chế 100% Local Attack, ngoài ra hệ thống còn được tích hợp phần mềm scan malware và gửi thông báo cho khách hàng ngày khi phát hiện malware

Kết luận

Tổng kết lại chúng ta sẽ có file .htaccess hoàn chỉnh như sau:

Hy vọng qua bài viết này phần nào sẽ giúp các bạn có thể bảo mật website wordpress của mình một cách tốt hơn. Chúc các bạn thành công

Xem tiếp bài trong serie<< Một số thiết lập cấu hình trong wp-config giúp tăng cường bảo mật và tối ưu tốc độ cho WordPressHướng dẫn clone mã nguồn wordpress trên hosting cPanel >>

Comment của bạn

avatar
  Subscribe  
Notify of