Bảo mật website wordpress tuyệt đối bằng file .htaccess

0
56

Ngày nay vấn đề bảo mật website wordpress trở nên vô cùng quan trọng khi mà các hacker liên tục tìm mọi cách để tấn công website của bạn. Trong nội dung bài viết này chúng tôi sẽ hướng dẫn bạn cách sử dụng file .htaccess để hạn chế khả năng bị tấn công cũng như tăng cường bảo mật cho website wordpress của bạn.

Thông thường, tin tặc sẽ sửa đổi các file .php nằm trong thư mục themes hoặc upload file .php vào thư mục uploads của bạn.

Mục đích đơn giản của các tin tặc là sẽ sửa đổi các file trong mã nguồn và sẽ chuyển hướng tất cả truy cập sang url khác.

Huong Dan Bao Mat Website WordPress Bang File Htaccess

Mặc định file .htaccess có sẵn khi cài đặt WordPress. Thông thường bạn sẽ thấy nó nằm ngay trong thư mục gốc của WordPress. Nó chỉ có một file duy nhất và không chứa thêm bất kỳ file nào hoặc đuôi mở rộng nào khác nhé.

Bạn có thể theo dõi thêm bài viết: Hướng dẫn tạo file .htaccess mặc định chuẩn cho wordpress năm 2019

Vấn đề bảo mật Website WordPress xảy ra khi nào?

Nhiều người khi sử dụng WordPress Việt Nam thường có thói quen “xài hàng chùa”. Tức là họ sử dụng các loại theme null (theme bản quyền đã được crack không cần dùng key bản quyền) hoặc plugin null (plugin đã được crack).

Đây chính là cơ hội để các hacker tìm cách chèn các đoạn mã độc mà người dùng không biết để âm thầm tấn công dữ liệu của bạn. Nếu bạn không để ý, chỉ sau 1 thời gian ngắn website wordpress của bạn sẽ tự nhiên bị chuyển hướng sang site khác hay đổi ngôn ngữ tiếng trung, tiếng nhật khi tìm kiếm. Nguy hiểm hơn, họ chiếm quyền quản trị của bạn và lấy sạch dữ liệu của bạn.

Khi đó, bạn chắc chắn sẽ cảm thấy hoang mang và tìm đủ mọi cách để cứu dữ liệu của mình. Lúc này file .htaccess mới bắt đầu phát huy tác dụng quan trọng của mình để cứu lấy dữ liệu cho bạn.

Hướng dẫn sử dụng file .htaccess để tăng cường bảo mật cho website WordPress

1. Vô hiệu hóa thực thi PHP trong thư mục /wp-content/uploads

Việc vô hiệu hóa thực thi php này sẽ giúp bạn tránh được hacker tấn công vào thư mục uploads của bạn.

Để làm điều này bạn chỉ cần thêm rules sau vào trong file .htaccess của bạn:

RewriteRule ^wp\-content/uploads/.*\.(?:php[1-7]?|pht|phtml?|phps|js)$ - [NC,F]

2. Bảo vệ tệp tin wp-config.php

Để bảo vệ tệp wp-config.php của bạn khỏi sự truy cập trái phép, chỉ cần rule sau vào tệp .htaccess của bạn.

3. Bảo vệ .htaccess khỏi truy cập trái phép

Để bảo vệ .htaccess khỏi sự truy cập trái phép của tin tặc, bạn có thể ngăn chúng truy cập tệp thông qua rule này.

4. Chặn cross-site scripting (XSS)

Đoạn mã sau đây bảo vệ trang web của bạn khỏi một số cuộc tấn công XSS cơ bản, cụ thể là tiêm một đoạn mã để cố gắng sửa đổi các biến toàn cục và yêu cầu.

5. Hạn chế quyền truy cập vào wp-includes

Thư mục /wp-includes/ chứa các tệp WordPress cốt lõi. Không có lý do nào để cho phép bất cứ ai có quyền truy cập vào nó, bao gồm cả chủ sở hữu và quản trị viên. Vì vậy, để tăng cường bảo mật, tốt nhất là nên hạn chế tất cả quyền truy cập vào nó.

6. Hạn chế quyền truy cập trực tiếp vào các file PHP của Plugins & Themes

Như đã đề cập trước đó, không có lý do nào để bất kỳ ai có quyền truy cập vào các file php trong plugins và themes, vô hiệu hóa việc truy cập trực tiếp vào nó là một biện pháp bảo mật tốt.

7. Bảo vệ file xmlrpc.php

Hiện nay các chuyên gia đã phát hiện ra một phương thức mới để tấn công các website WordPress thông qua XML-RPC. Phương thức này tỏ ra hiệu quả khi kết hợp với cách truyền thống là Brute Force. Nó sẽ cố gắng vét cạn tất cả username/password để đăng nhập vào website và thực thi các lệnh được điều khiển tữ xa của hacker. Vì vậy để hạn chế điều này hãy chặn truy cập vào file xmlrpc.php trên website của bạn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây