Dạo gần đây có khá nhiều bạn inbox, gửi email hỏi tôi về việc WP Căn bản đang sử dụng hosting của nhà cung cấp nào, chạy web server nào, dùng những plugin gì… tại sao lại có tốc độ load nhanh đến như vậy? Vì không có thời gian để trả lời cụ thể cho từng bạn nên hôm nay tôi quyết định viết bài này để “bật mí” cho các bạn về những công nghệ mà tôi đang sử dụng trên blog WP Căn bản. Nếu bạn đang có mối quan tâm tương tự, hãy dành một chút thời gian để lướt qua bài viết nhé.
Bảo mật WordPress
Kinh nghiệm, thủ thuật, plugins hữu ích giúp bạn nâng cao khả năng bảo mật WordPress, đảm bảo an toàn cho blog/ website của mình.
Vô hiệu hóa directory indexing trong hosting
Bạn đã bao giờ truy cập một thư mục bất kỳ trên website WordPress của mình, chẳng hạn như /wp-content/uploads/ và giật mình khi nhìn thấy toàn bộ các thư mục và tập tin bên trong đó đều hiển thị một cách đầy đủ chưa? Thực ra đây không phải là lỗi mà là một tính năng. Nó có tên là directory indexing. Hãy dành ít phút để cùng tìm hiểu về directory indexing và nguyên nhân tại sao bạn nên vô hiệu hóa nó càng sớm càng tốt nhé.
Bật tính năng bảo mật 2 bước cho website WordPress
Trong các bài viết trước đây, tôi đã từng hướng dẫn cho các bạn cách đổi link đăng nhập WordPress và giới hạn số lần đăng nhập thất bại để chống brute force attack rồi phải không nào? Tuy nhiên, sẽ thế nào nếu hacker đoán ra cả link lẫn mật khẩu đăng nhập của bạn? Chốt chặn cuối cùng có thể giúp bạn ngăn chặn họ truy cập vào WordPress Admin chính là bảo mật 2 bước hay còn được gọi là two factor authentication.
Đổi link đăng nhập WordPress giúp tăng cường bảo mật
WordPress có một tập tin đăng nhập mặc định gọi là wp-login.php. Thông qua đó, người dùng có thể truy cập vào bảng điều khiển và quản lý tất cả mọi thứ. Với số lượng ngày càng tăng của các cuộc tấn công brute force vào các trang web WordPress trong thời gian gần đây, người dùng thường được đề xuất việc thay đổi link đăng nhập mặc định. Theo đó, thay vì đăng nhập vào trang web của bạn bằng cách sử dụng đường dẫn /wp-login.php hoặc /wp-admin/, giờ đây bạn sẽ có một đường dẫn mới, ví dụ như /mylogin chẳng hạn.
Mua PositiveSSL giá siêu rẻ tại SSLs.com
Như các bạn đã biết thì Let’s Encrypt đã ngừng hỗ trợ trình duyệt web và hệ điều hành cũ kể từ ngày 1/10/2021. Điều này đồng nghĩa với việc các thiết bị sử dụng hệ điều hành quá cũ sẽ không thể truy cập được vào các website có cài đặt chứng chỉ bảo mật của Let’s Encrypt nữa. Website của bạn sẽ có khả năng mất đi một lượng khách truy cập nếu không chuyển sang sử dụng SSL trả phí hoặc CloudFlare Universal SSL. Trong trường hợp bạn chọn SSL trả phí thì PositiveSSL là phương án có hiệu quả kinh tế cao nhất.
Bảo mật WordPress hiệu quả bằng file .htaccess
Tôi thường sử dụng Defender Security để tăng cường khả năng bảo mật cho các website của khách hàng. Trong đó, tôi phát hiện ra một tính năng khá thú vị của plugin này đó là tạo file .htaccess cho các thư mục nhạy cảm của WordPress để ngăn chặn các tập tin .php (thường được hacker sử dụng) truy cập trái phép vào đây và ăn cắp dữ liệu. Tuy nhiên, các bạn cũng có thể tự tạo các file .htaccess này mà không cần sử dụng đến plugin Defender Security và bài viết này được sinh ra là nhằm mục đích hướng dẫn các bạn làm điều đó.
Cảnh báo tình trạng mã độc tấn công WordPress quy mô lớn
Dạo gần đây, số lượng các cuộc tấn công bằng mã độc vào các website sử dụng mã nguồn WordPress có xu hướng ngày càng gia tăng. Bằng chứng rõ ràng nhất là vào ngày hôm qua, nhiều bạn đã phải liên hệ gấp cho tôi để nhờ hỗ trợ giải quyết việc website bị nhiễm mã độc (Google AdWords không cho chạy quảng cáo, nhận email cảnh báo từ phía nhà cung cấp hosting…). Điểm chung của các loại mã độc này là chui vào file theme, plugin hoặc vào thư mục uploads thông qua các file PHP.
Ra mắt ebook Bảo mật WordPress toàn tập, giá chỉ 99k
Sau mấy ngày vật vã, cuối cùng tôi cũng đã viết xong ebook đầu tiên mang tên “Bảo mật WordPress toàn tập” dài 29 trang (khoảng 8300 từ), bao gồm 36 lời khuyên và thủ thuật bảo mật dành cho website WordPress, từ cơ bản đến nâng cao. Đây là những kinh nghiệm mà tôi đã tích lũy được trong nhiều năm tìm tòi và tối ưu WordPress, được tổng hợp từ nhiều nguồn khác nhau. Một số lời khuyên và thủ thuật đã từng được tôi chia sẻ trên WP Căn bản.
Cách phát hiện mã độc, backlink ẩn trong theme và plugin lậu
Theme, plugin “lậu” (hay còn gọi là nulled theme, nulled plugin) là những sản phẩm thương mại (trả phí) nhưng được chia sẻ rộng rãi trên mạng internet dưới hình thức hoàn toàn miễn phí. Còn lý do tại sao người ta lại làm như vậy thì tôi đã từng chia sẻ cho các bạn trong một bài viết trước đây rồi. Nếu chưa đọc, bạn có thể tham khảo nó trong phần link tham khảo ngay bên dưới. Quay trở lại vấn đề chính, theme và plugin “lậu” thường tiềm ẩn nhiều nguy cơ về bảo mật: mã độc, mã chuyển hướng (redirect), backdoor, backlink ẩn.
Bình luận mới nhất