12 thủ thuật hữu ích bạn cần biết khi sử dụng .htaccess
Bạn đang tìm kiếm một số thủ thuật hữu ích về file .htaccess cho trang WordPress của bạn. File .htaccess là một file cấu hình giúp bạn có thể làm được rất nhiều thứ trên trang web của bạn. Trong bài này, chúng tôi sẽ giới thiệu cho bạn một số thủ thuật hữu ích nhất của .htaccess cho WordPress mà bạn có thể thử ngay.
Mục Lục
- File .htaccess và cách chỉnh sửa?
- 1. Bảo vệ trang quản trị WordPress của bạn
- 2. Mật khẩu Bảo vệ WordPress Admin Folder
- 3. Vô hiệu hoá Trình duyệt Thư mục
- 4. Vô hiệu hoá PHP Execution trong một số thư mục WordPress
- 5. Bảo vệ file wp-config.php trong WordPress
- 6. Thiết lập Redirect 301 qua tệp .htaccess
- 7. Ngăn chặn địa chỉ IP đáng ngờ
- 8. Vô hiệu hoá Hotlinking Hình trong WordPress Sử dụng .htaccess
- 9. Bảo vệ .htaccess khỏi sự truy cập trái phép
- 10. Tăng kích thước tải tệp lên trong WordPress
- 11. Vô hiệu hoá quyền truy cập vào tệp tin XML-RPC bằng .htaccess
- 12. Chặn scan author trong WordPress
File .htaccess và cách chỉnh sửa?
Tệp .htaccess là tệp cấu hình máy chủ. Nó cho phép bạn xác định các quy tắc cho máy chủ của bạn để áp dụng cho trang web của bạn.
WordPress sử dụng tệp tin .htaccess để tạo ra cấu trúc URL thân thiện với SEO . Tuy nhiên, tập tin này còn có nhiều chức năng hơn nữa.
Tập tin .htaccess nằm trong thư mục gốc của trang WordPress của bạn. Bạn sẽ cần phải kết nối với trang web của bạn bằng cách sử dụng FTP client để chỉnh sửa nó.
Trước khi chỉnh sửa tệp tin .htaccess của bạn,nên tải bản copy của nó vào máy tính của bạn dưới dạng bản sao lưu. Bạn có thể sử dụng tập tin đó trong trường hợp bất cứ điều gì sai.
Sau đó chúng ta hãy xem một số thủ thuật hữu ích .htaccess cho WordPress mà bạn có thể thử.
1. Bảo vệ trang quản trị WordPress của bạn
Bạn có thể sử dụng .htaccess để bảo vệ trang quản trị WordPress của bạn bằng cách hạn chế quyền truy cập vào các địa chỉ IP đã chọn. Đơn giản chỉ cần sao chép và dán mã này vào tệp tin .htaccess của bạn:
|
1
2
3
4
5
6
7
8
9
10
11
12
|
AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "WordPress Admin Access Control"AuthType Basic<LIMIT GET>order deny,allowdeny from all# whitelist Syed's IP addressallow from xx.xx.xx.xxx# whitelist David's IP addressallow from xx.xx.xx.xxx</LIMIT> |
Đừng quên thay thế các giá trị xx bằng địa chỉ IP của bạn. Nếu bạn sử dụng nhiều địa chỉ IP để truy cập vào internet, hãy chắc chắn rằng bạn thêm chúng vào.
2. Mật khẩu Bảo vệ WordPress Admin Folder
Nếu bạn truy cập trang WordPress của bạn từ nhiều địa điểm bao gồm cả các điểm internet công cộng, thì việc hạn chế quyền truy cập vào các địa chỉ IP cụ thể có thể không phù hợp với bạn.
Bạn có thể sử dụng tệp .htaccess để thêm bảo vệ mật khẩu bổ sung cho trang quản trị WordPress của mình.
