Là nền tảng blog phổ biến nhất, WordPress là mục tiêu tiềm năng của mọi hacker tìm kiếm các trang web WordPress dễ bị tấn công. Trong bài này bạn sẽ học Làm thế nào để bảo mật thư mục trang web WordPress nhạy cảm của bạn bằng cách vô hiệu hóa Duyệt qua Thư mục thông qua tệp .htaccess. Làm thế nào để mật khẩu bảo vệ thư mục web Apache bằng cách sử dụng htaccess. Plugin WordPress tốt nhất để vô hiệu hóa danh sách thư mục Tại sao bạn cần vô hiệu hóa duyệt thư mục trong WordPress? Trên WordPress, nội dung do người dùng tạo ra được sẽ nằm trong /wp-content trong khi các tên tệp và thư mục khác (nội dung bên trong /wp-admin, /wp-includes ) chủ yếu là tĩnh và có thể dự đoán được vì chúng thuộc về lõi mặc định của WordPress. Do đó, danh sách thư mục bên trong /wp-content có thể giúp bạn liệt kê các tệp phương tiện được tải lên (/ tải lên), chủ đề ( /theme) và quan trọng nhất là plugin ( /plugins). Bằng cách tiết lộ thông tin này, bạn sẽ làm cho công việc của kẻ tấn công dễ dàng xem phiên bản plugin, chủ đề nào được cài đặt và do đó có thể tìm thấy vector tấn công khá dễ dàng và thậm chí có thể giúp anh xác định được đòn tấn công của mình. Hãy thử chạy WP Hacked Help tại: https://secure.wphackedhelp.com/scanner.html?affCode=wphhorganic để kiểm tra trang web và phân tích kết quả. Cơ sở dữ liệu máy quét chứa danh sách các lỗ hổng và nó cũng kiểm tra các thư mục . Nếu một người đang cố gắng duyệt qua các tệp WordPress của bạn, đó là một lỗ hổng bảo mật lớn cho phép hacker xâm nhập vào WordPress một cách dễ dàng. Theo mặc định, các thư mục như wp-content hoặc wp-include chứa dữ liệu nhạy cảm, bất kỳ người dùng web nào đều có thể xem các tệp có trong cài đặt WordPress của bạn. Bạn có thể kiểm tra xem các cài đặt mặc định cho duyệt thư mục của bạn có được kích hoạt hay không. Tất cả những gì bạn phải làm là nhập URL thư mục “uploads” của blog vào thanh địa chỉ của trình duyệt web. Ví dụ: Giả sử url của trang web của bạn là www.example.com . Bạn chỉ cần nhập thông tin sau vào thanh địa chỉ của trình duyệt: http://www.example/wp-content/uploads/ hoặc http://example.com/wp-includes/ ( example là tên trang web WordPress của bạn). Nếu bạn thấy một danh sách các tập tin trong kết quả trả về, nó chỉ đơn giản có nghĩa là duyệt thư mục được kích hoạt trên trang web WordPress của bạn mà chắc chắn không phải là một dấu hiệu tốt. Nó có thể tiết lộ rất nhiều thông tin về trang web của bạn. Tin tặc có thể dễ dàng xem thư mục tải lên. Ngoài ra, thư mục plugin cũng không an toàn nữa. Tất cả các plugin có sẵn trên cài đặt WordPress của bạn đều được hiển thị. Do đó, đột nhập vào trang web của bạn không phải là cái gì gây khó khăn cho họ. Các plugin lỗi thời dễ bị tấn công và có thể đóng vai trò như các cửa mở vào Trang tổng quan và hệ thống tệp của blog của bạn. Bạn có thể thấy rõ trong hình ảnh dưới đây – TRƯỚC KHI duyệt thư mục đã được bật trên blog WordPress và SAU KHI duyệt thư mục bị vô hiệu hóa trên blog WordPress Vô hiệu hoá duyệt thư mục trong WordPress bằng cách sử dụng .htaccess? Bây giờ bạn đã biết hậu quả của việc duyệt thư mục được bật, bạn có thể muốn biết cách tắt nó. Để tắt tính năng duyệt thư mục trong WordPress , chỉ cần thực hiện theo các hướng dẫn sau trong tệp .htaccess của bạn: Trước tiên, hãy mở bất kỳ chương trình truyền tệp nào như FTP hoặc SFTP để kết nối với trang web của bạn. Tìm tệp có tên .htaccess. Nếu thấy, hãy tải xuống máy tính của bạn. Nếu bạn không tìm thấy tệp, có thể tệp bị ẩn.