Hướng Dẫn Cách Bảo Mật WordPress Các File wp-config.php Và .htaccess

Các tệp trong WordPress cần được bảo mật wp-config.phpvà .htaccesslà hai trong số những tệp quan trọng nhất trong cài đặt WordPress của bạn. Chúng chứa thông tin nhạy cảm như thông tin đăng nhập cơ sở dữ liệu và cấu hình máy chủ. Bảo mật đúng cách các tệp này là điều cần thiết cho bảo mật WordPress.

Tại sao cần bảo mật WordPress những tập tin này?

Tệp wp-config.php chứa:

• Tên cơ sở dữ liệu, tên người dùng và mật khẩu
• Khóa xác thực và muối
• Tiền tố bảng
• Cài đặt gỡ lỗi
• Cấu hình nhạy cảm khác

Các điều khiển trong tệp .htaccess:

• Viết lại URL (liên kết cố định)
• Hạn chế truy cập
• Quy tắc chuyển hướng
• Tiêu đề bảo mật
• Quy tắc bộ nhớ đệm

Phương pháp 1: Bảo mật bằng cách sử dụng quyền truy cập tập tin (chmod)

Hiểu về quyền truy cập tệp

Quyền truy cập tập tin kiểm soát ai có thể đọc, ghi hoặc thực thi tập tin. Chúng được biểu thị bằng ba chữ số cho chủ sở hữu, nhóm và công khai.

Các tổ hợp quyền hạn phổ biến:

• 400– Chỉ chủ sở hữu mới có thể đọc (chế độ hạn chế cao nhất)
• 440– Chỉ dành cho chủ sở hữu và nhóm đọc
• 600– Chỉ người sở hữu mới có quyền đọc/ghi.
• 644– Chủ sở hữu có quyền đọc/ghi, người khác chỉ có quyền đọc.

Thiết lập quyền truy cập cho wp-config.php

Khuyến nghị: 400 hoặc 440

Sử dụng phần mềm FTP (FileZilla, v.v.):

1. Kết nối với máy chủ của bạn qua FTP/SFTP.
2. Điều hướng đến thư mục gốc của WordPress.
3. Nhấp chuột phải wp-config.php> Quyền truy cập tệp
4. Đặt giá trị số thành 400(hoặc 440nếu 400 gây ra sự cố)
5. Nhấp OK

Sử dụng SSH:

chmod 400 wp-config.php

Lưu ý: Nếu mã lỗi 400 khiến trang web của bạn bị lỗi, hãy thử mã 440 hoặc 600. Một số nhà cung cấp dịch vụ lưu trữ yêu cầu nhóm máy chủ web phải có quyền truy cập đọc.

Thiết lập quyền truy cập cho tệp .htaccess

Đề xuất: 644

1. Tìm .htaccesstrong thư mục gốc của WordPress.
2. Nhấp chuột phải > Quyền truy cập tệp
3. Đặt thành644
4. Nhấp OK

Sử dụng SSH:

chmod 644 .htaccess

Quan trọng: Tuyệt đối không sử dụng quyền 777. Quyền này cho phép bất kỳ ai cũng có thể đọc, ghi và thực thi – một rủi ro bảo mật nghiêm trọng.

Phương pháp 2: Bảo vệ tập tin bằng quy tắc .htaccess

Thêm các quy tắc này vào .htaccesstệp của bạn để chặn truy cập trực tiếp vào các tệp nhạy cảm:

Bảo vệ tệp wp-config.php

<files wp-config.php>
order allow,deny
deny from all
</files>

Bảo vệ chính tệp .htaccess

<files .htaccess>
order allow,deny
deny from all
</files>

Quy tắc bảo mật đầy đủ

Thêm bộ quy tắc toàn diện này vào tệp .htaccess của bạn:

# Protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# Protect .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>

# Block access to sensitive files
<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all
</FilesMatch>

# Disable directory browsing
Options -Indexes

# Block access to includes folder
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Phương pháp 3: Di chuyển wp-config.php lên thư mục gốc

WordPress tự động tìm tệp wp-config.php ở thư mục cao hơn thư mục cài đặt của bạn. Di chuyển tệp đó lên trên sẽ tăng thêm một lớp bảo mật:

1. Di chuyển wp-config.phptừ /public_html/sang/home/username/
2. WordPress sẽ tự động tìm thấy nó.
3. Tệp hiện nằm ngoài thư mục có thể truy cập công khai.

Lưu ý: Phương pháp này có thể không hoạt động trên tất cả các cấu hình hosting, đặc biệt là shared hosting.

Mẹo bảo mật WordPress bổ sung

1. Thêm khóa bảo mật

Hãy đảm bảo tệp wp-config.php của bạn có các khóa xác thực duy nhất. Tạo khóa mới tại: https://api.wordpress.org/secret-key/1.1/salt/

2. Vô hiệu hóa chế độ chỉnh sửa tập tin

Thêm đoạn mã này vào tệp wp-config.php để vô hiệu hóa việc chỉnh sửa giao diện/plugin từ bảng điều khiển:

define('DISALLOW_FILE_EDIT', true);

3. Giới hạn số lần đăng nhập

Cài đặt plugin bảo mật như Wordfence hoặc giới hạn số lần đăng nhập thông qua tệp .htaccess.

4. Ẩn phiên bản WordPress

Thêm đoạn mã sau vào file functions.php của giao diện:

remove_action('wp_head', 'wp_generator');

Kiểm tra bảo mật của bạn

Sau khi thực hiện các thay đổi, hãy kiểm tra xem chúng có hoạt động hay không:

1. Hãy thử truy cập yourdomain.com/wp-config.phptrực tiếp – sẽ hiển thị lỗi 403 Forbidden.
2. Hãy kiểm tra xem trang web của bạn vẫn tải đúng cách nhé.
3. Kiểm tra xem các chức năng quản trị WordPress vẫn hoạt động bình thường.
4. Kiểm tra xem các liên kết thường trực vẫn hoạt động bình thường.

Khắc phục sự cố

Trang web bị lỗi sau khi thay đổi quyền truy cập?

Hãy thử thiết lập quyền truy cập ít hạn chế hơn (440 thay vì 400, hoặc 644 thay vì 600). Một số máy chủ yêu cầu các quyền truy cập cụ thể.

Không thể lưu liên kết thường trực?

Tạm thời thiết lập quyền truy cập tệp .htaccess thành 666, lưu các đường dẫn thường trực, sau đó thay đổi lại thành 644.

Lỗi 403 xuất hiện khắp nơi?

Kiểm tra các quy tắc trong tệp .htaccess xem có lỗi cú pháp không. Tạm thời đổi tên tệp .htaccess để kiểm tra.

Bản tóm tắt

Bảo mật các tập tin này là một bước cơ bản trong bảo mật WordPress. Kết hợp với việc luôn cập nhật WordPress, giao diện và plugin, sử dụng mật khẩu mạnh và cài đặt plugin bảo mật, trang web WordPress của bạn sẽ được bảo vệ tốt trước các cuộc tấn công phổ biến.