Đầu tiên, bạn cần phải tạo một tệp .htpasswd. Sau đó tải tệp tin .htpasswds này bên ngoài thư mục web có thể truy cập công cộng của bạn hoặc / public_html / folder. Một đường dẫn tốt sẽ là:
/home/user/.htpasswds/public_html/wp-admin/passwd/
Tiếp theo, tạo tệp tin .htaccess và tải nó lên / wp-admin / và sau đó thêm các mã sau vào đó:
|
1
2
3
4
5
6
7
8
9
10
|
AuthName "Admins Only"AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwdAuthGroupFile /dev/nullAuthType basicrequire user putyourusernamehere<Files admin-ajax.php>Order allow,denyAllow from allSatisfy any </Files> |
Quan trọng: Đừng quên thay đường dẫn của tệp tin AuthUserFile bằng đường dẫn tệp của tệp .htpasswds của bạn và thêm tên người dùng của bạn.
3. Vô hiệu hoá Trình duyệt Thư mục
Nhiều chuyên gia bảo mật WordPress khuyên bạn nên tắt trình duyệt thư mục. Với tính năng bật duyệt thư mục, hacker có thể nhìn vào thư mục và cấu trúc tệp của trang web của bạn để tìm ra các lỗ hổng bảo mật.
Để vô hiệu hóa trình duyệt thư mục trên trang web của bạn, bạn cần thêm dòng sau vào tệp tin .htaccess của mình.
|
1
|
Options -Indexes |
4. Vô hiệu hoá PHP Execution trong một số thư mục WordPress
Đôi khi các hacker đột nhập vào một trang web WordPress và cài đặt backdoor. Các tệp tin backdoor này thường được ngụy trang dưới dạng tệp WordPress chính và được đặt trong thư mục / wp-includes / hoặc / wp-content / uploads / folders.
Một cách dễ dàng hơn để cải thiện bảo mật WordPress của bạn là vô hiệu hóa hoạt động PHP cho một số thư mục WordPress.
Bạn sẽ cần phải tạo một tệp tin .htaccess trống trên máy tính của bạn và sau đó dán mã bên dưới nó.
|
1
2
3
|
<Files *.php>deny from all</Files> |
Lưu tệp và sau đó tải nó lên / wp / content / uploads / i / wp-includes / directories của bạn. Để biết thêm thông tin, hãy kiểm tra hướng dẫn của chúng tôi về cách vô hiệu hóa việc thực hiện PHP trong các thư mục WordPress nhất định .
5. Bảo vệ file wp-config.php trong WordPress
Có lẽ tệp tin quan trọng nhất trong thư mục gốc của trang web WordPress của bạn là tệp wp-config.php . Nó chứa thông tin về cơ sở dữ liệu WordPress của bạn và cách kết nối với nó.
Để bảo vệ tập tin wp-config.php của bạn khỏi truy cập không được kiểm tra, chỉ cần thêm mã này vào tệp tin .htaccess của bạn:
|
1
2
3
4
|
<files wp-config.php>order allow,denydeny from all</files> |
6. Thiết lập Redirect 301 qua tệp .htaccess
Sử dụng chuyển hướng redirect 301 là cách tốt nhất với SEO để thông báo trang đã được chuyển sang địa chỉ khác.
Ví dụ, bạn muốn chuyển hướng bài viết cũ http://example.com/oldurl/ tới địa chỉ mới http://www.example.com/newurl thì tất cả những gì bạn cần làm là dán mã này vào tệp tin .htaccess của bạn.
|
1
|
Redirect 301 /oldurl/ http://www.example.com/newurl |
7. Ngăn chặn địa chỉ IP đáng ngờ
Bạn có nhận thấy các yêu cầu cao bất thường đối với trang web của bạn từ một địa chỉ IP cụ thể không? Bạn có thể dễ dàng chặn các yêu cầu bằng cách chặn địa chỉ IP trong tệp tin .htaccess của bạn.
