Giới thiệu về plugin Vietnix WordPress File Locker

Vietnix -

Vietnix WordPress Files Locker là một cPanel plugin hỗ trợ người quản trị website có thể dễ dàng bảo vệ các tệp, thư mục của WordPress có trên hosting. Với kim chỉ nam “ai cũng có thể dùng", plugin được thiết kế để những người dùng không rành về kỹ thuật có thể hiểu và sử dụng một cách hiệu quả.

Mục đích sử dụng plugin Vietnix WordPress Files Locker

Khi được khởi động từ cPanel, plugin này sẽ tiến hành quét tất cả các tên miền (domain) và thư mục gốc (docroot) của tài khoản cPanel đang đăng nhập. Kết quả trả về sẽ được hiển thị dưới dạng một danh sách, từ đó người dùng có thể chọn mở và thực hiện các thao tác bảo vệ, bao gồm hai tuỳ chọn là khoá/mở khoá và chặn PHP.

Giải thích một số định nghĩa trong plugin

Khoá/mở khoá

  • Khoá: khi một đường dẫn, bất kể là tệp hay thư mục, bị khoá, bản thân tệp/thư mục đó sẽ không thể bị tác động (thêm, xóa, chỉnh sửa). Trong trường hợp khóa thư mục, các tệp, thư mục con bên trong thư mục đó cũng sẽ bị khoá.
  • Mở khoá: khi một đường dẫn được mở khoá, bản thân tệp/thư mục đó sẽ có thể chỉnh sửa trở lại. Trong trường hợp mở khoá thư mục, các tệp, thư mục con bên trong thư mục đó cũng sẽ được mở khoá.

Tuy nhiên, để đảm bảo website vẫn có thể hoạt động ổn định, plugin đã loại trừ các tệp, thư mục của WordPress không thể khoá.

Cần lưu ý rằng các giao diện (themes) và plugins không được tải về từ trang chủ WordPress có thể bị ảnh hưởng khi khoá thư mục Themes hoặc Plugins. Trường hợp này xảy ra khi các tệp phát sinh (temp files) của giao diện/plugin đó lưu thẳng vào trong thư mục của chúng, thay vì vào vị trí mà các giao diện/plugin thông thường lưu trữ.

Nếu vấn đề này xảy ra, hãy suy xét đưa giao diện/plugin đó vào ngoại lệ bằng các bước:

  • Mở khoá thư mục giao diện/plugins;
  • Thêm thư mục gốc của giao diện, plugin đó vào danh sách ngoại lệ (trong wp-content/themes đối với giao diện, trong wp-content/plugins đối với plugin);
  • Sau đó tiến hành khoá lại thư mục giao diện/plugins.

Chặn/bỏ chặn PHP

Bên cạnh khoá, mở khóa các thư mục, tệp để ngăn chặn sự tác động từ bên ngoài, plugin này còn cung cấp thêm một giải pháp là chặn, bỏ chặn PHP đối với các thư mục. Tính năng này sẽ rất hữu dụng nếu được ứng dụng ở các thư mục thoả mãn:

  • Cần sự thay đổi liên tục về dữ liệu ở bên trong (thêm, xóa, chỉnh sửa tệp);
  • Không chứa và thực thi các tệp PHP.

Một ví dụ điển hình nhất của việc ứng dụng tính năng này thay vì khoá/mở khoá phía trên là thư mục wp-content/uploads. Đây là thư mục dùng để lưu trữ các tệp đa phương tiện (ảnh, video) của WordPress và thường sẽ phải mở khoá để có thể đăng tải, xoá tệp liên tục, tuy nhiên thư mục này không được thiết kế để chứa các tệp PHP nên có thể sử dụng tính năng chặn PHP để tránh việc bị chèn các tệp mã độc vào đây.

Ở khu vực chặn/bỏ chặn PHP, wp-content/uploads luôn sẵn hiển thị ở đó. Ngoài ra, đối với các thư mục được người dùng thêm vào ngoại lệ, nếu không ảnh hưởng đến hoạt động của website khi chặn PHP, cũng sẽ được hỗ trợ và hiển thị trong danh sách của tính năng này.

Hướng dẫn chi tiết các bước sử dụng plugin Vietnix WordPress Files Locker

Bước 1: Đăng nhập vào cPanel;

Bước 2: Tìm đến mục Vietnix và mở Vietnix WordPress Files Locker.

Giao diện tổng quát của plugin này sẽ bao gồm các khu vực dưới đây:

  1. Thay đổi ngôn ngữ;
  2. Danh sách các source WordPress quét được trong tài khoản người dùng;
  3. Khu vực hiển thị nội dung (content area):
  4. Tab Hướng dẫn sử dụng (mặc định mở khi vào plugin): bao gồm tài liệu hướng dẫn sử dụng plugin này
  5. Tab thông tin chung & trạng thái docroot: hiển thị tất cả các thông tin và trạng thái files/folders trong docroot của site. Khi một site được chọn từ bên trái, thông tin của site đó sẽ được tải lên và hiển thị lên tab này.

1. Phần thông tin tổng quan:

Các thông tin được thể hiện bao gồm:

  • Tên miền (domain);
  • Đường dẫn đến docroot của site trên tài khoản cPanel của người dùng;
  • Lần cuối cùng dữ liệu (khoá/mở khoá) được cập nhật;
  • Để cập nhật lại dữ liệu dựa trên trạng thái thực của hệ thống => nhấn nút Làm mới dữ liệu.

2. Khu vực thông tin chi tiết

Ở khu vực này sẽ có 2 tabs, bao gồm:

  • Hiện trạng: thể hiện các trạng thái hiện tại của source (sẽ đi sâu hơn phía dưới);
  • Nhật ký hoạt động: mọi hành động trên source của plugin sẽ được record ở đây.

