Tối ưu & bảo mật website bằng .htaccess đơn giản

Mục lục

Lưu Đang

06 tháng 1, 2025

Dưới áp lực thường trực từ các mối đe dọa an ninh mạng, việc chủ động bảo mật website bằng .htaccess trở thành ưu tiên hàng đầu. Bài viết này sẽ hé lộ những phương pháp cấu hình .htaccess đơn giản mà hiệu quả, giúp bạn gia tăng đáng kể lớp phòng thủ cho trang web của mình. Hãy cùng TOS khám phá cách tận dụng sức mạnh của tệp tin cấu hình này để bảo vệ website khỏi những rủi ro tiềm ẩn.

BÁO GIÁ DỊCH VỤ THIẾT KẾ WEBSITE

>>> Xem thêm:

Bảo mật cho website WordPress – Thủ thuật & Plugin hỗ trợ tốt nhất
TOP 10 các lỗ hổng bảo mật của website, phổ biến theo OWASP
Yoast SEO Plugin WordPress, Hướng dẫn cách dùng để tối ưu SEO

.Htaccess File là gì?

Tệp .htaccess (viết tắt của “hypertext access”) là một tệp cấu hình máy chủ phân tán, cho phép bạn thiết lập các cấu hình máy chủ cho một thư mục cụ thể trên website của mình. Tệp này có thể được đặt tại thư mục gốc của website hoặc trong các thư mục con như /images hay /downloads. Việc sử dụng tệp .htaccess không chỉ giúp quản lý các quy tắc chuyển hướng, kiểm soát quyền truy cập mà còn đóng vai trò quan trọng trong bảo mật website bằng .htaccess. Nhờ vào khả năng cấu hình linh hoạt, tệp này giúp tăng cường bảo mật cho website, ngăn chặn các truy cập trái phép và bảo vệ dữ liệu nhạy cảm của người dùng.

>>> Xem thêm:

Hướng dẫn 28 cách SEO WordPress hiệu quả cho người mới bắt đầu
TOP 20+ các nền tảng thiết kế website phổ biến, tốt nhất cho người mới
Dịch vụ thiết kế website theo yêu cầu trọn gói, chuyên nghiệp

File .htaccess là gì? — Tệp .htaccess là một công cụ cấu hình máy chủ mạnh mẽ, cho phép quản lý quy tắc chuyển hướng, kiểm soát quyền truy cập (Nguồn: Internet)

Làm thế nào để truy cập được vào .Htaccess?

Để truy cập vào tệp .htaccess, bạn cần thiết lập kết nối với máy chủ web của mình thông qua một ứng dụng FTP (File Transfer Protocol). Dưới đây là các bước cụ thể để thực hiện:

Bước 1 – Tải và cài đặt phần mềm FTP: Bạn có thể sử dụng phần mềm mã nguồn mở như FileZilla, đây là một trong những ứng dụng phổ biến và dễ sử dụng.
Bước 2 – Mở FileZilla: Sau khi cài đặt, mở chương trình và nhập thông tin đăng nhập của bạn:
- Host: Nhập “sftp.yourdomain.com” (thay “yourdomain.com” bằng tên miền của bạn).
- Username và Password: Những thông tin này được cung cấp bởi nhà cung cấp dịch vụ lưu trữ web của bạn. Nếu không chắc chắn, hãy liên hệ với họ để biết thêm chi tiết.
- Port: Bạn có thể để trống hoặc nhập cổng mặc định “21” hoặc “22” cho sftp.
Bước 3 – Kết nối: Nhấn nút kết nối và chờ trong giây lát. Nếu thông tin đăng nhập chính xác, bạn sẽ thấy giao diện thư mục của mình.
Bước 4 – Tìm tệp .htaccess: Nhấp vào thư mục “web” và tìm tệp có tên “.htaccess”. Nếu không tìm thấy, có thể bạn đã nhập sai thông tin và cần kiểm tra lại.
Bước 5 – Khôi phục tệp .htaccess: Nếu bạn đã vô tình xóa hoặc sửa đổi tệp này, hãy tải lên tệp sao lưu và đổi tên thành “.htaccess” sau khi xóa tệp sai.

