12 thủ thuật sử dụng file .htaccess hữu ích nhất cho WordPress
Tập tin .htaccess là một tập tin cấu hình mạnh mẽ cho phép bạn làm rất nhiều thứ trên trang web của bạn. Trong bài này, chúng tôi sẽ giới thiệu cho bạn một số thủ thuật .htaccess hữu ích nhất cho WordPress mà bạn có thể áp dụng ngay.
Contents
File .htaccess là gì và làm thế nào để sửa nó?
File .htaccess là tệp tin cấu hình máy chủ. Nó cho phép bạn xác định các quy tắc cho máy chủ của bạn.
WordPress sử dụng tệp tin .htaccess để tạo ra cấu trúc URL thân thiện với SEO. Tuy nhiên, tập tin này có thể làm được nhiều hơn như thế.
Tập tin .htaccess nằm trong thư mục gốc của trang WordPress. Bạn cần phải kết nối với trang web của bạn bằng cách sử dụng một FTP client để có thể chỉnh sửa nó.
Trước khi chỉnh sửa tệp tin .htaccess của bạn, điều quan trọng mà bạn cần nhớ là phải tải bản sao của nó vào máy tính của bạn dưới dạng bản sao lưu. Bạn có thể sử dụng tập tin đó trong trường hợp tập tin mà bạn đang sửa gặp vấn đề.
Dưới đây là một số thủ thuật .htaccess hữu ích cho WordPress mà bạn có thể thử.
-
Bảo vệ khu vực WordPress Admin
Bạn có thể sử dụng .htaccess để bảo vệ vùng quản trị WordPress bằng cách hạn chế quyền truy cập vào các địa chỉ IP đã chọn. Đơn giản chỉ cần sao chép và dán mã này vào tệp tin .htaccess của bạn:
| 1
2 3 4 5 6 7 8 9 10 11 12 |
AuthUserFile /dev/null
AuthGroupFile /dev/null AuthName “WordPress Admin Access Control” AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed’s IP address allow from xx.xx.xx.xxx # whitelist David’s IP address allow from xx.xx.xx.xxx </LIMIT> |
Đừng quên thay thế các giá trị xx bằng địa chỉ IP của bạn. Nếu bạn sử dụng nhiều địa chỉ IP để truy cập vào internet, đừng quên thêm chúng vào nhé.
-
Mật khẩu Bảo vệ WordPress Admin Folder
Nếu bạn truy cập trang WordPress của bạn từ nhiều địa điểm bao gồm cả các điểm internet công cộng thì việc giới hạn quyền truy cập vào các địa chỉ IP cụ thể có vẻ không phù hợp với bạn.
Bạn có thể sử dụng tệp .htaccess để thêm mật khẩu bổ sung cho khu vực quản trị WordPress của mình.
Đầu tiên, bạn cần phải tạo một tệp .htpasswd. Bạn có thể dễ dàng tạo ra bằng cách truy cập htaccesstools.com
Tải lên tệp tin .htpasswds này vào / public_html / folder. Đường dẫn tốt có dạng:
/home/user/.htpasswds/public_html/wp-admin/passwd/
Tiếp theo, tạo tệp tin .htaccess và tải nó lên / wp-admin / và sau đó thêm mã sau:
| 1
2 3 4 5 6 7 8 9 10 |
AuthName “Admins Only”
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehere <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files> |
Chú ý: Đừng quên thay đường dẫn của tệp tin AuthUserFile bằng đường dẫn của tệp .htpasswds của bạn và thêm username.
-
Vô hiệu hoá Directory Browsing
Nhiều chuyên gia bảo mật WordPress khuyên bạn nên tắt chức năng truy cập file từ trình duyệt (Directory Browsing). Với tính năng này, hacker có thể nhìn vào thư mục và cấu trúc tệp của trang web của bạn để tìm tệp dễ bị làm hại nhất.
Để vô hiệu hóa Directory Browsing, bạn cần thêm dòng sau vào tệp tin .htaccess của mình.
| 1 | Options -Indexes |
-
Vô hiệu hoá PHP Execution trong một vài WordPress Directory
Đôi khi các hacker đột nhập vào một trang web WordPress và cài đặt một backdoor (phương pháp vượt qua bước xác thực website thông thường mà không bị phát hiện). Các tệp tin backdoor này thường được ngụy trang dưới dạng các tệp WordPress chính và được đặt trong thư mục / wp-includes / hoặc / wp-content / uploads / folders.
Một cách dễ dàng hơn để cải thiện bảo mật WordPress của bạn là vô hiệu hóa PHP Execution cho một số WordPress diretory.
Bạn sẽ cần phải tạo một tệp tin .htaccess trống trên máy tính và sau đó dán mã code sau vào bên trong tệp tin.
| 1
2 3 |
<Files *.php>
deny from all </Files> |
Lưu tệp và sau đó tải nó lên /wp-content/uploads/ and /wp-includes/ directories của bạn.
Xem thêm:
-
Bảo vệ file cấu hình WordPress wp-config.php
Có lẽ tệp tin quan trọng nhất trong thư mục gốc của WordPress là tệp wp-config.php. Nó chứa thông tin về cơ sở dữ liệu WordPress của bạn và cách kết nối với nó.
