Nếu bạn chưa biết thì mặc định WordPress sẽ cung cấp quyền ghi trên một số thư mục.
Ví dụ như để upload theme, plugin hoặc hình ảnh ( với user có quyền).
Tuy nhiên đây chính là một kẽ hở để hacker lợi dụng upload backdoor hoặc malware tấn công website.
Các file này thường được ngụy trang giống với source code của WordPress.
Phần lớn sẽ được viết bằng PHP có khả năng chạy nền ( để cho phép truy cập vào website bạn).
Nghe rất nguy hiểm đúng không?
Diều Hâu sẽ hướng dẫn bạn thực hiện một vài mẹo nhỏ để ngăn chặn điều này.
Đơn giản bạn chỉ cần vô hiệu hóa chạy PHP trên các thư mục không cần thiết.
Làm vậy thì mọi file php sẽ không thể chạy được trên thư mục đó nữa.
Vô hiệu hóa chạy PHP trên những thư mục WordPress
Đây là một trong những thủ thuật bảo mật WordPress mà bạn nên áp dụng ngay.
Trong bài này mình hướng dẫn bạn vô hiệu hóa chạy PHP bằng file .htaccess
File .htaccess là một tệp cấu hình rất mạnh mẽ trên Apache server.
Nếu bạn không nhìn thấy file .htaccess có khả năng bạn đang dùng Ngnix hoặc web server khác.
Hoặc nó bị ẩn đi, hãy tham khảo thủ thuật với file .htaccess nhé.
Đầu tiên bạn sẽ cần tạo file .htaccess và upload nó lên thư mục /wp-includes/
và /wp-content/uploads
Sau đó dụng bất cứ text editor nào như Notepad hoặc Notepad++ để thêm đoạn code sau:
Nhớ lưu lại thành file .htaccess hoặc có thể tạo file dưới máy rồi upload lên.
Nếu server bạn có cPanel thì dùng File Manager hoặc FTP Client.
Lưu ý là cách này giúp bạn tăng cường bảo mật cho website, còn nếu đã bị dính virus.
Thì nó sẽ phải cách để sửa khi dã bị hacker tấn công nhé.
Ngoài ra mình khuyên các bạn nên sử dụng các plugin bảo mật
Như iTheme Sercurity hoặc Wordfence ( mình đang dùng iTheme Sercurity Premium thấy khá ổn)
Chúng quét website xem có lỗ hổng bảo mật nào không, virus, malware…
Tường lửa ngăn chặn các kẻ đáng ngờ muốn tấn công vào website.
Visitor Rating: 1 Stars
Chào pác, cho mình hỏi, có cần upload htaccess vào các folder chứa hình ảnh ko?
Ví dụ: /wp-content/uploads/2020/8
Vào folder /uploads là được rồi bạn.
Vâng, cảm ơn pác nhiều
Dùng ngix có xài được file .htaccess k bạn. Tks!
Không bạn nhé, bạn dùng tool này để convert htaccess sang Nginx nha: https://www.getpagespeed.com/apache-to-nginx
Tks bạn, sau khi convert nội dung xong cũng tạo file .htaccess rồi up lên đúng k bạn? Nếu k đúng thì bạn hướng dẫn cụ thể giùm nhé, mình k rành món này. Tks!
Không bạn nhé, Nginx không dùng htaccess, sau khi convert xong bạn copy cái đó vào nginx.conf nhé.
Copy vào file domain.com.conf trong etc/nginx/conf.d hả bạn?
đúng rồi đó bạn