[WordPress] Tạo mật khẩu bảo vệ thư mục WP-Admin (Với htpasswd)

Đợt gần đây có nhiều website bị tấn công và mọi người quan tâm nhiều hơn tới vấn đề bảo mật cho WordPress. Và mình nghĩ việc này cũng khá cần thiết, nhất là khi không nhiều chủ Website sử dụng WordPress có thói quen và hiểu biết và Website dễ dàng bị hư hại.

Có 03 cách để làm việc này:

  1. Sử dụng htpasswd (cách Tú sẽ hướng dẫn): Cách này tạo pass bảo vệ từ server, ưu điểm là không cần can thiệp code, không cài thêm plugin, nhẹ nhàng và an toàn
  2. Sử dụng php, chúng ta sẽ thêm 1 đoạn vào file index.php trong wp-admin : Khi nào update lại WordPress sẽ phải làm lại, cách này không hay.
  3. Cài đặt thêm 1 plugin có tính năng này: Cũng ổn với người không biết, nhưng cách mã hóa và an toàn thì không bằng cách số 1. WordPress bảo mật thì càng ít plugin thì càng tốt, nếu chỉ sử dụng core wordpress mà không dùng thêm bất kỳ plugin nào thì WordPress cực kỳ bảo mật.

Bài viết này, Tú sẽ dùng cách số 1. Nó có thể áp dụng với gần như tất cả Website, kể cả Webstie WordPress hay bất kỳ mã nguồn nào khác.

Kết quả chúng ta sẽ có, truy cập thử mục wp-admin của Tú: https://nguyencaotu.com/wp-admin

Mật khẩu bảo vệ 2 lớp Wp-admin

Mật khẩu bảo vệ 2 lớp Wp-admin

Bước 1: Chúng ta sẽ tạo username và mật khẩu cho thư mục Wp-Admin.

Bạn truy cập: http://www.htaccesstools.com/htpasswd-generator/

Điền tên user và password bạn muốn đặt. Sau khi có kết quả, hãy copy kết quả này, dùng notepadd++ tạo 1 file có tên .htpasswd và dán nội dung mà bạn vừa copy được.

Tạo tài khoản đăng nhập

Tạo tài khoản đăng nhập

Bước 2: Chúng ta sẽ tải file này lên trên Website của bạn thông qua FTP Account.

Ở đây mình dùng Filezilla để quản lý file, bạn có thể tải nó lên bất kỳ đâu bên trong thư mục gốc public_html. Tốt nhất cho nó vào public_htm/wp-admin

Tải .htapasswd lên hosting của bạn

Tải .htpasswd lên hosting của bạn

Bước 3: Lấy đường dẫn của .htpasswd

Click chuột phải vào .htpasswd và chọn copy url.

Copy URL của htapasswd

Copy URL của htpasswd

Bước 4: Khai báo cho máy chủ để nó kích hoạt htpasswd hoạt động bằng .htaccess file.

Bạn truy cập vào đây: http://www.htaccesstools.com/htaccess-authentication/

Ở bước 3 bạn đã Copy được đường dẫn của htpasswd vào trong bộ nhớ, dãn dán nó vào ô Path của trang mà bạn vừa mở.

Tạo file htaccess

Tạo file htaccess

Bạn xóa cái đoạn đầu tiên (đoạn Tú bôi đen có chữ ftp:// đi) và sửa lại thành /home

Sau đó bạn nhấn nút Create .htaccess file chúng ta sẽ có kết quả.

Đây là file htaccess file đã tạo thành công với đường dẫn tới file .htapasswd

Đây là file htaccess file đã tạo thành công với đường dẫn tới file .htpasswd

Một số giao diện WordPress thường sẽ gọi 1 số tài nguyên từ wp-admin (Thường là ajax) nên có khả năng khi người dùng truy cập nó cũng hỏi. Vì thế bạn thêm 1 đoạn code này vào bên trong nội dung của file .htaccess vừa tạo được ở trên kia luôn (cái này là chấp nhận tải ajax từ wp-admin)

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Bước 5: Dùng Notepadd copy nội dung trên và lưu chúng thành file .htaccess sau đó tải lên thư mục wp-admin.

Vậy là hoàn tất, bây giờ hãy mở trình duyệt ẩn danh và thử truy cập thư mục wp-admin và tận hưởng kết quả.

Tạo mật khẩu 2 lớp bảo vệ thư mục WP-admin

Tạo mật khẩu 2 lớp bảo vệ thư mục WP-admin

Hãy nhập thử mật khẩu đúng và mật khẩu sai để test nhé.

Chúc bạn thành công!.

Leave a Reply