Để bảo vệ tập tin wp-config.php của bạn khỏi những truy cập không được thẩm định, chỉ cần thêm mã code này vào tệp tin .htaccess của bạn:
| 1
2 3 4 |
<files wp-config.php>
order allow,deny deny from all </files> |
-
Thiết lập Redirects 301 thông qua tệp .htaccess
Sử dụng Redirects 301 là cách thân thiện nhất với SEO để nói với người dùng của bạn rằng nội dung đã chuyển đến một vị trí mới.
Nếu bạn muốn nhanh chóng thiết lập Redirects, thì tất cả những gì bạn cần làm là dán mã code này vào tệp tin .htaccess của bạn.
| 1
2 |
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/ |
-
Ngăn chặn địa chỉ IP đáng ngờ
Bạn có nhận thấy các yêu cầu cao bất thường đối với trang web của bạn từ một địa chỉ IP cụ thể không? Bạn có thể dễ dàng chặn các yêu cầu này bằng cách chặn địa chỉ IP trong tệp tin .htaccess.
Thêm mã code sau vào tệp tin .htaccess của bạn:
| 23
4 5 |
<Limit GET POST>
order allow,deny deny from xxx.xxx.xx.x allow from all </Limit> |
Đừng quên thay thế xx bằng địa chỉ IP mà bạn muốn chặn.
-
Vô hiệu hoá Image Hotlinking trong WordPress Sử dụng .htaccess
Image Hotlinking là hình thức ăn trộm ảnh từ một website và đây cũng là cách mà website khác đánh cắp băng thông trên hosting của bạn. Điều này có thể làm cho trang WordPress của bạn tải trang chậm và vượt quá giới hạn băng thông của bạn. Đây không phải là vấn đề lớn đối với hầu hết các trang web nhỏ. Tuy nhiên, nếu bạn điều hành một trang web phổ biến hoặc một trang web có rất nhiều ảnh, thì điều này có thể trở thành vấn đề nghiêm trọng.
Bạn có thể ngăn chặn image hotlinking bằng cách thêm mã code này vào tệp tin .htaccess của bạn:
| 1
2 3 4 5 6 |
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?lamvt.vn [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L] |
Mã này chỉ cho phép hình ảnh được hiển thị nếu yêu cầu có nguồn gốc từ lamvt.vn hoặc Google.com. Đừng quên thay thế lamvt.vn bằng tên miền của bạn.
-
Bảo vệ .htaccess khỏi sự truy cập trái phép
Như bạn đã biết, có rất nhiều thứ có thể được thực hiện bằng cách sử dụng tệp tin .htaccess. Do quyền kiểm soát có trên máy chủ của bạn nên việc bảo vệ nó khỏi bị truy cập trái phép bởi tin tặc là vô cùng quan trọng. Chỉ cần thêm mã code sau vào tệp tin .htaccess là bạn đã có thể thở phào yên tâm:
| 1
2 3 4 5 |
<files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny deny from all satisfy all </files> |
-
Tăng kích thước file upload trong WordPress
Có nhiều cách khác nhau để tăng giới hạn kích thước Upload file trong WordPress. Tuy nhiên, đối với người sử dụng và chia sẻ hosting thì có thể những phương pháp mà bạn biết chưa hiệu quả.
Một trong số các phương pháp hiệu quả cho nhiều người sử dụng là thêm mã code sau vào tệp tin .htaccess.
| 1
2 3 4 |
php_value upload_max_filesize 64M
php_value post_max_size 64M php_value max_execution_time 300 php_value max_input_time 300 |
Mã này chỉ đơn giản nói với web server của bạn sử dụng các giá trị này để tăng kích thước upload file cũng như thời gian tối đa thực hiện trong WordPress.
Xem thêm:
11 Lỗi cần tránh khi cài đặt WordPress cho người mới bắt đầu
-
Vô hiệu hoá quyền truy cập vào tệp tin XML-RPC sử dụng .htaccess
Mỗi cài đặt WordPress đi kèm với một tệp tin có tên xmlrpc.php. Tệp này cho phép các ứng dụng bên thứ ba kết nối với trang web WordPress của bạn. Hầu hết các chuyên gia bảo mật WordPress khuyên rằng nếu bạn không sử dụng bất kỳ ứng dụng nào của bên thứ ba thì bạn nên tắt tính năng này.
Có nhiều cách để làm điều đó, một trong số chúng là thêm mã code sau vào tệp tin .htaccess của bạn:
| 1
2 3 4 5 |
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php> order deny,allow deny from all </Files> |
-
Chặn Author Scan trong WordPress
Một kỹ thuật phổ biến được sử dụng trong các cuộc tấn công là chạy các author scan trên một trang WordPress và sau đó cố gắng để crack mật khẩu của usernames đó.
Bạn có thể chặn các Author Scan như vậy bằng cách thêm mã code sau vào tệp tin .htaccess:
| 1
2 3 4 5 6 |
# BEGIN block author scans
RewriteEngine On RewriteBase / RewriteCond %{QUERY_STRING} (author=\d+) [NC] RewriteRule .* – [F] # END block author scans |
Tôi hy vọng bài viết này đã giúp bạn hiểu hơn về các thủ thuật sử dụng file .htaccess hữu ích nhất cho WordPress. Hãy chia sẻ bài viết nếu bạn thấy hữu ích.
