Thủ thuật với file .htaccess trong WordPress

0
1006

Tập tin .htaccess là một tập tin cấu hình, cho phép bạn kiểm soát các tập tin và thư mục trong directory và tất cả các thư mục con của chúng. Tên của nó được viết tắt từ chữ hypertext access và được hỗ trợ bởi hầu hết các loại máy chủ.

Đối với nhiều người dùng WordPress, lần đầu tiên làm quen với tập tin .htaccess là khi họ tùy chỉnh các thiết lập permalink của blog/website.

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Tổng hợp thủ thuật với file .htaccess

1. Bảo vệ tập tin .htaccess

Tập tin .htaccess kiểm soát hầu như toàn bộ blog/website của bạn nên việc bảo vệ nó khỏi sự xâm nhập trái phép là một việc rất quan trọng. Đoạn mã sau đây sẽ giúp ngăn chặn hacker truy cập vào tập tin .htaccess của bạn.

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

2. Bảo vệ tập tin wp-config.php

Một tập tin quan trọng không kém là wp-config.php. Tập tin cấu hình này chứa các thông tin đăng nhập cơ sở dữ liệu WordPress của bạn cũng như các thiết lập bảo trì quan trọng khác. Do đó, bạn nên vô hiệu hóa việc người lạ truy cập vào nó

<files wp-config.php>
order allow,deny
deny from all
</files>

3. Bảo vệ thư mục wp-content

Thư mục wp-content là một trong những khu vực quan trọng nhất của WordPress. Đây là nơi chứa các tập tin quan trọng như themesplugins, các tập tin đã được upload (hình ảnh và video) và các tập tin cache. Do đó, nó là một trong những mục tiêu chính của tin tặc.

Bạn có thể giải quyết các mối đe dọa bằng cách tạo ra một tập tin .htaccess riêng cho thư mục /wp-content/ và thêm đoạn mã sau vào

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>

Sau đó bạn cần phải upload tập tin .htaccess này vào thư mục /wp-content/. Nó thường nằm ở đường dẫn: www.yourwebsite.com/wp-content/. Việc làm này sẽ cho phép các tập tin media được tải lên bao gồm XML, CSS, JPG, JPEG, PNG, GIF, và Javascript. Tất cả các loại tập tin khác sẽ bị từ chối.

4. Hạn chế truy cập khu vực Admin

Một điểm thường bị tấn công bởi các tin tặc là khu vực Admin (quản trị) WordPress. Nếu truy cập được vào khu vực này, chúng có thể làm hầu hết mọi thứ trên blog/website của bạn.

Để làm cho khu vực này an toàn hơn, bạn cần tạo ra một tập tin .htaccess mới cho riêng nó và thêm đoạn mã dưới đây vào:

# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 12.34.56.78
</Limit>