Để nâng cao tính năng bảo mật Website sử dụng Worpdress ngoài các cách thông thường, chúng ta còn 1 cách khá hiệu quả và nhanh chóng, không làm chậm website đó là cài đặt mã bảo mật cấp 2 cho thư mục wp-admin . Trong 1 số trường hợp bị tấn công brute force thì việc này càng trở nên cần thiết hơn.
Bài viết này sẽ hướng dẫn các bạn tạo tài khoản bảo mật 2 lớp cho wp-admin trên server chạy nền tảng web service Apache.
Kết quả, khi truy cập wp-admin hoặc wp-login.php chúng ta sẽ có yêu cầu nhập tài khoản bảo mật
Bảo mật 2 lớp thư mục wp-admin
Cách làm.
Bước 1: Chỉnh sửa file .htaccess trên thư mục gốc của Website (trong thu mục public_html) và thêm vào 1 đoạn như sau.
![[Wordpress] Tạo pass cấp 2 để bảo vệ thư mực WP-Admin trên Server 1](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw== "[Wordpress] Tạo pass cấp 2 để bảo vệ thư mực WP-Admin trên Server 2")
# Add Password for WPadmin
<Files wp-login.php>
AuthUserFile /home/nguyencaotu1991/public_html/.htpasswd
AuthName "Private access"
AuthType Basic
require user root
</Files>Lưu ý: Bạn phải sửa cái nguyencaotu1991 kia thành tên username tài khoản hosting của bạn. Một số bạn không tìm thấy file .htaccess thì có 2 trường hợp xảy ra
- Công cụ của bạn không show được file .htaccess (nên dùng phần mềm FilezillaFTP)
- Website không dùng Web Service là Apache mà dùng cái khác như Nginx chẳng hạn, thì không dùng được cách này.
Bước 2: Khởi tạo thêm file chứa tài khoản và mật khẩu có tên .htpasswd
Bạn dùng Notepad tạo 1 file .htpasswd với nội dung
tucao:$apr1$xc7Q052B$0wF/XnWpvBiWsli8bSbrM.Dòng nên ta sẽ có user là tucao và pass mặc định là Za8*H2d*=x . Để tạo user và pass theo ý thích của bạn, bạn có thể sử dụng công cụ sau http://aspirine.org/htpasswd_en.html
Vậy là hoàn tất, hãy lưu lại và thử truy cập vào thư mực wp-admin của bạn và tận hưởng kết quả.
Cơ đang dùng VPS Nginx nên vừa cài plugin Google Authenticator của Henrik. Test thử thì thấy ổn. Cũng là một tùy chọn tốt cho các bạn dùng Nginx.