15 đoạn .htaccess hữu ích cho trang WordPress

Việc cấu hình tốt cho file .htaccess là tối cần thiết cho bất kì một admin nào, vì nó có thể bảo vệ website hay blog của các bạn và giảm thiểu đáng kể những thành phần cố tình muốn hack trang web của các bạn.

Nếu các bạn giỏi về quản trị server hay hiểu rõ về .htaccess thì khỏi phải bàn, nhưng nếu các bạn cũng gà mờ giống như mình thì những đoạn code mà mình chia sẻ bên dưới sẽ cực kì hữu ích. Các bạn chỉ cần copy và sử dụng chúng theo các tính năng mà nó mang lại.

Thông thường, thì mặc định trong file .htaccess sẽ có đoạn code như sau :

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Vì nó là mặc định nên chúng ta sẽ không thêm hay xoá bất kì dòng nào cả (trừ phi các bạn hiểu về nó). Và dưới đây là những đoạn mà chúng ta sẽ thêm vào tuỳ theo tính năng mà nó mang lại.

1. Cấm truy xuất đến file .htaccess

Nếu các bạn không muốn bất kì ai có thể thấy được bạn cấu hình cái gì trong file .htaccess thì đoạn code bên dưới làm rất tốt điều đó.

# Denies access to all .htaccess files
<Files ~ "^.*.([Hh][Tt][Aa])">
Order Allow,Deny
Deny from all
Satisfy all
</Files>

2. Ngăn ngừa tấn công vào file wp-config.php

File wp-config.php là file chứa tất cả các cấu hình như user và password của database. Đây là những thông tin rất quan trọng cần được bảo vệ. Trong đoạn code bên dưới, các bạn chỉ cần thay thế kí tự xx.xx.xx.xxx là địa chỉ IP từ máy admin, điều đó có nghĩa là chỉ có admin mới được truy xuất file này. Khi chỉnh sửa các bạn cũng nhớ là bỏ kí tự # ở phía trước đi nhé.

# Protects wp-config
<Files wp-config.php>
Order Allow,Deny
# Allow from xx.xx.xx.xxx
# Allow from yy.yy.yy.yyy
Deny from all
</Files>

3. Ngăn ngừa các cuộc tấn công từ XML-RPC DDoS

Mặc định thì WordPress hỗ trợ XML-RPC, và đây cũng chính là điểm yếu để các hacker khai thác và tấn công. Để bảo vệ nó thì các bạn chỉ cần thay thế dòng xx.xx.xx.xxx là địa chỉ IP của admin là được.

# Protects XML-RPC, prevents DDoS attack
<FilesMatch "^(xmlrpc.php)">
Order Deny,Allow
# Allow from xx.xx.xx.xxx
# Allow from yy.yy.yy.yyy
Deny from all
</FilesMatch>

4. Bảo vệ khu vực admin

Sẽ không bao giờ là dư thừa khi các bạn cần phải bảo vệ những kẻ lạ mặt truy xuất vào khu vực admin trên trang web. Và lần này cũng như những đoạn code bên trên, các bạn chỉ cần đặt vào những IP được phép truy cập vào khu vực này bằng việc thay thế những kí tự xx.xx.xx.xxx hoặc yy.yy.yy.yyy.

# Protects admin area by IP
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xxx
Allow from yy.yy.yy.yyy
</LIMIT>

5. Ngăn ngừa liệt kê thư mục

Có rất nhiều bạn khi quản trị trang WordPress đã không để ý việc vô hiệu hoá tính năng này. Vì nếu không, thì ai cũng có thể liệt kê được những file có trong các thư mục như media upload, plugin.. như hình bên dưới.

Rất may là đoạn code bên dưới sẽ giúp các bạn giải quyết được vấn đề này. Khi người dùng cố tình vào các thư mục , thì nó sẽ tự động chuyến đến trang thông báo lỗi 403.

# Prevents directory listing
Options -Indexes

6 Ngăn chặn Brute Force Attack

Brute Force Attack là một dạng tấn công mà các hacker lấy thông tin username hoặc thông tin cá nhân từ các tài khoản, rồi dùng một phần mềm tự động tạo mật khẩu cho tới khi nó có thể đăng nhập được vào hệ thống. Để có thể giảm thiểu loại tấn công này, các bạn chỉ việc copy đoạn code bên dưới vào file .htaccess.

