Tập tin .htaccess là một tập tin cấu hình, cho phép bạn kiểm soát các tập tin và thư mục trong directory và tất cả các thư mục con của chúng. Tên của nó được viết tắt từ chữ hypertext access và được hỗ trợ bởi hầu hết các loại máy chủ.
Đối với nhiều người dùng WordPress, lần đầu tiên làm quen với tập tin .htaccess là khi họ tùy chỉnh các thiết lập permalink của blog/website.
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Tổng hợp thủ thuật với file .htaccess
1. Bảo vệ tập tin .htaccess
Tập tin .htaccess kiểm soát hầu như toàn bộ blog/website của bạn nên việc bảo vệ nó khỏi sự xâm nhập trái phép là một việc rất quan trọng. Đoạn mã sau đây sẽ giúp ngăn chặn hacker truy cập vào tập tin .htaccess của bạn.
<files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
2. Bảo vệ tập tin wp-config.php
Một tập tin quan trọng không kém là wp-config.php. Tập tin cấu hình này chứa các thông tin đăng nhập cơ sở dữ liệu WordPress của bạn cũng như các thiết lập bảo trì quan trọng khác. Do đó, bạn nên vô hiệu hóa việc người lạ truy cập vào nó
<files wp-config.php> order allow,deny deny from all </files>
3. Bảo vệ thư mục wp-content
Thư mục wp-content là một trong những khu vực quan trọng nhất của WordPress. Đây là nơi chứa các tập tin quan trọng như themes, plugins, các tập tin đã được upload (hình ảnh và video) và các tập tin cache. Do đó, nó là một trong những mục tiêu chính của tin tặc.
Bạn có thể giải quyết các mối đe dọa bằng cách tạo ra một tập tin .htaccess riêng cho thư mục /wp-content/ và thêm đoạn mã sau vào
Order deny,allow Deny from all <Files ~ ".(xml|css|jpe?g|png|gif|js)$"> Allow from all </Files>
Sau đó bạn cần phải upload tập tin .htaccess này vào thư mục /wp-content/. Nó thường nằm ở đường dẫn: www.yourwebsite.com/wp-content/. Việc làm này sẽ cho phép các tập tin media được tải lên bao gồm XML, CSS, JPG, JPEG, PNG, GIF, và Javascript. Tất cả các loại tập tin khác sẽ bị từ chối.
4. Hạn chế truy cập khu vực Admin
Một điểm thường bị tấn công bởi các tin tặc là khu vực Admin (quản trị) WordPress. Nếu truy cập được vào khu vực này, chúng có thể làm hầu hết mọi thứ trên blog/website của bạn.
Để làm cho khu vực này an toàn hơn, bạn cần tạo ra một tập tin .htaccess mới cho riêng nó và thêm đoạn mã dưới đây vào:
# Limit logins and admin by IP <Limit GET POST PUT> order deny,allow deny from all allow from 12.34.56.78 </Limit>