2.1. Hiện trạng

Phần này sẽ gồm 3 sections: Trạng thái bảo vệ, Ngoại lệ Chặn/bỏ chặn thực thi PHP ở các thư mục đã thêm vào ngoại lệ.

2.1.1. Trạng thái bảo vệ

Các trạng thái Khoá, Không khoá Khoá một phần đã được giải thích ngay trong plugin và ở trong mục giới thiệu ở trên

Trước khi khoá:

  • Hãy chắc chắn rằng bạn đã đọc dòng chữ nhỏ chú thích ở dưới mục cần khoá;
  • Nếu có tệp, thư mục nào nằm trong mục cần khoá cần được thêm vào ngoại lệ, hãy thêm chúng vào ngoại lệ trước khi tiến hành khoá. (xem thêm mục Thêm ngoại lệ ở bên dưới).

Khoá/mở khoá:

Khi thao tác khoá và mở khoá, kết quả sẽ được thông báo như dưới đây và trạng thái tương ứng sẽ được cập nhật lên giao diện trong vòng 2-3 giây sau đó.

Tuy nhiên, khi khoá thư mục Plugins/Themes thì sẽ không thể cài đặt, cập nhật hay xoá plugin/theme. Tương tự đối với thư mục Uploads, sẽ không thể tác động bất kì tệp media nào trong source này.

2.1.2. Ngoại lệ

Thêm ngoại lệ

Như đã đề cập ở trên, để có thể sử dụng cái này một cách tối ưu thì người dùng sẽ được phép thêm các ngoại lệ vào đây. Khi đã được thêm vào bảng này, tệp, thư mục được thêm sẽ không còn bị ảnh hưởng bởi plugin này nữa.


Để thêm một hoặc một vài ngoại lệ mới, nhấn vào Thêm ngoại lệ mới.


  • Các ngoại lệ có sẵn: sẽ được chọn trước và người dùng không thể nào chọn lại;
  • Thêm một thư mục làm ngoại lệ cũng đồng nghĩa rằng các tệp, thư mục con của thư mục đó cũng không bị ảnh hưởng bởi plugin này;
  • Sau khi đã chọn hết các tệp, thư mục cần đưa lên, nhấn nút Chọn để tiến hành thêm các ngoại lệ.

Xoá ngoại lệ

Người dùng có thể xóa một hoặc nhiều ngoại lệ cùng một lúc:

  • Để xoá một ngoại lệ: nhấn vào nút Xóa ở bên cạnh ngoại lệ đó;
  • Để xoá nhiều ngoại lệ cùng một lúc:
  • Nhấn vào nút Xóa nhiều ngoại lệ;
  • Tích chọn tất cả ngoại lệ cần xoá;
  • Sau đó chọn Xoá mọi đường dẫn đã chọn để tiến hành quá trình xoá.
2.1.3. Chặn/bỏ chặn thực thi PHP ở các thư mục đã thêm vào ngoại lệ

Sau khi đã được thêm vào danh sách ngoại lệ, plugin offers người dùng thêm một tùy chọn để giảm thiểu khả năng bị tấn công bởi mã độc vào các thư mục có trong danh sách này.

Tuy nhiên, khi một thư mục đã bị chặn php thì các tệp ở trong thư mục này không thể execute php, vậy nên chỉ khuyến nghị khoá php nếu thư mục đó không cần đụng đến việc thực thi php từ các file bên trong nó. Ứng dụng cụ thể nhất của tính năng này là cho wp-content/uploads - nơi chứa các media của site WordPress (ảnh, video).


Chính vì bản chất của tính năng nó như vậy, nên mặc định các tệp, thư mục lõi (core) của WordPress sẽ không được hỗ trợ tính năng này.

2.2. Nhật ký hoạt động


Để khách hàng có thể quản lý dễ dàng (thực ra là khi khách hàng khi họ tự tay thực hiện, hoặc một plugin ngẫu nhiên nào đó họ tạo ngoại lệ để “tác động vật lý" vào plugin của mình thì bên tech/support sẽ có bằng chứng để “combat trong hoà bình” với họ :D ), mọi hoạt động phát sinh từ plugin này sẽ được record vào một nhật ký và thể hiện ở đây.

Trong trường hợp xảy ra lỗi thì nó khá là muôn vàn vạn trạng nên Đ quyết định không có đưa lỗi ra đây, thay vào đó hướng khách hàng nếu xảy ra lỗi thì báo với bên kỹ thuật, bên Đ sẽ làm một quy trình xử lý riêng với những lỗi có thể xảy ra và tự update dần cho anh em.

3. Một số khuyến nghị khi sử dụng plugin

Để sử dụng plugin hiệu quả, dưới đây là khuyến nghị cách sử dụng cho người dùng như sau:

  • Khi cần cập nhật WordPress: mở khoá Docroot | WordPress Core Files & Folders. Cập nhật xong thì khoá lại liền;
  • Khi cần cập nhật, cài đặt hoặc gỡ plugin hoặc theme: chỉ mở đúng thư mục Plugins hoặc Themes, sau khi thực hiện xong thứ mình cần làm, khoá lại ngay lập tức.

Riêng với wp-content/uploads:

  • Với source là một trang thường xuyên tải lên, chỉnh sửa và xóa media (đăng daily blogs chẳng hạn): không khoá wp-content/uploads, chặn thực thi PHP;Với source là một trang không thường xuyên tải lên (web công ty hoặc bán hàng chỉ có vài sản phẩm cố định chẳng hạn): khoá wp-content/uploads thường xuyên, chỉ mở ra mỗi lần thêm, chỉnh sửa các nội dung và khoá lại ngay sau đó.