Làm thế nào để chặn IP truy cập website WordPress khi IP đó đang có ý đồ xấu như bình luận spam, cố gắng truy cập vào trang quản trị của bạn với mục đích hack hoặc tấn công DDOS? Bài viết hôm nay sẽ hướng dẫn bạn cách chặn IP bằng phương pháp thủ công.
Contents
1. Làm thế nào để biết IP nào đang có ý đồ xấu với site WordPress của bạn?
Có nhiều cách khác nhau để biết IP nào đang phá hoại site của bạn. Sau đây là 1 trong số những cách đó:
Cách 1: Tìm IP của những tên spam bình luận
Bạn hãy kiểm tra phần Comments. Bên dưới từng Comment sẽ có địa chỉ IP của người bình luận (xem hình).
Loại này nếu đơn giản chỉ xuất phát từ 1 số IP nhất định thì khá dễ đối phó. Bạn chỉ cần vào mục Settings > Discussion, sau đó vào Comment Backlist và điền địa chỉ IP của thằng spam vào là xong. Những IP này sẽ bị khóa không được comment vào site của bạn. Tuy nhiên nó vẫn được quyền truy cập site nhé.
Lưu ý: Ngoài khả năng chặn 1 IP comment vào site, phần này cũng cho phép bạn chặn những comment có chứa 1 số từ nhất định, chặn theo email, tên miền…Mỗi điều kiện lọc cách nhau bằng 1 dòng nhé.
Vấn đề rắc rối ở đây là spammer ngày càng tinh vi, chúng spam bình luận bằng công cụ sử dụng nhiều IP khác nhau. Vì thế nên cách này chắc chắn là không hiệu quả được bao nhiêu. Hãy tham khảo cuối bài viết này để biết cách chặn hiệu quả hơn nhé.
Cách 2: Kiểm tra Access Log trong cPanel
Nếu bạn đang sử dụng hosting cPanel, bạn có thể kiểm tra tất cả các IP truy cập vào site của bạn theo cách sau.
Đăng nhập vào cPanel. Kéo xuống phần METRICS, click vào mục Visitors. Sau đó chọn website bạn muốn xem thống kê.
Đây là công cụ của cPanel để thống kê khách truy cập vào website của bạn. Bảng thống kê sẽ cho bạn biết IP nào truy cập, thời gian, truy cập vào đường dẫn nào và bằng trình duyệt gì.
Thông thường, những kẻ tấn công sẽ thường cố gắng truy cập để chiếm quyền admin nên sẽ có 1 lượng traffic đáng ngờ vào các đường dẫn như: /wp-admin hoặc /wp-login. Bạn gõ mấy chữ này vào ô Search như hình dưới, nó sẽ liệt kê ra IP nào truy cập các trang này. Nếu các IP này không đến từ máy tính của bạn, hãy đưa nó vào danh sách đen ngay lập tức.
Lưu ý: Ngoài công cụ Visitor, bạn cũng có thể dùng Awstats (cũng nằm trong mục METRICS) để xem lưu lượng traffic cũng như IP nào truy cập nhiều vào site.
Cách 3: Sử dụng các công cụ thống kê truy cập
Nếu như WordPress của bạn không lưu trữ trên các hosting dùng cPanel, không có các công cụ thống kê traffic thì sao? Nhiệm vụ của bạn là phải cài đặt các plugin thống kê theo dõi lưu lượng truy cập website.
Bạn cài Slimstats – plugin này giúp thống kê lượng truy cập vào site gần như theo thời gian thực. Nó không chỉ cho biết IP nào truy cập, thời gian, truy cập vào đường dẫn nào và bằng trình duyệt gì mà còn thêm nhiều thông tin khác như nguồn từ trang nào tới, vị trí của khách truy cập, truy cập bằng điện thoại hay máy tính, thời lượng truy cập bao nhiêu, thời gian load site và cực nhiều thứ khác.