(Tìm hiểu cách hiện file .htaccess) Bạn cũng có thể sử dụng Trình quản lý tệp CPANEL và đảm bảo bạn đã chọn tùy chọn “hiển thị tệp ẩn”. Khi bạn định vị tệp thông qua bất kỳ phương thức nào, hãy tải tệp .htaccess từ thư mục chính wordpress của bạn xuống máy tính. Bạn không thể tìm thấy tập tin .htaccess trong thư mục web chính, bạn có thể tạo mới nó. Bây giờ, Nếu có tệp .htaccess có sẵn, bạn nên tạo bản sao lưu tệp .htaccess trên máy tính của riêng bạn. Một sẽ được sử dụng để sửa đổi các thiết lập và một sẽ được giữ để sao lưu trong trường hợp bạn vô tình làm website bị lỗi. Sau khi sao lưu xong, mở một trong các tập tin với Notepad++ Bây giờ thêm đoạn mã được đề cập dưới đây ngay phía trên dòng #END WordPress: Options - Indexe Và cuối cùng của bạn .htaccess sẽ trông như thế này: # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress Options All -Indexes Nhấn phím ENTER sau khi đặt mã này sao cho nó kết thúc bằng một dòng trống. Khi bạn thêm dòng này vào mã đã tồn tại, hãy lưu lại tệp .htaccess đã sửa đổi. Bây giờ, hãy mở lại chương trình FTP của bạn hoặc tiện ích Trình quản lý tệp của CPANEL để tải tệp .htaccess đã chỉnh sửa lên thư mục chính WordPress của bạn. Bây giờ một lần nữa xác minh nếu duyệt thư mục được vô hiệu hóa thành công hay không bằng cách sử dụng cùng một url. Nếu bạn thấy lỗi “ 404 – Không tìm thấy tệp ” thay vì danh sách tệp, điều đó có nghĩa là cài đặt wordpress của bạn không có lỗ hổng duyệt thư mục. Giờ đây, tin tặc sẽ không thể khai thác bất kỳ tệp không an toàn nào từ các thư mục được hiển thị. Vô hiệu hóa duyệt thư mục WordPress bằng Plugins Từ bây giờ trở đi, nếu bạn tạo một thư mục mới trên trang web WordPress của bạn, hãy đảm bảo bạn đặt một tệp “index.html” vào nó để tránh liệt kê danh sách cho tất cả khách truy cập của bạn. Bạn cũng có thể cài đặt WordPress plugin để vô hiệu hóa việc duyệt thư mục và do đó, cải thiện tính bảo mật của trang web WordPress của bạn. WP safely disable directory browsing: Plugin này là một phần mềm nguồn mở dành cho người dùng WordPress cho phép bạn hạn chế duyệt qua các thư mục web bằng cách tắt tự động duyệt thư mục bất cứ khi nào một thư mục mới được tạo. Hide My WP – Plugin bảo mật của WordPress : Sử dụng plugin này, bạn có thể dễ dàng ẩn các đường dẫn và URL phổ biến của WordPress để tăng tính bảo mật cho WP của bạn so với bất kỳ khai thác web nào. AB WP Security Plugin này được thiết kế và phát triển đặc biệt để bảo vệ trang web của bạn chống lại một số lỗ hổng bảo mật. Nó vô hiệu hóa duyệt thư mục và hạn chế người xem trang web của bạn xem nội dung thư mục trên trang web của bạn. Vô hiệu hóa tính năng duyệt thư mục là một trong những biện pháp bảo mật được xác định rõ nhất trong số hầu hết các quản trị viên web. Điều này có thể dẫn đến việc thừa nhận tin tặc về các chủ đề và plugin được sử dụng trong trang web và tin tặc có thể dễ dàng khai thác những lỗi thời và đột nhập vào trang web của bạn. Nhiều lần mọi người chỉ đơn giản là quên nó làm cho công việc cho hacker dễ dàng hơn nhiều. Cuối cùng, chúc bạn thành công.:))