Thêm mã sau vào tệp tin .htaccess của bạn:
|
1
2
3
4
5
|
<Limit GET POST>order allow,denydeny from xxx.xxx.xx.xallow from all</Limit> |
Đừng quên thay thế xx bằng địa chỉ IP mà bạn muốn chặn.
8. Vô hiệu hoá Hotlinking Hình trong WordPress Sử dụng .htaccess
Hotlinking, hay còn gọi là trộm băng thông là hành động các webiste khác liên kết trực tiếp với các tài nguyên bên bạn để giảm băng thông sử dụng. Các trang web sử dụng hình ảnh từ trang web của bạn có thể làm cho trang WordPress của bạn chậm và vượt quá giới hạn băng thông của bạn. Đây không phải là vấn đề lớn đối với hầu hết các trang web nhỏ ít file đa phương tiện. Tuy nhiên, nếu bạn điều hành một trang web lớn hoặc một trang web có rất nhiều ảnh, thì điều này có thể trở thành mối quan tâm nghiêm trọng.
Bạn có thể ngăn chặn hotlinking bằng cách thêm mã này vào tệp tin .htaccess của bạn:
|
1
2
3
4
5
6
|
#disable hotlinking of images with forbidden or custom image optionRewriteEngine onRewriteCond %{HTTP_REFERER} !^$RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L] |
Mã này chỉ cho phép hình ảnh được hiển thị nếu được cho phép từ example.com hoặc Google.com. Đừng quên thay thế example.com bằng tên miền của riêng bạn.
9. Bảo vệ .htaccess khỏi sự truy cập trái phép
Như bạn đã biết, có rất nhiều thứ có thể được thực hiện bằng cách sử dụng tệp tin .htaccess. Để quản lý và tuỳ chỉnh nó chỉ có thể sử dụng từ phía server hosting của bạn. Do vậy điều quan trọng là phải bảo vệ nó khỏi bị truy cập trái phép bởi tin tặc. Chỉ cần thêm mã sau vào tệp tin .htaccess của bạn:
|
1
2
3
4
5
|
<files ~ "^.*\.([Hh][Tt][Aa])">order allow,denydeny from allsatisfy all</files> |
10. Tăng kích thước tải tệp lên trong WordPress
Một trong những phương pháp đã làm việc cho nhiều người dùng bằng cách thêm mã sau vào tệp tin .htaccess của chúng:
|
1
2
3
4
|
php_value upload_max_filesize 64Mphp_value post_max_size 64Mphp_value max_execution_time 300php_value max_input_time 300 |
Mã này chỉ đơn giản nói với máy chủ web của bạn sử dụng các giá trị này để tăng kích thước tải lên của tệp cũng như thời gian thực hiện tối đa trong WordPress.
11. Vô hiệu hoá quyền truy cập vào tệp tin XML-RPC bằng .htaccess
Khi cài đặt WordPress đi cùng với một tệp có tên xmlrpc.php. Tệp này cho phép các ứng dụng bên thứ ba kết nối với trang web WordPress của bạn. Hầu hết các chuyên gia bảo mật WordPress khuyên rằng nếu bạn không sử dụng bất kỳ ứng dụng của bên thứ ba, thì bạn nên tắt tính năng này.
Có nhiều cách để làm điều đó, một trong số chúng là thêm mã sau vào tệp tin .htaccess của bạn:
|
1
2
3
4
5
|
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from all</Files> |
Một kỹ thuật phổ biến được sử dụng trong các cuộc tấn công là chạy các tác giả quét trên một trang WordPress và sau đó cố gắng để crack mật khẩu cho những tên người dùng đó.
Bạn có thể chặn quét như vậy bằng cách thêm mã sau vào tệp tin .htaccess của bạn:
|
1
2
3
4
5
6
|
# BEGIN block author scansRewriteEngine OnRewriteBase /RewriteCond %{QUERY_STRING} (author=\d+) [NC]RewriteRule .* - [F]# END block author scans |
Chúng tôi hy vọng bài viết này đã giúp bạn hiểu rõ hơn về .htaccess trong WordPress.