12 Thủ thuật với file .htaccess mà bạn chưa bao giờ ngờ tới [NEW]

Rất nhiều người chưa bao giờ quan tâm đến tệp htaccess khi sử dụng WordPress.

Đây là một trong những tệp quan trọng nhất, có khả năng làm được nhiều thứ mà bạn không thể tưởng tượng được.

Từ cải thiện bảo mật, đến chuyển hướng một liên kết nhất định hoặc tăng thời gian chờ …

Rất nhiều và rất nhiều thứ hữu ích, nếu bạn tận dụng nó.

Trong bài viết này, tôi sẽ chỉ cho bạn một số thủ thuật với tệp .htaccess mà bạn có thể sử dụng.

Ghi chú: Tệp .htaccess chỉ khả dụng trên máy chủ web Apache.

thu-thuat-file-htaccess

Tệp htaccess ở đâu?

Trước khi bắt đầu, vẫn có một câu tôi thường nhắc các bạn.

Vui lòng sao lưu lại file .htaccess gốc trên website, nếu có lỗi hãy sao lưu ngay.

Nếu không thấy ở đâu, bạn vui lòng đọc lại bài viết này của mình (hướng dẫn chi tiết).

Nó ngay bên cạnh các thư mục như / wp-content, wp-admin, wp-upload

file-htaccess-o-dau

1. Bảo vệ khu vực quản trị trên WordPress

Bạn có thể sử dụng tệp .htaccess để bảo vệ khu vực quản trị WordPress.

Bởi chỉ những địa chỉ IP đã chọn mới được phép đăng nhập vào Quản trị viên.

Sao chép mã sau và dán vào tệp htaccess.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist User1 IP address
allow from xx.xx.xx.xxx
# whitelist User2 IP address
allow from xx.xx.xx.xxx
# whitelist User3 address
allow from xx.xx.xx.xxx
# whitelist User4 IP address
allow from xx.xx.xx.xxx
# whitelist User5 address
allow from xx.xx.xx.xxx
</LIMIT>

Thay thế xx.xx.xx.xxx bằng địa chỉ IP của bạn.

Nếu bạn thường truy cập ở các địa chỉ IP khác nhau, hãy thêm tất cả.

Ngoài ra, bạn cũng có thể tham khảo thêm một số cách khác như:

  • Cách giới hạn quyền truy cập vào Trang tổng quan
  • Tại sao và làm thế nào để giới hạn số lần đăng nhập không thành công

2. Mật khẩu bảo vệ thư mục quản trị WordPress

Nếu bạn thấy giới hạn địa chỉ IP hơi khó hiểu, vì bạn thường xuyên di chuyển.

Sau đó, tôi sẽ cung cấp cho bạn một giải pháp khác. Đó là tạo mật khẩu cho Folder / wp-admin /

Nhiều độc giả sẽ đến đây và đặt câu hỏi.

Tôi có phải đăng nhập để truy cập quản trị viên không?

Đúng ! Nhưng thêm một lớp bảo mật bổ sung cũng là một biện pháp đúng đắn

Đầu tiên, hãy tạo một tệp .htpasswd. Truy cập liên kết này để tạo nó.

Sau đó tải nó lên bên ngoài thư mục / public_html / (không phải bên trong)

  • /home/user/.htpasswds/

Tiếp theo, tạo tệp .htaccess

AuthName "Admins Only"
AuthUserFile /home/dieuhau/.htpasswds/
AuthGroupFile /dev/null
AuthType basic
require valid-user

Tầm quan trọng : Đừng quên thay thế đường dẫn AuthUserFile bằng đường dẫn đến tệp .htpasswds của bạn và dieuhau là tên người dùng tài khoản lưu trữ của bạn.

3. Tắt duyệt thư mục

Tốt nhất bạn nên tắt các chức năng truy cập thư mục thông qua trình duyệt (duyệt thư mục).

Thông qua cách này, tin tặc có thể truy cập vào các thư mục của bạn để tìm kiếm các lỗ hổng.

duyệt thư mục

Chỉ cần thêm dòng mã vào tệp .htaccess.

Options -Indexes

Đọc hướng dẫn chi tiết này về cách tắt quyền truy cập Tệp từ trình duyệt.

4. Vô hiệu hóa PHP Excecution trong một số thư mục

Tin tặc có thể tấn công trang web của bạn bằng cách cài đặt các cửa hậu.

Các tệp này thường giả mạo là tệp chính và nằm trong thư mục / wp-include / hoặc / wp-content / uploads /.

