Trong thế giới phát triển trang web với WordPress, việc làm quen với file .htaccess có thể là một phần quan trọng của công việc của bạn. Và để giúp bạn tối ưu hóa trang web WordPress của mình, CongVietBlog đã tổng hợp 12 thủ thuật .htaccess hữu ích nhất trong bài viết này. Hãy cùng khám phá những cách tận dụng file .htaccess để cải thiện hiệu suất và bảo mật của trang web của bạn.
File .htaccess là gì và cách chỉnh sửa nó?
File .htaccess là file cấu hình máy chủ. Nó cho phép bạn xác định các quy tắc để máy chủ tuân theo cho trang web của bạn.
WordPress sử dụng file .htaccess để tạo cấu trúc URL thân thiện với SEO. Tuy nhiên, tập tin này có thể làm được nhiều hơn thế.
File .htaccess nằm trong thư mục gốc của trang WordPress của bạn. Bạn sẽ cần kết nối với trang web của mình bằng ứng dụng FTP client để chỉnh sửa nó.
Nếu bạn không thể tìm thấy file .htaccess của mình, hãy xem hướng dẫn của CongVietBlog về cách tìm file .htaccess trong WordPress.
Trước khi chỉnh sửa file .htaccess, điều quan trọng là phải tải bản sao của file đó xuống máy tính của bạn để sao lưu. Bạn có thể sử dụng tập tin đó trong trường hợp có sự cố.
Như đã nói, chúng ta hãy xem một số thủ thuật .htaccess hữu ích cho WordPress mà bạn có thể thử.
1. Bảo vệ khu vực quản trị WordPress của bạn
Bạn có thể sử dụng .htaccess để bảo vệ khu vực quản trị WordPress của mình bằng cách giới hạn quyền truy cập vào các địa chỉ IP đã chọn. Chỉ cần sao chép và dán code này vào file .htaccess của bạn:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Đừng quên thay thế giá trị xx bằng địa chỉ IP của riêng bạn. Nếu bạn sử dụng nhiều địa chỉ IP để truy cập Internet, hãy đảm bảo bạn cũng thêm chúng.
Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của CongVietBlog về cách giới hạn quyền truy cập đối với quản trị viên WordPress bằng .htaccess .
2. Bảo vệ thư mục quản trị WordPress bằng mật khẩu
Nếu bạn truy cập trang web WordPress của mình từ nhiều vị trí bao gồm các điểm internet công cộng thì việc giới hạn quyền truy cập vào các địa chỉ IP cụ thể có thể không hiệu quả với bạn.
Bạn có thể sử dụng file .htaccess để thêm mật khẩu bảo vệ bổ sung vào khu vực quản trị WordPress của mình.
Trước tiên, bạn cần tạo file .htpasswds. Bạn có thể dễ dàng tạo một cái bằng cách sử dụng trình tạo trực tuyến này.
Tải file .htpasswds này lên bên ngoài thư mục web có thể truy cập công khai của bạn hoặc thư mục /public_html/
. Một đường dẫn tốt có thể là:
/home/user/.htpasswds/public_html/wp-admin/passwd/
Tiếp theo, tạo file .htaccess và tải nó lên thư mục /wp-admin/
rồi thêm các code sau vào đó:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Quan trọng: Đừng quên thay thế đường dẫn AuthUserFile
bằng đường dẫn file của file .htpasswds và thêm tên người dùng của riêng bạn.
Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của CongVietBlog về cách bảo vệ mật khẩu thư mục quản trị viên WordPress.
3. Tắt Chức năng Duyệt Thư Mục
Nhiều chuyên gia bảo mật WordPress khuyên bạn nên tắt tính năng duyệt thư mục. Khi bật duyệt thư mục, tin tặc có thể xem cấu trúc thư mục và file trên trang web của bạn để tìm file dễ bị tấn công.
Để tắt tính năng duyệt thư mục trên trang web của bạn, bạn cần thêm dòng sau vào file .htaccess của mình.
Options -Indexes
Để biết thêm về chủ đề này, hãy xem hướng dẫn của CongVietBlog về cách tắt tính năng duyệt thư mục trong WordPress.
4. Tắt thực thi PHP trong một số thư mục WordPress
Đôi khi, các hacker xâm nhập vào một trang web WordPress và cài đặt một lối ra sau (backdoor). Các file cửa sau này thường được ngụy trang thành các file WordPress cốt lõi và được đặt trong các thư mục /wp-includes/
hoặc /wp-content/uploads/
.
Một cách dễ dàng để cải thiện bảo mật cho WordPress của bạn là tắt thực thi PHP cho một số thư mục của WordPress.
Bạn sẽ cần tạo một file .htaccess trống trên máy tính của mình rồi dán đoạn code sau vào đó.
<Files *.php>
deny from all
</Files>
Lưu file và sau đó tải nó lên thư mục /wp-content/uploads/
và /wp-includes/
của bạn. Để biết thêm thông tin, hãy xem hướng dẫn của CongVietBlog về cách tắt tính năng thực thi PHP trong một số thư mục WordPress nhất định.
5. Bảo vệ file wp-config.php cấu hình WordPress của bạn
Có lẽ file quan trọng nhất trong thư mục gốc của trang web WordPress của bạn là file wp-config.php. Nó chứa thông tin về cơ sở dữ liệu WordPress của bạn và cách kết nối với nó.
