Một số bạn làm website wordpress cho rằng Việc thay đổi thông tin đăng nhập admin, thay đổi mã đầu của CSDL, bảo vệ file wp-config.php là phí phạm thời gian. Những việc bảo mật website bằng cách này không có hiệu quả. Vì tất cả đã được bảo vệ bởi WordPress rồi.

Và Phạm Hồng Hải muốn nói rằng:

Đúng, WordPress đã rất bảo mật và an toàn trong các trường hợp nguyên bản, gốc và không có chỉnh sửa

Phạm Hải

Nếu như bạn chỉ cài đặt WordPress ngay từ đầu và sử dụng giao diện Theme mặc định là Twenty Twenty thì bạn chẳng có điều gì phải lo lắng cả. Trừ khi bạn sử dụng mật khẩu đăng nhập quá đơn giản kiểu 112345678.

Nhưng chẳng bao giờ có tình huống thông thường nào trong cuộc sống này cả. Bạn có thể sử dụng một WordPress Plugin nào đó có tính bảo mật không tốt. Hoặc bạn đang sử dụng một giao diện WordPress Theme Crack trên website tại Việt Nam. Trong trường hợp này thì bất kỳ cách bảo mật nào khó đảm bảo trang web của bạn có thể an toàn.

Bước 1: Bảo vệ wp-config.php trong website wordpress

Trước hết, hãy đăng nhập vào Cpanel Hosting mà bạn đang sử dụng và chuyển file wp-config.php về thư mục gốc mà bạn cài đặt website. Bạn đừng có lo lắng về việc chuyển file wp-config.php này.

WordPress sẽ biết cách tìm kiếm file này mà không có bất kỳ vấn đề gì cả.

Thứ hai, trong cùng thư mục gốc này, bạn có thể tạo một file .htaccess với nội dung như sau. Nếu file .htaccess đã có thì bạn chỉ cần chèn đoaạn code vào trong file .htaccess là được

<files wp-config.php>
order allow,deny
deny from all
</files>

Bạn có thể thấy điều này giống giống thế này.

 

wp-config.php, .htaccess, wordpress, website, ẩn file trong wordpress, ẩn thư mục trong wordpress
  • Share Facebook
  • Pinterest
  • LinkedIn
Vị trí các file wp-config.php và file .htaccess

Đây là hình ảnh chụp màn hình vị trí thư muc public_html trong WordPress

Bước 3: Thiết lập quyền truy cập file (chmod) thành 400.

Bạn có thể thực hiện điều này trong phần quản lý FILE của Cpanel Hosting của bạn. Chỉ cần click chuột phải và sau đó, bạn hãy chọn các tính năng cài đặt như hình dưới đây

  • Share Facebook
  • Pinterest
  • LinkedIn
Thiết lập quyền truy cập file wp-config.php

400 (hay 440 hay 444) có nghĩa là gì? Điều này có nghĩa là không ai có quyền chỉnh sửa tập tin file này. Bạn thậm chí không thể làm điều đó trong phần quản trị Admin Dashboard của WordPress.

Phạm Hải cũng khuyên bạn nên thiết lập quyền truy cập 444 cho mỗi .htaccess tệp trên trang web của bạn. Thêm vào đó, WordPress đã cài mặc định các quyền truy cập là 755 cho các thư mục và 6444 cho các file.

Bước 2: Vô hiệu hóa duyệt thư mục trong website wordpress

Bạn hãy thử mở [domain-của-bạn]/wp-content/uploads/ URL trong trình duyện máy tính của bạn. Và đây là điều bạn không nên thấy.

file wordpress, thư mục wordpress, hiện thị file trong thư mục wordpress
  • Share Facebook
  • Pinterest
  • LinkedIn
Đối thủ cạnh tranh có thể tải toàn bộ các file của bạn

Tất cả các file bạn upload lên trong các thư mục đã hiển thị ra hết rồi phải không? Và như vậy toàn bộ dữ liệu của bạn sẽ bị tải xuống một cách hoàn toàn đơn giản.