>>> Xem thêm:

7 Cách bảo mật website chống DDoS cho website của bạn hiệu quả nhất
Cách thiết kế website WordPress chi tiết, chuyên nghiệp
Khi có nhu cầu cần thiết kế website gấp doanh nghiệp nên làm gì?

Các bước truy cập vào tệp .htaccess — Cách truy cập vào tệp .htaccess không bao gồm quá nhiều bước phức tạp (Nguồn: Internet)

Phương pháp để bảo vệ website bằng .Htaccess

Để đảm bảo an toàn cho website của bạn, việc bảo mật website bằng .htaccess là một phương pháp hiệu quả và dễ thực hiện. Dưới đây là các phương thức được ưa chuộng mà bạn có thể tham khảo:

Sử dụng .htpasswd

Tệp .htpasswd là công cụ quan trọng để bảo vệ các khu vực nhạy cảm trên website, như trang quản trị. Dưới đây là các bước thực hiện:

Bước 1 – Tạo thông tin đăng nhập: Sử dụng công cụ trực tuyến để tạo tên người dùng và mật khẩu đã mã hóa.
Bước 2 – Lưu tệp .htpasswd: Ghi thông tin đăng nhập vào tệp và lưu với tên “.htpasswd”.
Bước 3 – Tải lên tệp .htpasswd: Sử dụng ứng dụng FTP như FileZilla để tải tệp lên thư mục “/wp-admin” hoặc thư mục gốc nếu muốn bảo vệ toàn bộ website.
Bước 4 – Chỉnh sửa tệp .htaccess: Thêm đoạn mã sau vào tệp .htaccess trong thư mục “/wp-admin”:
- AuthName “admin dashboard”
  require valid-user
  AuthUserFile /path/wp-admin/.htpasswd
  AuthType Basic

Bước 5 – Xác định đường dẫn đầy đủ: Tạo tệp PHP để xác định đường dẫn đầy đủ đến tệp .htpasswd và truy cập URL tương ứng.
Bước 6 – Tải lại tệp .htaccess: Tải lại tệp .htaccess đã chỉnh sửa lên thư mục “/wp-admin”.

Hạn chế truy cập các tập tin PHP

Hạn chế quyền truy cập và thực thi các tập tin PHP trong các thư mục không cần thiết là một biện pháp bảo mật hiệu quả để bảo vệ website WordPress của bạn. Bằng cách vô hiệu hóa việc thực thi PHP trong các thư mục mà không cần sử dụng, bạn có thể giảm thiểu nguy cơ các mã độc hại được thực thi, từ đó bảo vệ trang web khỏi các cuộc tấn công như tiêm mã PHP.

Các thư mục thường không cần thực thi PHP bao gồm:

wp-content/uploads: Nơi lưu trữ các tệp tin media, không cần cho phép thực thi PHP.
wp-includes: Chứa các tệp cốt lõi của WordPress, việc cho phép thực thi PHP tại đây có thể gây rủi ro.
Các thư mục tài sản khác: Như thư mục chứa hình ảnh, tài liệu, v.v.

Để thực hiện việc này, bạn có thể thêm đoạn mã sau vào tệp .htaccess trong từng thư mục mục tiêu:

<Files *.php>
deny from all
</Files>

Đoạn mã này sẽ chặn mọi yêu cầu truy cập vào các tệp PHP, giúp bảo vệ website của bạn khỏi các cuộc tấn công tiềm ẩn và đảm bảo rằng chỉ những tệp cần thiết mới được truy cập.

