Hiện nay, có khá nhiều plugin đình đám hỗ trợ làm Bảo Mật WordPress, chẳng hạn như: Itheme security, Defender Security. Các plugins này đều có chức năng tạo ra các file.htaccess để chặn hacker tấn công vào các folder nhạy cảm trên WordPress. Nhưng ở bài viết này, Phong Mỹ xin hướng dẫn cho bạn 1 cách đơn giản hơn, là tạo sẳn luôn file .htaccess và đặt vào các khu vực tương ứng trên WordPress, hãy cùng theo dõi bài viết nhé.
Hướng dẫn Bảo mật WordPress với .htaccess
Các folder được Plugins defender Security khuyến nghị nên tạo file .htaccess để ngăn các file có đuôi mở rộng .php truy cập trái phép gồm có:
/wp-includes/, /wp-content/, /uploads/. Các bạn có thể tự tạo các file .htaccess dưới máy tính hoặc tạo trực tiếp trên VPS / Hosting bằng cách sử dụng chức năng tạo file trên cPanel/ DirectAdmin.
.htaccess cho folder wp-includes
Với thư mục hệ thống /wp-includes/, bạn sẽ tạo file .htaccess với nội dung như bên dưới:
<Files *.php>
Order allow,deny
Deny from all
</Files>
<Files wp-tinymce.php>
Allow from all
</Files>
<Files ms-files.php>
Allow from all
</Files>
Options All -Indexes
.htaccess cho folder wp-content & uploads
/wp-content/ và /wp-content/uploads/<Files *.php>
Order allow,deny
Deny from all
</Files>
Options All -IndexesChặn truy cập các file nhạy cảm theo nhu cầu
Bạn sẽ thêm đoạn mã sau đây vào dòng cuối trong file .htaccess. File này sẽ nằm ngang hàng với wp-config.php
<FilesMatch "\.(txt|md|exe|sh|bak|inc|pot|po|mo|log|sql)$">
Order allow,deny
Deny from all
</FilesMatch>
<Files robots.txt>
Allow from all
</Files>
<Files ads.txt>
Allow from all
</Files>Việc này sẽ giúp bạn chặn mọi truy cập đến các file có đuôi mở rộng như: *.sh, *.sql, *.txt… trong thư mục cài đặt WordPress, ngoại trừ các file robots.txt và ads.txt. Bạn có thể thêm các đuôi file mở rộng của bạn vào vô tư nhé.
Luôn cài đặt backup sẳn sàng cho website
Không phủ nhận rằng nhà cung cấp cloud vps hoặc hosting cao cấp đã làm sẳn backup cho bạn, nhưng không thể vì thế mà lơ là. Hãy chuẩn bị nhiều bản backup cho website của bạn. Nếu vẫn chưa làm thì bạn có thể tham khảo bài viết – Hướng dẫn backup website WordPress với UpdraftPlus. Nó sẽ giúp bạn có 30 bản backup trên 1 tháng đấy :))
Việc này sẽ giúp ngăn chặn truy cập các file có đuôi *.sh, *.sql, *.sql, *.txt,vv… trong thư mục cài đặt WordPress nhưng vẫn cho phép file robots.txt và ads.txt
Với vài bước bên trên, bạn không còn cần phải cài thêm nhiều plugin bảo mật nữa, chúc các bạn có 1 website luôn an toàn và không bị các hacker “nhìn ngắm”
Thông tin liên hệ, hỗ trợ trực tuyến - PHONG MỸ DESIGN
CÔNG TY TNHH TMDV PHONG MỸ
Hotline / Zalo: 0973.01.02.58 - 0987.34.52.58
Email: info@phongmy.vn
Website: www.phongmy.vn
Địa chỉ: 160/10A Đ.ấp Thới Tây 2, ấp Thới Tây 2, Xã Tân Hiệp,H.Hóc Môn, TP.HCM
MST: 0316093547