thichhonghot
New member
Chỉ thêm đoạn cấu hình check cookie đơn giản như bên dưới, cũng có thể giúp website của chúng ta an toàn hơn. Dùng apache chứ chả động tới plugin, không hề ảnh hưởng đến hiệu năng.
<LocationMatch "^/(phpmyadmin|wp-admin)(?!/admin-ajax\.php)">
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^192\.9\.
RewriteCond %{REMOTE_ADDR} !^192\.168\.
RewriteCond %{HTTP_COOKIE} !^.*ws_access=1234A!.*$ [NC]
RewriteRule ^ - [R=403,L]
</LocationMatch>
Đoạn cấu hình trên apache này sẽ chặn truy cập vào wp-admin và phpmyadmin nếu IP không nằm trong danh sách và cookie ws_access không có giá trị tương ứng.
Như vậy để truy cập vào website chúng ta cần đặt cooke ws_access có giá trị tương ứng; hoặc truy cập từ mạng nội bộ (qua vpn chẳng hạn)
Còn về trang thông báo lỗi thì có thể làm 1 file html rồi cấu hình như sau:
ErrorDocument 403 /nopermission.html
Vậy là xong có thể thêm tí màu mè như header, logo, thậm chí đánh lừa hacker bằng việc thêm 1 cái form để submit email, như vậy hacker có thể sẽ tấn công sai cách =))
<LocationMatch "^/(phpmyadmin|wp-admin)(?!/admin-ajax\.php)">
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^192\.9\.
RewriteCond %{REMOTE_ADDR} !^192\.168\.
RewriteCond %{HTTP_COOKIE} !^.*ws_access=1234A!.*$ [NC]
RewriteRule ^ - [R=403,L]
</LocationMatch>
Đoạn cấu hình trên apache này sẽ chặn truy cập vào wp-admin và phpmyadmin nếu IP không nằm trong danh sách và cookie ws_access không có giá trị tương ứng.
Như vậy để truy cập vào website chúng ta cần đặt cooke ws_access có giá trị tương ứng; hoặc truy cập từ mạng nội bộ (qua vpn chẳng hạn)
Còn về trang thông báo lỗi thì có thể làm 1 file html rồi cấu hình như sau:
ErrorDocument 403 /nopermission.html
Vậy là xong có thể thêm tí màu mè như header, logo, thậm chí đánh lừa hacker bằng việc thêm 1 cái form để submit email, như vậy hacker có thể sẽ tấn công sai cách =))