>>> Xem thêm:

Hướng dẫn SEO Web từ A-Z cho người mới bắt đầu 2024
Công cụ SEO là gì? Các công cụ SEO hỗ trợ tối ưu website trong Marketing
TOP 15 công ty thiết kế website uy tín, chuyên nghiệp hàng đầu

Bảo vệ website bằng cách hạn chế truy cập tập tin PHP — Hạn chế quyền truy cập và thực thi các tập tin PHP trong các thư mục không cần thiết là biện pháp bảo mật hiệu quả (Nguồn: Internet)

Sử dụng firewall

Việc sử dụng firewall là một biện pháp bảo mật thiết yếu để bảo vệ website khỏi các cuộc tấn công từ hacker. Mặc dù các theme và plugin của website thường xuyên được cập nhật, nhưng vẫn tồn tại những lỗ hổng bảo mật mà kẻ xấu có thể lợi dụng để xâm nhập và lây nhiễm mã độc. Tường lửa 6G hoặc 7G có khả năng ngăn chặn hầu hết các cuộc tấn công này, giúp bảo vệ dữ liệu nhạy cảm và duy trì sự ổn định cho website của bạn. Do đó, tường lửa đã trở thành một trong những yếu tố quan trọng trong quá trình thiết kế website của bạn.

Chặn quyền truy cập vào xml-rpc

Tệp xml-rpc.php cho phép quản trị viên website thực hiện các tác vụ như đăng bài viết từ email hoặc ứng dụng bên ngoài. Tuy nhiên, tính năng này cũng tiềm ẩn rủi ro lớn, vì hacker có thể lợi dụng để kiểm soát trang web của bạn. Để bảo vệ website bằng .htaccess, bạn có thể chặn quyền truy cập vào tệp xmlrpc.php bằng cách thêm đoạn mã sau vào tệp .htaccess:

# Chặn xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Sau khi thực hiện đoạn mã này, bạn sẽ không thể sử dụng các ứng dụng bên ngoài để tương tác với website nữa, nhưng điều này sẽ giúp tăng cường bảo mật cho trang web của bạn.

>>> Xem thêm:

Hướng dẫn cách tạo trang web miễn phí và chuyên nghiệp, chuẩn SEO 2024
SEO Plan là gì? Cách tạo ra một kế hoạch SEO chi tiết nhất [2024].
Bảng giá dịch vụ thiết kế website trọn gói, tối ưu chi phí

Tệp xml-rpc.php tiềm ẩn nhiều rủi ro — Tệp xml-rpc.php cho phép quản trị viên thực hiện các tác vụ từ xa, nhưng cũng tiềm ẩn rủi ro lớn (Nguồn: Internet)

Chặn duyệt thư mục

Khi tính năng duyệt thư mục được kích hoạt trên website, điều này có nghĩa là cả người dùng và hacker đều có thể truy cập vào các thư mục của bạn và tìm kiếm các lỗ hổng bảo mật. Ví dụ, nếu ai đó truy cập vào địa chỉ như yourdomain.com/wp-includes, họ có thể xem nội dung bên trong thư mục đó.

Để bảo vệ website của bạn khỏi những hoạt động này, bạn có thể chặn duyệt thư mục bằng cách thêm đoạn mã sau vào tệp .htaccess:

# Chặn duyệt thư mục
Options All -Indexes

Việc thực hiện đoạn mã này sẽ ngăn chặn người dùng và hacker xem danh sách các tệp trong thư mục, giúp tăng cường bảo mật cho trang web của bạn.

Hạn chế truy cập vào /wp-

Thư mục /wp-includes là một trong những thư mục quan trọng nhất trong cài đặt WordPress, chứa tất cả các tệp cần thiết cho chức năng của website. Do đó, việc cho phép truy cập vào thư mục này có thể tạo ra rủi ro bảo mật lớn, vì hacker có thể lợi dụng để tìm kiếm các lỗ hổng.

Để ngăn chặn quyền truy cập vào thư mục /wp-includes, bạn có thể sử dụng đoạn mã sau trong tệp .htaccess:

# Hạn chế truy cập vào /wp-includes
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>

Đoạn mã này sẽ chặn mọi yêu cầu truy cập vào các tệp PHP trong thư mục /wp-includes, giúp bảo vệ website của bạn khỏi các cuộc tấn công tiềm ẩn và đảm bảo rằng chỉ có các tệp cần thiết được truy cập.

