Dạo gần đây, số lượng các cuộc tấn công bằng mã độc vào các blog/ website sử dụng mã nguồn WordPress có xu hướng ngày càng gia tăng. Bằng chứng rõ ràng nhất là vào ngày hôm qua, nhiều bạn đã phải liên hệ gấp cho mình để nhờ hỗ trợ giải quyết việc website bị nhiễm mã độc (Google AdWords không cho chạy quảng cáo, nhận email cảnh báo từ phía nhà cung cấp hosting…). Điểm chung của các loại mã độc này là chui vào file themes, plugins hoặc vào thư mục uploads thông qua các file PHP.
Bảo mật WordPress
Kinh nghiệm, thủ thuật, plugins hữu ích giúp bạn nâng cao khả năng bảo mật WordPress, đảm bảo an toàn cho blog/ website của mình.
Chống SQL injection hiệu quả cho WordPress với file htaccess
Nếu bạn chưa biết thì SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL “độc hại” một cách bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác như xóa, chèn, cập nhật… trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy.
5 Lỗi bảo mật thường gặp trên WordPress và cách khắc phục
Bảo mật luôn là một vấn đề được quan tâm sát sao bởi các nhà phát triển WordPress. Tuy nhiên, có một thực tế là chính những thiết lập mặc định của WordPress lại là nguyên nhân khiến blog/ website của bạn dễ bị tấn công. Trong bài viết này, tôi sẽ hướng dẫn cho các bạn cách làm thế nào để khắc phục 5 mối đe dọa bảo mật có mặt trong tất cả các bộ cài mặc định của WordPress. Bạn nên nhanh chóng sửa chữa tất cả 5 lỗi bảo mật này để giảm thiểu nguy cơ bị hack.
Tổng hợp thủ thuật với file htaccess trong WordPress
Tập tin htaccess là một tập tin cấu hình, cho phép bạn kiểm soát các tập tin và thư mục trong host và tất cả các thư mục con của chúng. Tên của nó được viết tắt từ chữ hypertext access và được hỗ trợ bởi hầu hết các loại máy chủ web (nổi bật là Apache và LiteSpeed). Đối với nhiều người dùng WordPress, lần đầu tiên làm quen với tập tin htaccess là khi họ tùy chỉnh các thiết lập permalink của blog/ website.
Vô hiệu hóa XML-RPC để bảo mật WordPress tốt hơn
WordPress sử dụng XML-RPC để cho phép người dùng thực hiện nhiều hoạt động trên blog/ website của họ (từ xa). Nó cho phép bạn truy cập vào trang web của mình thông qua các ứng dụng di động dành riêng cho WordPress. Tuy nhiên, nhiều cuộc tấn công WordPress hiện nay đang khai thác các tính năng của XML-RPC để chiếm quyền truy cập vào các trang web. Vì vậy, việc vô hiệu hóa các tính năng của XML-RPC khi không dùng đến là một ý tưởng không hề tồi để tăng cường khả năng bảo mật cho WordPress.
Kiểm tra tổng thể về SEO, tốc độ load và bảo mật cho WordPress
Bạn đã bao giờ tự đặt câu hỏi rằng blog/ website WordPress của mình đã được tối ưu về SEO, tốc độ load và bảo mật ở mức độ nào hay chưa? Liệu chúng có cần phải cải thiện, thay đổi gì không hay cứ giữ nguyên như trạng thái hiện tại là tốt nhất? Nếu bạn đang có cùng thắc mắc và cần một công cụ để đánh giá tổng quan về các khía cạnh khác nhau của blog/ website thì bài viết hôm nay là dành cho bạn.
Những nguyên nhân có thể khiến website bị hack
Một ngày đẹp trời, bạn ghé thăm blog/ website của mình và bàng hoàng phát hiện ra nó đã bị hack. Có nhiều hậu quả khác nhau của vấn đề này: website bị thay đổi giao diện, bị chuyển hướng sang website khác, bị chiếm quyền quản trị, bị chèn backlink ẩn, quảng cáo và các đoạn script độc hại… Nguyên nhân đầu tiên mà bạn thường nghĩ đến trong những tình huống như vậy là gì? Do theme/ plugin “không sạch”, hay là do hosting bảo mật kém? Tất cả đều có thể.
Ra mắt ebook Bảo mật WordPress toàn tập, giá chỉ 250k
Sau mấy ngày vật vã, cuối cùng tôi cũng đã viết xong ebook đầu tiên mang tên “Bảo mật WordPress toàn tập” dài 29 trang (khoảng 8300 từ), bao gồm 36 lời khuyên và thủ thuật bảo mật dành cho blog/ website WordPress, từ cơ bản đến nâng cao. Đây là những kinh nghiệm mà tôi đã tích lũy được trong nhiều năm tìm tòi và tối ưu WordPress, được tổng hợp từ nhiều nguồn khác nhau. Một số lời khuyên và thủ thuật đã từng được tôi chia sẻ trên WP Căn bản.
Làm thế nào để phát hiện mã độc, backlink ẩn trong theme và plugin lậu?
Theme, plugin “lậu” (hay còn gọi là nulled theme, nulled plugin) là những sản phẩm thương mại (trả phí) nhưng được chia sẻ rộng rãi trên mạng internet dưới hình thức hoàn toàn miễn phí. Còn lý do tại sao người ta lại làm như vậy thì tôi đã từng chia sẻ cho các bạn trong một bài viết trước đây rồi. Nếu chưa đọc, bạn có thể tham khảo nó trong phần link tham khảo ngay bên dưới. Quay trở lại vấn đề chính, theme và plugin “lậu” thường tiềm ẩn nhiều nguy cơ về bảo mật: mã độc, mã chuyển hướng (redirect), backdoor, backlink ẩn.
Hướng dẫn cài SSL miễn phí trên dịch vụ WordPress Hosting
Thời gian gần đây, nhiều bạn than phiền với tôi về việc dịch vụ WordPress Hosting của WP Căn bản nói riêng và dịch vụ hosting của HawkHost nói chung có tốc độ load khá chậm. Đặc biệt là trong cPanel và phpMyAdmin, thậm chí nhiều lúc không thể load nổi. Nguyên nhân sâu xa của vấn đề này được bên HawkHost giải thích là do cPanel chạy các truy vấn đối với lược đồ thông tin (schema) trong phpMyAdmin.
Bình luận mới nhất