Để tăng cường bảo mật, hãy tắt thực thi PHP trong một số thư mục WordPress.

Chèn mã sau vào tệp htaccess. (tạo một tệp mới)

<Files *.php>
deny from all
</Files>

Bây giờ tải tệp này lên thư mục / wp-include / hoặc / wp-content / uploads /.

Đọc hướng dẫn chi tiết này ngay bây giờ Tắt xác thực PHP trong một số thư mục WordPress

5. Bảo vệ tệp wp-config.php

Tệp wp-config.php là một trong những tệp quan trọng nhất trong WordPress

Nó bao gồm thông tin về cơ sở dữ liệu WordPress và cách kết nối với trang web.

Để bảo vệ tệp wp-config.php khỏi những kẻ rình mò bên ngoài.

Vui lòng chèn mã sau:

<files wp-config.php>
order allow,deny
deny from all
</files>

6. Thiết lập chuyển hướng 301 qua tệp .htaccess

Nếu bạn phải chuyển hướng đến một URL mà không ảnh hưởng đến SEO, thì chuyển hướng 301 là sự lựa chọn dành cho bạn.

Ngoài ra, nếu bạn chỉ muốn điều hướng người dùng từ url này sang url khác.

Tất cả những gì bạn cần làm là thêm mã sau vào tệp .htaccess của mình.

Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/

Hoặc sử dụng Yoast SEO Premium để thuận tiện mà không cần phải chạm vào mã.

Hãy xem cách tạo chuyển hướng trong WordPress này.

7. Chặn các địa chỉ IP đáng ngờ

Bạn thấy các yêu cầu bất thường từ một địa chỉ IP nhất định?

Bạn muốn chặn địa chỉ IP đó kết nối với trang web của mình?

Vui lòng thêm mã bên dưới vào tệp .htaccess

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>

Thay thế xxx bằng địa chỉ IP bạn muốn chặn.

8. Tắt liên kết nóng hình ảnh

Việc cả ảnh và ảnh trên trang web bị đánh cắp không phải là chuyện hiếm.

Đôi khi bạn bè của họ thậm chí còn lấy ảnh trực tiếp từ trang web của bạn, tiêu tốn băng thông.

Và nó có thể sẽ làm chậm trang web của bạn.

Nếu bạn có một trang web với nhiều hình ảnh, liên kết nóng có thể trở thành một vấn đề nghiêm trọng.

Tuy nhiên, bạn có thể ngăn chặn sự cố này bằng cách thêm mã sau:

#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?dieuhau.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ – [NC,F,L] 

Đừng quên thay dieuhau.com bằng tên miền của bạn.

9. Bảo vệ tệp .htaccess khỏi các kết nối chưa được xác thực

Như bạn đã thấy, bạn có thể làm được nhiều điều với tệp .htaccess.

Vì vậy, bạn cần bảo vệ nó khỏi các kết nối đáng ngờ của tin tặc.

Thêm mã này vào tệp .htaccess của bạn:

<files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

10. Tăng giới hạn kích thước tải lên tệp trên WordPress

Một trong những cách để tăng giới hạn tải tệp lên là với tệp .htaccess.

Chèn mã sau vào tệp .htaccess:

php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300

11. Vô hiệu hóa quyền truy cập tệp XML-RPC

Mỗi khi WordPress cài đặt thành công, sẽ có một tệp mặc định là xmlrpc.php.

Tệp này cho phép các ứng dụng của bên thứ 3 truy cập vào trang WordPress.

Tắt nó đi nếu bạn thực sự không cần.

Sử dụng mã sau:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Đọc bài viết này Cách tắt XML-RPC trong WordPress để biết thêm chi tiết về vấn đề này.

12. Chặn tác giả quét trên WordPress

Một trong những kỹ thuật tấn công brute force là chạy quét tác giả trên trang WordPress.

Sau đó, cố gắng bẻ khóa mật khẩu bằng tên người dùng đó.

Hãy chặn tác giả quét bằng mã sau:

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=d+) [NC]
RewriteRule .* - [F]
# END block author scans

Tìm hiểu thêm về Cách ngăn chặn Brute Force bằng cách khóa Tác giả Quét

Với tất cả các hướng dẫn trên, tôi chỉ muốn nói với bạn rằng tệp htaccess rất quan trọng.

Áp dụng các thủ thuật này với tệp .htaccess để bảo mật trang web WordPress của bạn.

Nếu bạn có bất kỳ câu hỏi hoặc vấn đề gì, hãy bình luận bên dưới.