Bạn có thể thử điều này tương tự với các folder khác. Và bạn biết kết quả rồi đó.

Bạn hãy thử làm điều tương tự như trên nhưng thay domain bằng tên miền: phamhai.vn . Bạn có thấy điều gì khác biệt trong phần này?

Vậy làm thế nào để ẩn các file trong các thư mục folder của website wordpress được?

Thông thường, WordPress đã bao gồm file index.php rỗng trong các thư mục:

  • /wp-content/plugins/
  • /wp-content/themes/
  • /wp-content/uploads

Thế còn các thư mục con khác mà không có file index.php như là thư mục /wp-content/uploads/2020/ thì sao?

Thực sự có rất nhiều cách chia sẻ về sửa đoạn mà code trong các file trên Internet. Phạm Hải đã thử rất nhiều cách khác nhau để khắc phục vấn đề hiện thị các file trong các thư mục này. Nhưng Phạm Hồng Hải chỉ hài lòng với một cách đơn giản nhất và dễ sử dụng nhất cho mọi người.

Bạn chỉ việc mở file .htaccess trong thư mục cài đặt WordPress. Sau đó, bạn chỉ cần thêm đoạn mã code sau vào phần đầu tiên của file .htaccess là được

Options -Indexes

Và bây giờ, nếu có một ai đó muốn truy cập các file dữ liệu website của bạn một cách trực tiếp thì họ sẽ nhận thông báo "403 - Forbidden"

Bước 3: Lưu ý đặc biệt đến thư mục /UPLOADS trong WordPress

Thư mục Uploads là một nơi khá nhiều vấn đề nhạy cảm đối với các Website wordpress. Nếu như website của bạn bị tấn công, hãy theo dõi thư mục Uploads.

Phạm Hải tin rằng bạn sẽ nhìn thấy những điều thú vị trong này. Và đặc biệt hơn nữa là thư mục này có nhiều file uploads tải lên mà bạn không muốn ai nhìn thấy.

Nhiệm vụ của chúng ta bây giờ là vô hiệu hóa đối với việc triển khai mã PHP tại đây. Có 2 cách để khắc phục điều này.

Phạm Hồng Hải thực sự thích cách thứ nhất hơn

Nhưng cho dù cách nào đi chăng nữa thì việc bạn cần làm là tạo ra một file .htaccess mới trong thư mục UPLOADS với đoạn mã sau:

# Cách 1:
# Việc đầu tiên là vô hiệu hóa truy cập tất cả các file
<Files ~ ".*..*">
	Order Allow,Deny
	Deny from all
</Files>
# sau đó cho phép truy cập các file có đuôi mở rộng
<FilesMatch ".(jpg|jpeg|jpe|gif|png|mp4|pdf)$">
	Order Deny,Allow
	Allow from all
</FilesMatch>
# Cách 2
# Vô hiệu hóa việc triển khai PHP
<Files *.php>
deny from all
</Files>

Sau khi bạn thêm đoạn file .htaccess trên thì hãy xóa bộ nhớ đệm và mở lại website wordpress của mình để kiểm tra việc hiển thị.

Đôi khi việc ẩn các file trong thư mục uploads này sẽ làm việc hiển thị hình ảnh trên website của bạn không hiện lên.

Bây giờ, bạn hãy thực hành các bước trên đối với website wordpress của mình. Hãy kiểm tra từng bước trên để xem sự thay đổi website của mình. Phạm Hồng Hải thực sự cảm thấy rất vui nếu bạn chia sẻ cách ẩn hiển thị file trong thư mục của website wordpress này. Điều này sẽ giúp cho những người mới làm website biết cách khắc phục website wordpress của họ.

5 5 Đánh giá
Đánh giá
4
0
Rất thích các ý kiến suy nghĩ của bạn, hãy bình luận ở đâyx
()
x

Pin It on Pinterest

Share This