12 Thủ thuật với file .htaccess

Rất nhiều người chưa bao giờ quan tâm đến file htaccess khi dùng WordPress.

Đây là một trong những file khá quan trọng, có khả làm nhiều thứ mà bạn không tưởng được.

Từ nâng cao bảo mật, đến redirect một đường dẫn nào đó, hay tăng time out…..

Rất rất nhiều thứ hữu ích, nếu bạn tận dụng hết sức mạnh của nó.

Trong bài viết này tôi sẽ hướng dẫn bạn một số thủ thuật với file .htaccess có thể sử dụng.

Lưu ý: File .htaccess chỉ có trên web server Apache thôi nhé.

thu-thuat-file-htaccess
File htaccess ở đâu?
Trước khi bắt đầu, vẫn là câu mình hay nhắc các bạn.

Hãy sao lưu lại file .htaccess gốc trên website, nhỡ có lỗi gì còn backup lại ngay nhé.

Nếu bạn không thấy ở đâu, hãy đọc lại bài viết này của mình (hướng dẫn chi tiết).

Nó nằm ngay ngang hàng với những thư mục như /wp-content, wp-admin, wp-upload

file-htaccess-o-dau
1. Bảo vệ khu vực Admin trên WordPress
Bạn có thể dùng tệp tin .htaccess để bảo vệ khu vực quản trị WordPress.

Bằng cách chỉ có những địa chỉ IP được chọn mới được phép đăng nhập vào Admin.

Sao chép đoạn code sau dán vào file htaccess.

1
AuthUserFile /dev/null
2
AuthGroupFile /dev/null
3
AuthName "WordPress Admin Access Control"
4
AuthType Basic
5
<LIMIT GET>
6
order deny,allow
7
deny from all
8
# whitelist User1 IP address
9
allow from xx.xx.xx.xxx
10
# whitelist User2 IP address
11
allow from xx.xx.xx.xxx
12
# whitelist User3 address
13
allow from xx.xx.xx.xxx
14
# whitelist User4 IP address
15
allow from xx.xx.xx.xxx
16
# whitelist User5 address
17
allow from xx.xx.xx.xxx
18
</LIMIT>
Thay thế xx.xx.xx.xxx bằng địa chỉ IP của bạn.

Nếu bạn thường xuyên truy cập ở những địa chỉ IP khác nhau, hãy thêm tất cả nhé.

Ngoài ra bạn cũng có thể tham khảo thêm một số cách khác như:

Làm thế nào giới hạn quyền truy cập vào Dashboard
Tại sao và làm thế nào để giới hạn số lần đăng nhập không thành công
2. Mật khẩu bảo vệ thư mục quản trị WordPress
Nếu bạn thấy việc giới hạn địa chỉ IP hơi rắc dối, vì bạn di chuyển liên tục.

Thì tôi sẽ cung cấp cho bạn 1 giải pháp khác. Đó là tạo mật khẩu cho Folder /wp-admin/

Sẽ có nhiều bạn đọc đến đây thắc mắc.

Để truy cập vào admin tôi đã phải đăng nhập rồi mà?

Đúng ! Nhưng thêm 1 lớp bảo mật nữa cũng là một biện pháp đúng không nào

Trước tiên hãy tạo 1 file .htpasswd. Truy cập vào đường dẫn này để tạo nhé.

Sau đó upload nó ở ngoài thư mục /public_html/ (không phải ở trong đâu nhé)

/home/user/.htpasswds/
Tiếp theo tạo 1 file .htaccess rồi

1
AuthName "Admins Only"
2
AuthUserFile /home/dieuhau/.htpasswds/
3
AuthGroupFile /dev/null
4
AuthType basic
5
require valid-user
Quan trọng : Đừng quên thay thế đường dẫn AuthUserFile bằng đường dẫn tới file .htpasswds của bạn và dieuhau là username tài khoản hosting của bạn.

3. Disable Directory Browsing
Tốt nhất là mình khuyên bạn nên tắt các chức năng truy cập thư mục qua trình duyệt (directory browsing).

Thông qua cách này hacker có thể truy cập vào các thư mục của bạn để tìm kiếm lỗ hổng.

directory-browsing
Đơn giản là thêm dòng code vào file .htaccess nhé.

1
Options -Indexes
Đọc hướng dẫn chi tiết này nhé cách tắt chức năng truy cập File từ trình duyệt.

4. Disable PHP Excecution trong một số thư mục
Hacker có thể tấn công website bạn bằng cài cắm backdoor.

Những tệp tin này thường giả dạng như tập tin chính và đặt trong thư mục /wp-includes/ hoặc /wp-content/uploads/.

Để tăng cường bảo mật hơn hãy disable thực thi PHP trong một số thư mục của WordPress.

Chèn đoạn code sau vào file htaccess. (tạo 1 file mới nhé)

1
<Files *.php>
2
deny from all
3
</Files>
Giờ thì hãy tải file này đến thư mục /wp-includes/ hoặc /wp-content/uploads/.

Đọc ngay bài hướng dẫn chi tiết này Vô hiệu thực thu PHP trong một vài thư mục WordPress

5. Bảo vệ file wp-config.php
File wp-config.php chính là một trong những file quan trọng nhất WordPress

Nó bao gồm các thông tin về cơ sở dữ liệu của WordPress và cách để kết nối đến trang web.

Để bảo vệ tệp tin wp-config.php khỏi các kẻ rình mò bên ngoài.

Hãy chèn đoạn code sau:

1
<files wp-config.php>
2
order allow,deny
3
deny from all
4
</files>
6. Thiết lập 301 redirect qua file .htaccess
Nếu phải redirect sang một URL mà không muốn ảnh hưởng đến SEO thì, 301 redirect chính là lựa chọn cho bạn.

Ngoài ra, nếu bạn chỉ muốn điều hướng người dùng từ url này sang url khác.

Tất cả những gì bạn cần làm đó thêm đoạn mã sau vào tập tin .htaccess.

1
Redirect 301 /oldurl/ http://www.example.com/newurl
2
Redirect 301 /category/television/ http://www.example.com/category/tv/
Hoặc dùng Yoast SEO Premium cho tiện, đỡ phải đụng đến code.

Xem qua cách tạo Redirect trong WordPress này nhé.

7. Chặn những địa chỉ IP đáng ngờ
Bạn thấy những request bất thường từ một địa chỉ IP nào đó?

Bạn muốn chặn không cho địa chỉ IP đó kết nối trang web của mình?

Hãy thêm mã dưới đây vào file .htaccess

1
<Limit GET POST>
2
order allow,deny
3
deny from xxx.xxx.xx.x
4
allow from all
5
</Limit>
Thay xxx bằng địa chỉ IP mà bạn muốn chặn.

http://bit.ly/2KvLhLb

8. Disable hotlinking hình ảnh
Việc bị ăn cắp cả ảnh lẫn ảnh trên website là chuyện hết bình thường.

Đôi khi bạn họ còn lấy trực tiếp ảnh từ website bạn, làm tốn băng thông.

Và có thể sẽ làm chậm website của bạn luôn.

Nếu bạn sở hữu website với nhiều hình ảnh thì hotlinking có thể trở thành một vấn đề nghiêm trọng.

Tuy vậy, bạn có thể ngăn chặn vấn đề này bằng cách thêm đoạn code sau: