Bảo Mật File Wp-Config.php Htaccess: Hướng Dẫn Chống Tấn Công Toàn Diện
Securing the wp-config.php htaccess file are two of the most important steps to building a solid defense for your WordPress website. This is where the most sensitive information such as database login information and server configuration rules are stored. This article will guide you through the most effective methods, using simple code to lock down these two critically important files, immediately preventing unauthorized access and common attacks.
The most urgent wp-config.php and .htaccess file security measures
To effectively secure the wp-config.php htaccess file, you need to immediately apply measures to set file permissions, hide files and configure the Apache server. This is the most optimal way to secure WordPress without using plugins to help protect against hackers.
When it comes to protecting the system core, at Pham Hai: Personal Blog, we always emphasize the importance of directly intervening in WordPress Hosting through cPanel or FTP software. Editing core files correctly helps prevent unauthorized access without weighing down the server like using security Plugins. According to the latest updates as of March 2026, security vulnerabilities targeting configuration files are still the leading cause of loss of website control.
Use .htaccess to block direct access to the wp-config.php file
How to hide wp-config.php file from unauthorized access? You just need to add a short security code to the .htaccess file to deny all requests to read this file from web browsers.
File wp-config.php chứa thông tin đăng nhập cơ sở dữ liệu MySQL, mật khẩu, và tên người dùng cực kỳ quan trọng. Để ngăn chặn rò rỉ thông tin wp-config.php, hãy truy cập File Manager, mở file .htaccess ở thư mục gốc và chèn đoạn mã bảo mật wp-config.php và .htaccess sau (áp dụng chuẩn cho Máy chủ Apache 2.4+):
<Files wp-config.php>
Require all denied
</Files>
This code acts as a strong shield, returning a 403 Forbidden error code to anyone who tries to access the file directly via the browser address bar. It contributes to optimizing security, blocking automatic scanning bots that are searching for vulnerabilities on the internet.
Set secure file permissions (CHMOD) for wp-config.php
Setting secure wp-config.php file permissions (chmod) limits the file's read and write permissions to 400 or 440. This ensures only the server owner can read the file content, preventing privilege escalation attacks.
Quyền file (File Permissions) lỏng lẻo là lỗ hổng bảo mật chết người. Thông qua File Manager trên cPanel hoặc phần mềm FTP, hãy click chuột phải vào file wp-config.php và chọn "Change Permissions".
| Permissions (CHMOD) | Subjects allowed | Safety level |
|---|---|---|
| 644 | Default (Read/Write for Owner, Read for Public) | Less safe |
| 440 | Only Owner and Group are read | Very safe |
| 400 | Only the Owner can read | Absolutely safe |
At Pham Hai: Personal Blog, we recommend that you use CHMOD 400 (or 440 depending on hosting configuration) to configure .htaccess to effectively block Local Attack WordPress attacks. Local Attack is a hacker technique that uses a hacked website on the same server to attack your site, and tightening CHMOD is the best way to prevent it.
Protect your .htaccess file from unauthorized access
The guide to protecting the .htaccess file for WordPress starts with preventing itself from being read or edited by hackers. You need to use the Files directive in Apache to block access to this file from the outside.
Bản thân file .htaccess chứa các quy tắc RewriteRule quan trọng để điều hướng URL. Nếu hacker can thiệp được, chúng có thể chuyển hướng website hoặc chèn mã độc (malware). Thêm đoạn mã sau vào chính file .htaccess của bạn:
<Files ~ "^.*.([Hh][Tt][Aa])">
Require all denied
</Files>
This helps protect core server configurations from cyber attacks. Even if hackers find a loophole, they won't be able to see or modify the security rules you took the trouble to set up.
Move the wp-config.php file outside the WordPress root directory
Moving wp-config.php up one directory level from the root directory (public_html) is an advanced trick. WordPress automatically detects the file in the new location, completely hiding it from the web root.
