Nội dung
Hướng dẫn xử lý lỗi 403 khi vào admin WordPress (Forbidden) với 5 bước sau.
I. Tổng quan
Chào mừng các bạn đã quay trở lại với tài liệu huongdan.azdigi.com. Ở bài viết hôm nay mình sẽ hướng dẫn bạn thực hiện kiểm tra và xử lý lỗi 403 Forbidden khi truy cập vào admin wordpress trên hosting cPanel tại AZDIGI. Lỗi 403 Forbidden bạn có thể hiểu nôm na là bạn bị chặn truy cập vào trang đó. Và nguyên nhân vì sao bị chặn cũng như là cách xử lý mình mới các bạn xem qua 5 Bước sau nhé.
II. Các bước thực hiện xử lý lỗi 403 khi vào admin WordPress
Bước 1: Tắt ModSecurity
ModSecurity cũng là một nguyên nhân gây là việc này. Modsecurity là 1 ứng dụng firewall tiêu biểu. Khi 1 request được gửi tới, Modsecurity sẽ phân tích request đó thành các thành phần Request header, Request body. Bất cứ 1 trường nào trong mỗi phần vi phạm luật đã được đề ra thì sẽ tùy vào người cấu hình mà có response tương ứng.
Thông thường đối với ModSecurity sẽ được bật trên Hosting của bạn, tuy nhiên trong một số trường hợp bạn thao tác trên website của mình ( thao tác quá nhanh hoặc với lí do khác ) khiến Hosting nhầm lẫn bạn chính là người đang muốn xâm hại vào Hosting thì tính năng này sẽ thực hiện chặn truy cập của chính bạn, lỗi thông thường bạn nhận được lỗi 403 trong trường hợp này.
Bạn đăng nhập vào cPanel => ModSecurity và chọn tên miền tương ứng và TẮT nhé.
Sau khi tắt ModSecurity bạn hãy truy cập thử vào website xem đã hoạt động hay chưa, nếu chưa bạn thực hiện tiếp bước 2 như sau.
Bước 2: Kiểm tra cấu hình file .htaccess
.htaccess là gì?. Tập tin .htaccess (hypertext access) là một file có ở thư mục gốc của các hostting và do apache quản lý, cấp quyền. File .htaccess có thể điều khiển, cấu hình được nhiều thứ với đa dạng các thông số, nó có thể thay đổi được các giá trị được set mặc định của webserver…
Nếu như trong file .htaccess bạn thiết lập các quy tắc chặn thực thi hoặc quyền truy cập thì sẽ dẫn đến lỗi 403 khi truy cập vào website hoặc là admin của web. Bạn hãy truy cập vào cPanel và mở file này lên nhé.
Vì đây là file ẩn do đó bạn cần hiển thị file ẩn như sau.
Sau khi đã mở file bạn copy nội dung file .htaccess như sau và dán vào.
# BEGIN WordPress
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Bây giờ bạn hãy truy cập thử xem còn lỗi 403 không nhé. Nếu như không còn có thể khẳng định từ file .htaccess. Nếu lỗi vẫn xuất hiện bạn tiếp tục thực hiện tiếp ở Bước 3 nha.
Bước 3: Vô hiệu các Plugin bảo mật
Một số Plugin bảo mật bạn cài vào website, khi bạn thực hiện sai quy tắc của Plugin thì Plugin sẽ hoạt động và chặn quyền truy cập của bạn vào website. Bên dưới là điển hình một số Plugin bảo mật thông dụng.
- Wordfence Security
- iTheme Security
- Sucuri Security
- All In One WP Security and Firewall
Bạn hãy truy cập vào hosting sau đó di chuyển vào thư mục Plugin là wp-content/plugin. Tại đây bạn sẽ thấy tất cả các Plugin đã cài đặt. Ở đây mình có cài iTheme Security và mình sẽ vô hiệu bằng cách rename (đổi tên) hoặc là phần quyền lại từ 0755 thành 0000 hoặc có thể remove (xoá bỏ) plugin này ra.
Bây giờ bạn hãy truy cập thử xem còn lỗi 403 không nhé. Nếu lỗi vẫn xuất hiện bạn tiếp tục thực hiện tiếp ở Bước 4 nha vì đây là cách giúp bạn kiểm tra từng vẫn đề để có thể loại bỏ xác định.
Bước 4: Kiểm tra thư mục wp-admin
Khi bạn truy cập vào trang admin, thì thư mục wp-admin sẽ quản lý trang này. Do đó bạn hãy truy cập vào thư mục wp-admin và kiểm tra có file .htaccess hay không, nếu có bạn hãy mở file lên đọc nội dung trước đã nhé.
Trường hợp của mình là trong wp-admin có tồn tại file .htaccess với nội dung là deny from all *.php có nghĩa sẽ vô hiệu tất cả khi truy cập vào các file .php. Đây là nguyên nhân đầu tiên mình xác định được và mình sẽ xoá bỏ file .htaccess này.
Bước 5: Kiểm tra mã độc
Mã độc cũng là nguyên nhân phổ biến nhất gây ra tình trạng này. Như ảnh bên dưới bạn sẽ dễ dàng nhận ra các file không thuộc cầu trúc của WordPress và virus đã tạo các file và chèn các mã độc vào gây ra tình trạng lỗi này.
Nguyên nhân cơ bản website bị nhiễm mã độc
- Trong quá trình sử dụng, bạn thực hiện upload dữ liệu, nếu dữ liệu ở máy tính cá nhân nhiễm virus khi thực hiện upload sẽ kéo theo virus lên trên hosting.
- Thông tin quản trị mật khẩu đặt ở mức độ đơn giản, không đủ độ khó, rất dể hacker khai thác, một số website đặt mật khẩu như sau (123456, 12345678, 12345678a) thì rất nguy hiểm cho website.
- Không update phiên bản Wordpress, Plugin và Theme lên bản mới, các bản cũ có nhiều lổ hỗng và dễ bị khai thác tấn công.
- Sử dụng Theme, Plugin trả phí nhưng được share miễn phí rất dể bị cài mã độc vào.
- Không tuân thủ các nguyên tắt bảo mật, sử dụng website/hosting.
- Không thường xuyển scan website bằng các công cụ, plugin quét tìm mã độc.
- Website hoạt động ở internet, sẽ có rủi ro hằng ngày, hằng giờ vì sẽ có hacker, con bot auto tìm lổ hổng để khai thác và chèn các mã độc vào, vì thế website cần được kiểm tra cập nhật và bảo trì thường xuyên. (Bạn có thể thấy các công ty, doanh nghiệp luôn có IT để thực hiện việc rà soát này)
Xem thêm:
- Hướng dẫn xử lý mã độc trên website WordPress bằng plugin
- Bảo mật web WordPress bằng Plugin Wordfence
Với hosting tại AZDIGI bạn có thể vào imunify 360 => Histing để xem các file nhiễm mã độc được phần mềm quét được.
Đối với máy chủ hosting sử dụng ứng dụng cPGuard bạn có thể truy cập vào cpguard => Virus Scanner => Scanner logs để xem lại log scan nhé.
Sau khi đã xác định được nguyên nhân bạn có thể xử lý website mình kịp thời để an toàn dữ liệu.
Nếu với 5 cách trên bạn đã thực hiện đầy đủ mà vẫn chưa giải quyết được lỗi Forbidden 403 bạn hãy gửi ticket về Phòng kỹ thuật để các bạn kỹ thuật kiểm tra hỗ trợ bạn nhé.
III. Tổng kết
Như vậy mình vừa hoàn tất bài Hướng dẫn xử lý lỗi 403 khi vào admin WordPress (Forbidden). Hy vọng bài viết trên sẽ có thể giúp bạn giải đáp thắc mắc cũng như xử lý lỗi này. Chúc bạn thực hiện thành công.