Sau khi cài và Active xong, bạn vào phần Admin Dashboard>> Slimstats>> Access Log. Các bạn sẽ thấy phần thống kê như hình dưới và dễ dàng xác định IP nào đang truy cập trang WordPress của bạn.
2. Cách chặn một IP không cho truy cập vào WordPress
Trong phần trên ta đã biết được cách tìm địa chỉ IP có ý đồ xấu với trang web của bạn. Phần này sẽ giúp bạn cách chặn IP đó. Bạn có thể sử dụng một trong các cách sau tùy tình huống.
Cách 1: Sử dụng công cụ IP Blocker có sẵn trong cPanel
Một điểm mạnh của cPanel là nó cung cấp sẵn khá nhiều tiện ích hỗ trợ cho việc quản trị website WordPress của bạn. IP Blocker là 1 trong số những công cụ đó. Đầu tiên bạn vào cPanel, kéo xuống mục SECURITY, chọn phần IP Blocker.
Copy và paste địa chỉ IP vào mục IP Adress or Domain và nhấn nút Add để hoàn tất việc chặn IP này không truy cập được vào trang WordPress của bạn.
Ngay lập tức IP bị chặn, khi truy cập vào site của bạn sẽ nhận được thông báo lỗi 403. Bạn có thể thử hiệu quả của cách này bằng cách vào trang https://www.myip.com/ lấy IP của bạn và tự chặn bạn xem thế nào nhé.
Lưu ý:
- Tất cả các IP bị chặn sẽ nằm ở phần “Currently-Blocked IP Addresses”. Muốn bỏ block IP nào thì chỉ cần nhấn nút Delete và xác nhận là xong.
- Nếu muốn chặn 1 dải IP ví dụ như 5 IP từ 192.168.0.1 đến 192.168.0.5. Thì bạn nhập vào phần IP Address dạng 192.168.0.1- 192.168.0.5.
- Hoặc có thể thay bằng wildcard như 192.*.*.*, nó sẽ block toàn bộ các IP mở đầu bằng 192.
Cách 2: Chặn IP truy cập WordPress bằng file .htaccess (không khuyến khích)
Nếu bạn không sử dụng cPanel bạn có thể sửa file .htaccess để chặn IP. Dùng File Manager hoặc các trình quản lý file FTP, hoặc Plugin hỗ trợ quản lý File ngay trên WordPress Dashboard để mở và edit fiel .htaccess. File này nằm trong thư mục public_html
Mở file này lên và thêm vào dòng sau:
<Limit GET POST> order allow,deny deny from 192.168.0.111 deny from 192.168.0.113 allow from all </Limit>
Trong đó, hãy thay IP 192.168.0.111 và 192.168.0.113 bằng IP bạn muốn chặn. Dòng code trên đang chặn 2 IP và cho phép tất cả các IP khác có thể truy cập website WordPress bình thường.
- Chặn nguyên một dải IP không cho truy cập vào WordPress
Để làm điều đó bạn thêm code sau
<Limit GET POST> order allow,deny deny from 192.0.0 allow from all </Limit>
Tất cả các khách có IP từ 192.0.0.0 to 192.0.0.255 sẽ bị block hết
- MỤC CHƠI NGU: Chặn hết tất cả các IP vào site bạn.
Nếu bạn muốn chặn hết, chỉ trừ mình bạn được vào hãy sử dụng dòng code sau nhét vào file .htaccess
<Limit GET POST> order allow,deny deny from all # Just Allow a Single IP allow from 192.168.0.111 </Limit>
Với 192.168.0.111 là địa chỉ IP của bạn
Lưu ý: Can thiệp vào file .htaccess chỉ khi bạn biết mình đang làm gì. Tốt nhất nên hạn chế sử dụng cách này. Dùng cách 1 hoặc plugin chuyên dụng (sẽ nói ở phần tiếp theo) sẽ tốt hơn.
