Cách ngăn hacker thực thi PHP ở thư mục uploads của WordPress

Bảo vệ trang web thân yêu khỏi bàn tay của các hacker “hắc ám” luôn là điều mà mọi chủ website luôn trăn trở. Hôm nay, FitWP sẽ giới thiệu tới các bạn một phương pháp hiệu quả để bảo vệ website khỏi sự phá hoại của các hacker. Đó là ngăn chúng chạy các file PHP ở thư mục uploads của WordPress.

Nghe hơi kỹ thuật đúng không nào, nhưng thực ra việc này cực kỳ đơn giản, ai cũng có thể làm được chỉ với khoảng 5 phút mày mò. Nhưng trước tiên, hãy để mình giải thích cho các bạn tại sao chúng ta cần ngăn hacker thực thi PHP ở thư mục uploads của WordPress nhé!

Tại sao cần ngăn hacker chạy các file PHP ở thư mục “uploads”

Hacker có thể tải các file chứa mã độc lên website WordPress nếu bạn không phân quyền đúng.

Thông thường, admin và các người dùng được cấp quyền có thể upload các file vào thư mục uploads. Hacker có thể tận dụng điều này để tải các file chứa mã độc lên website WordPress nếu bạn không phân quyền đúng.

Đặc biệt là nếu trên website của bạn có các form như form liên hệ hoặc submit bài viết. Khi đó, hacker có thể lợi dụng các form này để submit các nội dung không được phép (như các file PHP hoặc các hình ảnh chứa mã PHP). Và thường WordPress sẽ lưu các nội dung này ở thư mục uploads. Nếu không ngăn chặn, hacker có thể chạy các file này và khiến website WordPress của bạn bị hack.

Chính vì thế, khi ngăn mọi người dùng (trừ admin) thực thi PHP tại file uploads, các file chứa mã độc mà hacker tải lên sẽ không chạy được. Vậy là hacker thì vò đầu bứt tai, còn website của bạn thì an toàn.

Có rất nhiều cách để ngăn hacker thực thi PHP ở thư mục uploads, trong đó có một cách dễ dàng hơn cả là chèn code vào file .htacess.

Mình sẽ hướng dẫn các bạn cách làm cụ thể ngay sau đây:

Các ngăn hacker thực thi PHP ở thư mục uploads

Trước hết, bạn cần đăng nhập vào cPanel rồi chọn File Manager:

Đăng nhập vào cPanel rồi chọn File Manager

Tiếp theo, hãy tìm thư mục uploads:

Tìm thư mục uploads trong File Manager.

Thông thường, các thư mục trong WordPress đều có sẵn một file .htaccess. Để ngăn hacker thực thi PHP ở thư mục uploads, bạn chỉ cần thêm đoạn code sau vào file .htaccess trong thư mục này:

<Files *.php>
deny from all
</Files>

Trong trường hợp thư mục uploads chưa có sẵn file .htaccess, bạn có thể tạo mới file này như sau:

Trên thanh công cụ, chọn File > Create New File để tạo một file mới và đặt tên nó là .htaccess:

Trong trường hợp thư mục uploads chưa có sẵn file .htaccess, bạn có thể tạo mới.

Tiếp theo, hãy click chuột phải vào file .htaccess vừa tạo và nhấn Edit để chỉnh sửa nội dung file:

Click chuột phải vào file .htaccess vừa tạo và nhấn Edit để chỉnh sửa nội dung file

Sau đó, bạn chỉ cần thêm vào đoạn code ở trên vào rồi click Save changes để lưu lại các thay đổi:

Chèn code ngăn hacker thực thi PHP  trong thư mục uploads.

Xong, bạn đã chặn việc thực thi PHP trong file uploads của WordPress thành công!

Lời cuối

Việc ngăn hacker thực thi PHP ở thư mục uploads của WordPress cực kỳ nhanh và đơn giản, bạn chỉ cần tạo file, thêm đúng 3 dòng code vào rồi lưu lại là xong, chưa mất tới 2 phút. Tuy nhiên, hành động tưởng chừng như đơn giản này sẽ giúp bạn tránh được vô vàn phiền toái, vậy còn ngại ngần gì mà không thực hiện ngay thôi nào!

Bên cạnh việc ngăn thực thi PHP ở thư mục uploads, bạn cũng nên sử dụng các plugin bảo mật để bảo vệ website WordPress của mình. Và theo thời gian, các hacker sẽ sáng tạo ra nhiều thủ đoạn mới tinh vi hơn để hack trang web, vậy nên đừng quên cập nhật các thông tin mới nhất về việc bảo mật website WordPress tại FitWP nhé!

Để lại bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *