Giới thiệu

Khi thiết lập một website WordPress, bảo mật là một trong những yếu tố quan trọng nhất mà bạn cần chú ý. File .htaccess là nơi bạn có thể cấu hình nhiều thiết lập để tăng cường bảo mật cho website của mình. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách sử dụng file .htaccess để bảo vệ website WordPress của bạn.

File .htaccess là gì?

File .htaccess là một file cấu hình trên máy chủ web sử dụng Apache. Nó cho phép bạn điều chỉnh cách mà máy chủ xử lý các yêu cầu từ người dùng mà không cần phải chỉnh sửa mã nguồn chính của máy chủ. Đây là một công cụ vô cùng mạnh mẽ cho phép bạn tối ưu hóa và bảo mật website của mình.

Cách truy cập vào file .htaccess

Bạn có thể tìm thấy file .htaccess trong thư mục gốc của cài đặt WordPress của mình. Để truy cập vào nó, bạn cần sử dụng một trong hai phương pháp sau:

• Sử dụng FTP: Sử dụng một phần mềm FTP như FileZilla để kết nối tới máy chủ của bạn. Tìm file .htaccess trong thư mục gốc của WordPress.


• Sử dụng trình quản lý file trong cPanel: Đăng nhập vào cPanel của bạn, mở phần trình quản lý file và tìm đến thư mục gốc của WordPress.

Sao lưu file .htaccess

Trước khi thực hiện bất kỳ thay đổi nào, hãy sao lưu file .htaccess hiện tại của bạn. Việc này giúp bạn có thể phục hồi lại khi cần thiết:

• Tải file .htaccess về máy tính của bạn qua FTP hoặc trình quản lý file.


• Ghi chú lại các thay đổi cần thực hiện để có thể hoàn tác nếu cần.

Cấu hình bảo mật trong file .htaccess

Dưới đây là một số cấu hình bảo mật mà bạn có thể thêm vào file .htaccess của mình:

1. Bảo vệ file wp-config.php

File wp-config.php chứa các thông tin nhạy cảm của website như tên cơ sở dữ liệu, tên người dùng và mật khẩu. Để bảo vệ file này, bạn có thể thêm đoạn mã sau vào file .htaccess:

# Ngăn truy cập vào wp-config.php



    RewriteEngine On

    RewriteBase /

    RewriteRule ^wp-config.php$ - [F,L]

2. Ngăn truy cập vào thư mục wp-admin

Bạn có thể yêu cầu đăng nhập để truy cập vào thư mục wp-admin bằng cách thêm đoạn mã này:

    Order Deny,Allow

    Deny from all

    Allow from YOUR_IP_ADDRESS

**Nhớ thay YOUR_IP_ADDRESS bằng địa chỉ IP của bạn.**

3. Ngăn chặn truy cập vào file .htaccess

Để bảo vệ file .htaccess không bị truy cập, bạn có thể sử dụng đoạn mã sau:

# Ngăn truy cập file .htaccess



    Order Allow,Deny

    Deny from all

4. Ngăn chặn hotlinking

Hotlinking xảy ra khi một website khác sử dụng trực tiếp hình ảnh từ website của bạn. Để ngăn chặn, bạn có thể thêm mã sau vào file .htaccess:

# Ngăn chặn hotlinking

RewriteEngine On

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^https?://(www\.)?yourdomain\.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [F]

**Thay yourdomain.com bằng tên miền của bạn.**

5. Tắt danh sách thư mục

Để ngăn không cho người dùng thấy danh sách các file trong thư mục, thêm mã sau:

# Tắt danh sách thư mục

Options -Indexes

Cấu hình cho HTTPS

Nếu bạn đã cài đặt chứng chỉ SSL cho website của mình, hãy đảm bảo rằng tất cả lưu lượng truy cập đều được chuyển hướng tới phiên bản HTTPS:

# Chuyển hướng từ HTTP sang HTTPS

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Các bước kiểm tra và xác nhận

Sau khi đã thực hiện các cấu hình trên file .htaccess, bạn cần kiểm tra để đảm bảo mọi thứ hoạt động chính xác:

• Mở trình duyệt và truy cập vào website của bạn.


• Kiểm tra xem bạn có thể truy cập vào các trang cần thiết như wp-admin hay không.


• Đảm bảo rằng các file bị bảo vệ không thể truy cập được.


• Kiểm tra trang web trên nhiều trình duyệt để đảm bảo sự tương thích.

Kết luận

Việc cấu hình file .htaccess là một trong những biện pháp bảo mật hiệu quả cho website WordPress của bạn. Bằng cách thực hiện các bước đã nêu, bạn sẽ giúp website của mình an toàn hơn trước các cuộc tấn công từ bên ngoài. Hãy luôn nhớ sao lưu file .htaccess trước khi thực hiện bất kỳ thay đổi nào để tránh mất mát tài liệu quan trọng.