Nếu website của bạn nằm ở thư mục public_html/, hãy chuyển tệp wp-config.php ra ngoài, ngang hàng với thư mục public_html. Cấu trúc lõi của WordPress được thiết kế đủ thông minh để tự động tìm kiếm tệp cấu hình ở thư mục cha.
Even if hackers exploit the directory traversal vulnerability, they cannot find the file containing database information because it is no longer within the access range of the web server. However, please note that this method does not apply if you install WordPress in a subfolder or multisite.
Enhance WordPress security with .htaccess and wp-config rules
Combining the power of both files will create multiple layers of solid defense. You can proactively defend against SQL Injection, Cross-Site Scripting (XSS) and other types of dangerous malware.
To have a comprehensive protection strategy, you need to combine more advanced configurations. System optimization doesn't stop at basic configuration. If you are learning about more comprehensive solutions to protect your system, consulting in-depth documents on wordpress website security is an extremely necessary step for every Webmaster.
Disable PHP execution in the Uploads folder to protect against malicious code
Disabling PHP execution in the WordPress uploads directory helps prevent hackers from running uploaded malicious shell files. You just need to create an extra .htaccess file in this folder.
Thư mục WP-content/uploads là nơi dễ bị tấn công nhất vì nó mở quyền cho phép người dùng tải file (hình ảnh, tài liệu) lên máy chủ. Để chặn đứng nguy cơ này, hãy dùng File Manager tạo một file .htaccess mới tinh đặt bên trong thư mục uploads và chèn đoạn mã sau:
<Files *.php>
Require all denied
</Files>
This ensures that even if hackers can bypass the filter and upload malicious PHP code disguised as an image file, they cannot execute that code, helping to protect data integrity.
Block directory browsing to hide website structure
Blocking directory browsing (Directory Browsing) prevents hackers from seeing the list of files inside your hosting when that directory does not have an index.php file.
Nếu thiếu file index, máy chủ Apache sẽ tự động hiển thị toàn bộ cấu trúc thư mục dưới dạng danh sách. Kẻ xấu có thể lợi dụng điều này để tìm kiếm các lỗ hổng, file backup bị bỏ quên hoặc theme/plugin lỗi thời. Thêm dòng lệnh duy nhất sau vào file .htaccess gốc:
Options -Indexes
Just a short line of command but helps completely anonymize the file structure of the WordPress website owner, refusing to provide any clues to stalkers.
Disable Theme and Plugin editing feature from the admin page
Disabling theme/plugin editing directly from WP-admin helps protect the source code. Even if hackers take over the administrator account, they cannot insert malicious code into the interface.
WordPress mặc định cho phép quản trị viên chỉnh sửa trực tiếp code của Theme và Plugin ngay trong Dashboard. Đây là con dao hai lưỡi. Thêm đoạn mã sau vào file wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
This is an effective way to secure the wp-config.php file to lock down the Editor feature. From now on, force all code changes to be made via a secure protocol such as FTP or cPanel, minimizing the risk of internal sabotage.
Restrict access to the admin area (wp-admin) by IP address
Restricting wp-admin access with .htaccess by IP is an absolute Brute-force blocking method. Only authorized IPs can access the login page.
Nếu bạn làm việc tại văn phòng có một địa chỉ IP tĩnh, hãy tạo một file .htaccess trong thư mục wp-admin và thêm đoạn cấu hình sau:
<RequireAny>
Require ip 192.168.1.100
Require all denied
</RequireAny>
(Nhớ thay 192.168.1.100 bằng địa chỉ IP thực tế của bạn). Cách này chặn đứng mọi nỗ lực dò mật khẩu (Brute-force) từ các nguồn không xác định. Bất kỳ ai ngoài IP cho phép khi vào trang đăng nhập đều sẽ bị máy chủ từ chối thẳng thừng.
Block attacks on xmlrpc.php file
XML-RPC files are often exploited for DDoS and Brute-force attacks. You can disable it completely with a code in .htaccess to reduce the load on the server.