Cách 3: Chặn IP truy cập vào website WordPress sử dụng Plugin
Đây là cách khá phù hợp với những bạn không sử dụng cPanel và không muốn can thiệp sâu vào file hệ thống như cách 1 và cách 2.
Có vài plugin hỗ trợ chặn khá tốt, mình muốn giới thiệu ở đây là plugin WP-Ban. Việc cài đặt và thiết lập rất đơn giản, cơ bản khá giống công cụ IP Blocker trong cPanel.
Một số chức năng của WP-Ban:
Block theo địa chỉ IP, block theo dải IP, block theo host name, block truy cập đến từ 1 website cụ thể, block nguyên dải IP trừ 1 vài cài nhất định…
Ngoài ra bạn có thể tùy chỉnh lại trang thông báo cho IP truy cập ở mục Banned Message. Đây là kết quả nhận được khi IP bị block truy cập vào site WordPress của bạn.
Lưu ý: Đừng thử ban chính IP của bạn nhé, vì sau đó bạn không truy cập được khu vực WordPress admin đâu.
3. Chặn IP nước ngoài truy cập website WordPress
Thông thường site của bạn chỉ phục vụ một lượng khách nhất đinh đến từ 1 quốc gia (ví dụ chỉ dành cho Việt Nam). Tuy nhiên có khá nhiều truy cập đáng ngờ đến từ các quốc gia khác (như Nga, Trung Quốc, Iran…). Vì thế bạn có thể muốn chặn hết các truy cập từ các quốc gia này vào website WordPress của bạn.
Có khá nhiều plugin có thể hỗ trợ việc này như IP Geo Block, IP2Location Country Blocker, iQ Block Country. Nhưng mình thấy cái IP2Location Country Blocker là tương đối dễ sử dụng. Plugin này ngoài chức năng cơ bản là chặn 1 hoặc 1 dải IP nhất định thì nó cũng giúp các bạn chặn truy cập website WordPress từ 1 số quốc gia dựa trên địa chỉ IP.
Sau khi cài đặt và Active, bạn nhớ nhấn nút Download để nó tải database từ trang IP2Location.
Vào cài đặt Country Blocker, ở phần Front End, bạn nhấn chọn Enable Frontend Blocking để cho phép chặn truy cập website.
Có 2 tùy chọn là:
- Block countries listed below: Chặn truy cập từ các nước theo danh sách.
- Block all countries except countries listed below: Chặn tất cả truy cập ngoại trừ các nước theo danh sách.
Bạn chọn các nước cần chặn hoặc không cần chặn tùy theo 2 tùy chọn ở trên. Mặc định IP bị chặn khi truy cập site WordPress sẽ nhận được thông báo lỗi 403. Bạn cũng có thể chọn 1 trang khác để hiển thị cũng được (trong mục “Show the following page when visitor is blocked”)
Để chặn 1 IP cố định bạn cho vào ô Blacklist the below IP addresses. Nhớ nhấn Save Change để thay đổi có hiệu lực nhé.
Lưu ý: Các plugin trên sử dụng dữ liệu từ các trang web chuyên chuyển đổi IP sang địa chỉ thực (ví dụ như IP2Location, nên có trường hợp sẽ sai sót. Vì thế không đảm bảo chặn hoàn toàn 100% truy cập từ 1 quốc gia đến website WordPress của bạn nhé. Còn phần chặn theo IP là đảm bảo chặn được.
Phần Backend là chặn các truy cập vào khu vực quản trị WordPress. Cách cấu hình cũng tương tự Front End. Các bạn tự tìm hiểu nhé.
Chúc bạn chặn IP truy cập website WordPress thành công!
Mọi người cũng tìm kiếm: cách chặn ip trang web, chặn ip, cách chặn ip, ip website, block ip là gì, wordpress block ip, địa chỉ ip 113 là ở đâu, 192.168.0.111.