# Prevents username  enumeration
RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]

7. Loại bỏ các spammer và bots.

Nếu các bạn nghi ngờ bị tấn công bởi những địa chỉ IP nào đó, thì chỉ việc thay thế nó bằng những kí tự xx và yy bên dưới.

# Blocks spammers and bots
<Limit GET POST>
Order Allow,Deny
Deny from xx.xx.xx.xxx
Deny from yy.yy.yy.yyy
</Limit>
Allow from all

8. Ngăn ngừa  image hotlinking

Image hotlinking là một thuật ngữ ám chỉ một ai đó lấy hình ảnh bằng việc copy luôn đường dẫn URL hình ảnh từ website của các bạn, và hiển thị nó trên website của họ mà không có sự cho phép của các bạn. Nếu các bạn cảm thấy ngứa con mắt khi ai đó làm việc này, thì chỉ việc thay thế địa chỉ website mà họ sử dụng hình ảnh của các bạn vào.

# Prevents image hotlinking
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourwebsite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourwebsite2.com [NC]
RewriteRule .(jpe?g?|png|gif|ico|pdf|flv|swf|gz)$ - [NC,F,L]

9. Hạn chế truy xuất trực tiếp vào plugin & theme PHP files

Thật là nguy hiểm nếu ai đó có thể truy xuất trực tiếp vào các file này mà không thèm xin ý kiến các bạn. Chỉ cần copy đoạn code bên dưới. là các bạn đã có thể đá đít những kẻ lạ mặt cố tính muốn phá website của các bạn.

# Restricts access to PHP files from plugin and theme directories
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]

10. Cài đặt permanent redirects

Nếu trang web của các bạn có một số link đã bị xoá, hoặc cập nhật bởi những link mới, thì đoạn code bên dưới sẽ giúp các bạn tự động chuyển link cũ (oldurl) tới link mới (newurl).

# Permanent redirects
Redirect 301 /oldurl1/ http://yoursite.com/newurl1
Redirect 301 /oldurl2/ http://yoursite.com/newurl2

11. Đưa khách truy cập đến trang bảo trì.

Có đôi lúc chúng ta cần thời gian để bảo trì website, và không thể để khách viếng thăm web của chúng ta thấy được công việc còn đang dang dở, việc tự động đẩy họ vào trang bảo trì (maintenance.html ) sẽ là cần thiết.

# Redirects to maintenance page
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^123.456.789.000
RewriteCond %{REQUEST_URI} !/maintenance.html$ [NC]
RewriteCond %{REQUEST_URI} !.(jpe?g?|png|gif) [NC]
RewriteRule .* /maintenance.html [R=503,L]
</IfModule>

12. Ngăn chặn truy cập vào WP includes

Wp-includes folder chứa những file cốt lõi nhất của trang WordPress, việc bảo vệ folder này là tối cần thiết.

# Blocks all wp-includes folders and files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

13 Ngăn ngừa tấn công kiểu XSS

Chỉ cần copy đoạn code bên dưới là các bạn có thể ngăn chặn được loại tấn công này.

# Blocks some XSS attacks
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|\%[0-9A-Z]{0,2})
RewriteRule .* index.php [F,L]
</IfModule>

14 Bật tính năng browser caching

Bằng việc copy đoạn code bên dưới, là các bạn có thể bật được tính năng cache, sẽ giúp trang web của các bạn chạy nhah hơn và đáp ứng khách hàng tốt hơn.

# Enables browser caching
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg "access 1 year"
ExpiresByType image/jpeg "access 1 year"
ExpiresByType image/gif "access 1 year"
ExpiresByType image/png "access 1 year"
ExpiresByType text/css "access 1 month"
ExpiresByType application/pdf "access 1 month"
ExpiresByType text/x-javascript "access 1 month"
ExpiresByType application/x-shockwave-flash "access 1 month"
ExpiresByType image/x-icon "access 1 year"
ExpiresDefault "access 2 days"
</IfModule>

15 Cài đặt tuỳ chỉnh error page

Các bạn tạo những trang thông báo lỗi cho riêng mình như custom-403.html , custom-404.html rồi upload nó vào folder gốc. Sau đó dùng đoạn code bên dưới để nó chuyển tới những trang này.

# Sets up custom error pages
ErrorDocument 403 /custom-403.html
ErrorDocument 404 /custom-404.html

Mình hy vọng là những đoạn code bên trên sẽ giúp ích cho các bạn trong việc bảo vệ và duy trì website hay blog của các bạn.

Chuyên Mục: Hacker - Bảo Mật, WordPress

Bài viết được đăng bởi webmaster