Tính đến các bản cập nhật bảo mật tháng 3/2026, giao thức XML-RPC gần như không còn cần thiết với đa số người dùng (nhờ sự phát triển của REST API) nhưng lại là điểm yếu lớn thường xuyên bị khai thác. Chèn đoạn này vào .htaccess:
<Files xmlrpc.php>
Require all denied
</Files>
This action helps eliminate an outdated connection port, significantly reducing the situation of server overload (CPU 100%) when targeted by botnets for network attacks.
Understand risks and complementary security methods
Besides using scripts, it is extremely important to understand wp-config.php file security risks and incorporate preventative measures such as backups and use of SSL/HTTPS certificates.
Don't wait until your website is hacked to take action. Proactive defense is always more effective and less expensive than having to hire experts to fix the problem.
Why is securing wp-config.php and .htaccess files extremely important?
Why is it necessary to secure wp-config.php and .htaccess files? Because this is the "heart" and "brain" of the website, which controls the database connection and server access flow.
Rủi ro bảo mật file wp-config.php là vô cùng lớn. Nếu tệp này bị lộ, hacker sẽ có toàn quyền kiểm soát MySQL, đánh cắp dữ liệu khách hàng hoặc xóa sổ toàn bộ website trong nháy mắt. Tương tự, .htaccess bị thao túng sẽ dẫn đến việc điều hướng sai lệch toàn bộ lượng truy cập sang các trang lừa đảo. Ngoài ra, việc chủ động thay đổi Tiền tố bảng dữ liệu (database prefix) mặc định wp_ thành một chuỗi ngẫu nhiên trong wp-config.php ngay từ đầu cũng giúp giảm thiểu rủi ro SQL Injection cực kỳ hiệu quả.
Update Security Keys and Salt Keys in wp-config.php
Security Keys and Salt help encrypt login information in cookies. Changing them periodically will force every user to log in again, eliminating unauthorized sessions.
Bạn có thể truy cập API chính thức của WordPress (https://api.wordpress.org/secret-key/1.1/salt/) để lấy một bộ khóa mới và dán đè lên các dòng tương ứng trong wp-config.php.
This is a good habit that we at Pham Hai: Personal Blog always apply periodically to our projects. It contributes to immediately disabling stolen cookies, protecting administrator accounts from login session hijacking.
Turn off PHP error messages to avoid information leaks
Disabling PHP error reporting on the front-end helps hide root directory paths and sensitive server information from hackers.
Khi một plugin hoặc theme gặp lỗi, hệ thống có thể in ra màn hình các đường dẫn vật lý trên server (ví dụ: /home/user/public_html/...). Thêm các dòng sau vào wp-config.php để ngăn chặn điều này:
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);
@ini_set('display_errors', 0);
Displaying errors should only be done in a staging environment. On the live site, it is an extremely dangerous information leak that you must close immediately.
Always back up your data before making changes
Backing up your data is paramount before you edit any core files. A small mistake in .htaccess can bring down the entire website.
Trước khi áp dụng các đoạn mã trên, hãy tải bản sao của wp-config.php và .htaccess về máy tính cục bộ. Nếu website báo lỗi 500 Internal Server Error sau khi lưu, bạn chỉ cần tải lại file cũ lên để khôi phục. Hơn thế nữa, để đảm bảo an toàn tuyệt đối cho toàn bộ hệ thống dữ liệu, bạn nên tìm hiểu ngay cách backup website wordpress định kỳ và tự động lên các nền tảng đám mây.
By applying configuration techniques in the .htaccess and wp-config.php files, you proactively create a solid layer of protection for your WordPress website without relying too much on third-party plugins. These are fundamental steps, helping to significantly reduce the risks of attack, data leak and control gain. Make securing the wp-config.php htaccess file a top priority and perform periodic reviews as part of your website administration process.
Please check and immediately apply the above security instructions to your website. If you have any questions during the operation, don't hesitate to leave a comment below for support!
Lưu ý: Thông tin trong bài viết này chỉ mang tính chất tham khảo. Để có lời khuyên tốt nhất, vui lòng liên hệ trực tiếp với chúng tôi để được tư vấn cụ thể dựa trên nhu cầu thực tế của bạn.