Để bảo vệ file wp-config.php của bạn khỏi bị truy cập trái phép, chỉ cần thêm code này vào file .htaccess của bạn:
<files wp-config.php>
order allow,deny
deny from all
</files>
6. Thiết lập chuyển hướng 301 thông qua file .htaccess
Sử dụng chuyển hướng 301 là cách thân thiện nhất với SEO để thông báo cho người dùng của bạn rằng nội dung đã được chuyển đến một vị trí mới. Nếu bạn muốn quản lý đúng cách chuyển hướng 301 của mình trên cơ sở các bài đăng, hãy xem hướng dẫn của CongVietBlog về cách thiết lập chuyển hướng trong WordPress.
Mặt khác, nếu bạn muốn nhanh chóng thiết lập chuyển hướng, thì tất cả những gì bạn cần làm là dán code này vào file .htaccess của mình.
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/
7. Cấm các địa chỉ IP đáng ngờ
Bạn có thấy yêu cầu cao bất thường đối với trang web của mình từ một địa chỉ IP cụ thể không? Bạn có thể dễ dàng chặn những yêu cầu đó bằng cách chặn địa chỉ IP trong file .htaccess của mình.
Thêm code sau vào file .htaccess của bạn:
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
Đừng quên thay xx bằng địa chỉ IP bạn muốn chặn.
8. Vô hiệu hóa liên kết hình ảnh trong WordPress bằng .htaccess
Các trang web khác liên kết trực tiếp hình ảnh từ trang web của bạn có thể làm cho trang web WordPress của bạn chậm và vượt quá giới hạn băng thông. Đây không phải là vấn đề lớn đối với hầu hết các trang web nhỏ hơn. Tuy nhiên, nếu bạn điều hành một trang web phổ biến hoặc một trang web có nhiều ảnh thì điều này có thể trở thành một mối lo ngại nghiêm trọng.
Bạn có thể ngăn chặn việc liên kết hình ảnh trực tiếp bằng cách thêm code này vào tệp .htaccess của bạn:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?congvietit.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Code này chỉ cho phép hiển thị hình ảnh nếu yêu cầu bắt nguồn từ congvietit.com hoặc Google.com. Đừng quên thay thế congvietit.com bằng tên miền của riêng bạn.
Để biết thêm cách bảo vệ hình ảnh của bạn, hãy xem hướng dẫn của CongVietBlog về cách ngăn chặn hành vi trộm cắp hình ảnh trong WordPress.
9. Bảo vệ .htaccess khỏi sự truy cập trái phép
Như bạn đã thấy, có rất nhiều thứ có thể được thực hiện bằng file .htaccess. Do sức mạnh và khả năng kiểm soát của nó trên máy chủ web của bạn, điều quan trọng là phải bảo vệ nó khỏi sự truy cập trái phép của tin tặc. Chỉ cần thêm code sau vào file .htaccess của bạn:
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
10. Tăng kích thước tải lên file trong WordPress
Có nhiều cách khác nhau để tăng giới hạn kích thước tải lên file trong WordPress. Tuy nhiên, đối với người dùng sử dụng dịch vụ lưu trữ chia sẻ, một số phương pháp này không có tác dụng.
Một trong những phương pháp hiệu quả với nhiều người dùng là thêm code sau vào file .htaccess của họ:
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
Code này chỉ yêu cầu máy chủ web của bạn sử dụng các giá trị này để tăng kích thước tải lên file cũng như thời gian thực hiện tối đa trong WordPress.
11. Vô hiệu hóa quyền truy cập vào file XML-RPC bằng .htaccess
Mỗi lần cài đặt WordPress đều đi kèm với một file có tên xmlrpc.php. File này cho phép các ứng dụng của bên thứ ba kết nối với trang web WordPress của bạn. Hầu hết các chuyên gia bảo mật WordPress đều khuyên rằng nếu bạn không sử dụng bất kỳ ứng dụng của bên thứ ba nào thì bạn nên tắt tính năng này.
Có nhiều cách để làm điều đó, một trong số đó là thêm đoạn code sau vào file .htaccess của bạn:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Để biết thêm thông tin, hãy xem hướng dẫn của CongVietBlog về cách tắt XML-RPC trong WordPress.
12. Chặn quét tác giả trong WordPress
Một kỹ thuật phổ biến được sử dụng trong các cuộc tấn công là chạy quét tác giả trên trang web WordPress và sau đó cố gắng bẻ khóa mật khẩu cho những tên người dùng đó.
Bạn có thể chặn những lần quét như vậy bằng cách thêm code sau vào file .htaccess của mình:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Để biết thêm thông tin, hãy xem bài viết của CongVietBlog về cách ngăn chặn các cuộc tấn công bằng cách chặn quét tác giả trong WordPress .
CongVietBlog hy vọng bài viết này đã giúp bạn tìm hiểu các thủ thuật .htaccess hữu ích nhất cho WordPress. Bạn cũng có thể muốn xem hướng dẫn bảo mật WordPress từ cơ bản đến nâng cao của CongVietBlog.
Nếu bạn thích bài viết này, vui lòng đăng ký Kênh YouTube của CongVietBlog để xem các video hướng dẫn về WordPress. Bạn cũng có thể tìm thấy CongVietBlog trên Facebook.