Vô hiệu hóa PHP trong một vài thư mục không cần thiết trong WordPress

Nếu bạn chưa biết thì mặc định WordPress sẽ cung cấp quyền ghi trên một số thư mục.

Ví dụ như để upload theme, plugin hoặc hình ảnh ( với user có quyền).

Tuy nhiên đây chính là một kẽ hở để hacker lợi dụng upload backdoor hoặc malware tấn công website.

Các file này thường được ngụy trang giống với source code của WordPress.

Phần lớn sẽ được viết bằng PHP có khả năng chạy nền ( để cho phép truy cập vào website bạn).

Nghe rất nguy hiểm đúng không?

Diều Hâu sẽ hướng dẫn bạn thực hiện một vài mẹo nhỏ để ngăn chặn điều này.

Đơn giản bạn chỉ cần vô hiệu hóa chạy PHP trên các thư mục không cần thiết.

Làm vậy thì mọi file php sẽ không thể chạy được trên thư mục đó nữa.

vô hiệu hóa php trong thư mục WordPress

Vô hiệu hóa chạy PHP trên những thư mục WordPress

Đây là một trong những thủ thuật bảo mật WordPress mà bạn nên áp dụng ngay.

Trong bài này mình hướng dẫn bạn vô hiệu hóa chạy PHP bằng file .htaccess

File .htaccess là một tệp cấu hình rất mạnh mẽ trên Apache server.

Nếu bạn không nhìn thấy file .htaccess có khả năng bạn đang dùng Ngnix hoặc web server khác.

Hoặc nó bị ẩn đi, hãy tham khảo thủ thuật với file .htaccess nhé.

Đầu tiên bạn sẽ cần tạo file .htaccess và upload nó lên thư mục /wp-includes//wp-content/uploads

Sau đó dụng bất cứ text editor nào như Notepad hoặc Notepad++ để thêm đoạn code sau:

vo-hieu-hoa-php

Nhớ lưu lại thành file .htaccess hoặc có thể tạo file dưới máy rồi upload lên.

Nếu server bạn có cPanel thì dùng File Manager hoặc FTP Client.

Lưu ý là cách này giúp bạn tăng cường bảo mật cho website, còn nếu đã bị dính virus.

Thì nó sẽ phải cách để sửa khi dã bị hacker tấn công nhé.

Ngoài ra mình khuyên các bạn nên sử dụng các plugin bảo mật

Như iTheme Sercurity hoặc Wordfence ( mình đang dùng iTheme Sercurity Premium thấy khá ổn)

Chúng quét website xem có lỗ hổng bảo mật nào không, virus, malware…

Tường lửa ngăn chặn các kẻ đáng ngờ muốn tấn công vào website.

Gần đây plugin wpDiscuz 7.04 có dính lỗi bảo mật cho phép user upload các file .php lên website. Chính vì thế với những ai đang dùng plugin cho phép user upload các file nên cẩn thận và sử dụng phương pháp này nhé.
Chia sẻ lên:
Đăng ký
Thông báo về
guest
10 Bình Luận
Inline Feedbacks
View all comments

Vô danh
Vô danh
08/10/2018 4:57 pm

Visitor Rating: 1 Stars

Hai
Hai
18/09/2020 11:06 am

Chào pác, cho mình hỏi, có cần upload htaccess vào các folder chứa hình ảnh ko?
Ví dụ: /wp-content/uploads/2020/8

Diều Hâu
Quản trị viên
Trả lời  Hai
18/09/2020 11:16 am

Vào folder /uploads là được rồi bạn.

Hai
Hai
Trả lời  Diều Hâu
18/09/2020 11:28 am

Vâng, cảm ơn pác nhiều

Ngoc Nguyen
13/09/2021 1:59 pm

Dùng ngix có xài được file .htaccess k bạn. Tks!

Minh An
Quản trị viên
Trả lời  Ngoc Nguyen
13/09/2021 3:41 pm

Không bạn nhé, bạn dùng tool này để convert htaccess sang Nginx nha: https://www.getpagespeed.com/apache-to-nginx

Ngoc Nguyen
Trả lời  Minh An
13/09/2021 4:20 pm

Tks bạn, sau khi convert nội dung xong cũng tạo file .htaccess rồi up lên đúng k bạn? Nếu k đúng thì bạn hướng dẫn cụ thể giùm nhé, mình k rành món này. Tks!

Minh An
Quản trị viên
Trả lời  Ngoc Nguyen
13/09/2021 5:08 pm

Không bạn nhé, Nginx không dùng htaccess, sau khi convert xong bạn copy cái đó vào nginx.conf nhé.

Ngoc Nguyen
Trả lời  Minh An
13/09/2021 5:30 pm

Copy vào file domain.com.conf trong etc/nginx/conf.d hả bạn?

Minh An
Quản trị viên
Trả lời  Ngoc Nguyen
13/09/2021 9:50 pm

đúng rồi đó bạn