>>> Xem thêm:

Chi phí thiết kế website bao nhiêu tiền? Bảng giá chi tiết 2025
Thiết kế website du lịch chuẩn SEO, đẹp, uy tín, chuyên nghiệp
Top 20 công cụ tìm kiếm tốt nhất phổ biến năm 2024

Cần hạn chế việc truy cập thư mục /wp- — Việc hạn chế quyền truy cập vào thư mục /wp-includes là rất cần thiết để bảo vệ an toàn cho trang web (Nguồn: Internet)

Bảo vệ tập tin wp-config.php

Để bảo vệ website WordPress của bạn khỏi các mối đe dọa tiềm ẩn, việc hạn chế truy cập vào các tập tin PHP, đặc biệt là tệp wp-config.php, là rất quan trọng. Tệp wp-config.php chứa thông tin nhạy cảm như cấu hình cơ sở dữ liệu và các khóa bảo mật, do đó, việc để lộ thông tin này có thể dẫn đến các cuộc tấn công nghiêm trọng.

Một trong những cách hiệu quả để bảo vệ tệp wp-config.php là sử dụng tệp .htaccess. Bạn có thể thêm đoạn mã sau vào tệp .htaccess của mình để ngăn chặn mọi truy cập trái phép:

<files wp-config.php>
order allow,deny
deny from all
</files>

Đoạn mã này sẽ từ chối tất cả các yêu cầu truy cập vào tệp wp-config.php, đảm bảo rằng chỉ có máy chủ mới có thể truy cập vào tệp này. Bằng cách này, bạn có thể bảo vệ thông tin nhạy cảm của mình và giảm thiểu nguy cơ bị tấn công.

>>> Xem thêm:

Thiết kế website WordPress chuẩn SEO chi tiết từ A -> Z
Nên chọn database nào để xây dựng website?
Thiết kế website thương mại điện tử: Lợi ích & Quy trình

Triển khai tiêu đề bảo mật

Tiêu đề bảo mật là yếu tố quan trọng trong việc bảo vệ website WordPress khỏi các mối đe dọa mạng như cross-site scripting (XSS) và clickjacking. Bằng cách hướng dẫn trình duyệt xử lý nội dung, các tiêu đề này giúp đóng các lỗ hổng tiềm ẩn trước khi bị khai thác.

Dưới đây là một số tiêu đề bảo mật cần triển khai:

HTTP Strict Transport Security (HSTS): Chỉ cho phép truy cập qua HTTPS.
X-Content-Type-Options: Ngăn chặn trình duyệt tự xác định loại nội dung.
X-Frame-Options: Ngăn chặn nhúng trang web trong khung từ nguồn khác.
X-XSS-Protection: Bật chế độ bảo vệ chống lại các cuộc tấn công XSS.
Content Security Policy: Kiểm soát nguồn tải các tập tin.

Bằng cách thêm các đoạn mã này vào tệp .htaccess, bạn có thể tăng cường bảo mật cho website WordPress của mình, bảo vệ dữ liệu người dùng và ngăn chặn các cuộc tấn công tiềm ẩn.

>>> Xem thêm:

SEOquake Công cụ SEO tuyệt vời trên trình duyệt Chrome
Top 7+ website thiết kế nội thất ấn tượng, nổi bật được nhiều người lựa chọn
TOP 13 công ty thiết kế website tại Đà Nẵng uy tín, tốt nhất hiện nay

Thêm các đoạn mã vào tệp .htaccess giúp tăng cường bảo mật — Tiêu đề bảo mật giúp bảo vệ website WordPress khỏi các mối đe dọa mạng như cross-site scripting (XSS) và clickjacking (Nguồn: Internet)

Việc bảo mật website bằng .htaccess là rất cần thiết để bảo vệ dữ liệu và thông tin người dùng khỏi các mối đe dọa mạng. Mặc dù tối ưu hóa bảo mật có thể phức tạp, nhưng việc cải thiện liên tục hệ thống bảo mật là bắt buộc trong thời đại công nghệ hiện nay. Hãy nhớ đầu tư thời gian vào việc bảo mật để tạo dựng niềm tin cho người dùng.

Nguồn tham khảo: