Trong bài viết cách đây khá lâu, tôi đã từng hướng dẫn các bạn chống DDoS cho website một cách đơn giản với CloudFlare rồi phải không nào? Tuy nhiên, những tính năng như Under Attack Mode hay Bots Fight Mode không thể duy trì thường xuyên trên website vì chúng sẽ gây ảnh hưởng đến tốc độ load web, SEO, cũng như trải nghiệm của người dùng. Vậy làm thế nào để biết website của bạn đang bị tấn công DDoS nhằm nhanh chóng kích hoạt những tính năng kể trên?
Bảo mật WordPress
Kinh nghiệm, thủ thuật, plugins hữu ích giúp bạn nâng cao khả năng bảo mật WordPress, đảm bảo an toàn cho blog, website của mình.
Tích hợp CloudFlare Turnstile vào website WordPress
Gần đây, CloudFlare vừa mới giới thiệu một dịch vụ mới có tên là Turnstile. Nó được kỳ vọng là một sự thay thế tuyệt vời cho Google reCAPTCHA bởi một số ưu điểm như: hoàn toàn miễn phí, tốc độ nhanh, thân thiện với người dùng (bảo mật quyền riêng tư, yêu cầu tương tác ở mức thấp nhất)… Giống như reCAPTCHA, Turnsile cũng có chức năng chính là xác minh người dùng để chống spam và brute force attack. Nếu bạn đã quá chán với những trải nghiệm mà reCAPTCHA mang lại thì đây là lúc để thử Turnstile.
4 Lớp bảo vệ website WordPress mà bạn nên có
Để bảo vệ website WordPress của bạn an toàn trước 99% các mối đe dọa về bảo mật, trên thực tế không quá khó. Trong suốt 10 năm làm việc trong lĩnh vực WordPress và hosting, từng xử lý mã độc, chống hack, chống DDoS… cho hàng nghìn website, tôi đã đúc rút được ra được một số kinh nghiệm khá hữu ích mà bất cứ ai cũng có thể áp dụng được. Theo đó, mỗi website nói chung và mỗi website WordPress nói riêng nên có 4 lớp bảo vệ. 4 Lớp bảo vệ đó là gì? Hãy dành ít phút để cùng WP Căn bản tìm hiểu ngay sau đây.
Sử dụng WordPress security key và salt để bảo mật website
Nếu bạn đã từng một lần mở file wp-config.php của website WordPress ra thì chắc hẳn cũng đã từng nhìn thấy phần “Authentication unique keys and salts” với chi chít những ký tự mã hóa khó hiểu rồi phải không nào? Chúng được gọi là WordPress security key và salt. Vậy thì WordPress security key và salt là gì? Chúng có tác dụng ra sao? Làm thế nào để sử dụng WordPress security key và salt nhằm bảo mật cho website của bạn? Câu trả lời sẽ có trong bài viết hôm nay.
Chặn bots xấu truy cập vào website WordPress
Bên cạnh những bots tốt (good bots) chẳng hạn như Google Bots, Facebook Bots, Bing Bots… có tác dụng thu thập dữ liệu từ website của bạn để hiển thị lên các kết quả tìm kiếm thì cũng có rất nhiều bots xấu (bad bots) chẳng mang lại bất cứ lợi ích gì ngoài việc tiêu tốn tài nguyên của host. Một số bots xấu có thể kể đến là AhrefsBot, SEMrushBot, MJ12Bot (Majestic), DotBot (MOZ)… do các công cụ SEO phát triển. Nếu bạn không sử dụng các công cụ SEO này thì tốt nhất là chặn chúng đi cho khỏe.
Quét mã độc website bằng cPGuard trên cPanel
Gần đây, dịch vụ WordPress Hosting (server WPH06 – Singapore) của chúng tôi đã được tích hợp ứng dụng bảo mật cPGuard thay cho ImunifyAV/ Imunify360 với rất nhiều tính năng cực kỳ hữu ích. Với sự thay đổi này, khả năng bảo vệ cho website của bạn sẽ được nâng lên một tầm cao mới. cPGuard có những tính năng gì và cách sử dụng nó ra sao? Hãy cùng WP Căn bản dành ít phút để cùng tìm hiểu ngay sau đây. Vì biết đâu, mã nguồn website WordPress của bạn không hề “sạch” như bạn vẫn nghĩ.
Vô hiệu hóa directory indexing trong hosting
Bạn đã bao giờ truy cập một thư mục bất kỳ trên website WordPress của mình, chẳng hạn như /wp-content/uploads/ và giật mình khi nhìn thấy toàn bộ các thư mục và tập tin bên trong đó đều hiển thị một cách đầy đủ chưa? Thực ra đây không phải là lỗi mà là một tính năng. Nó có tên là directory indexing. Hãy dành ít phút để cùng tìm hiểu về directory indexing và nguyên nhân tại sao bạn nên vô hiệu hóa nó càng sớm càng tốt nhé.
Bật tính năng bảo mật 2 bước cho website WordPress
Trong các bài viết trước đây, tôi đã từng hướng dẫn cho các bạn cách đổi link đăng nhập WordPress và giới hạn số lần đăng nhập thất bại để chống brute force attack rồi phải không nào? Tuy nhiên, sẽ thế nào nếu hacker đoán ra cả link lẫn mật khẩu đăng nhập của bạn? Chốt chặn cuối cùng có thể giúp bạn ngăn chặn họ truy cập vào WordPress Admin chính là bảo mật 2 bước hay còn được gọi là two factor authentication.
Mua PositiveSSL giá siêu rẻ tại SSLs.com
Như các bạn đã biết thì Let’s Encrypt đã ngừng hỗ trợ trình duyệt web và hệ điều hành cũ kể từ ngày 1/10/2021. Điều này đồng nghĩa với việc các thiết bị sử dụng hệ điều hành quá cũ sẽ không thể truy cập được vào các website có cài đặt chứng chỉ bảo mật của Let’s Encrypt nữa. Website của bạn sẽ có khả năng mất đi một lượng khách truy cập nếu không chuyển sang sử dụng SSL trả phí hoặc CloudFlare Universal SSL. Trong trường hợp bạn chọn SSL trả phí thì PositiveSSL là phương án có hiệu quả kinh tế cao nhất.
Let’s Encrypt ngừng hỗ trợ trình duyệt web và hệ điều hành cũ
Ngày 30/9/2021, chứng chỉ IdentTrust DST Root CA X3 đã chính thức hết hạn. Tổ chức phi lợi nhuận Let’s Encrypt là đơn vị phát hành IdentTrust DST Root CA X3. Tuy nhiên, họ đã ngừng cung cấp chứng chỉ này kể từ ngày 01/10/2021, thay vào đó chỉ còn hỗ trợ ISRG Root X1. Việc này sẽ khiến cho hàng triệu máy tính, điện thoại và thiết bị có kết nối internet khác không thể truy cập được vào các website đang cài SSL miễn phí của Let’s Encrypt từ ngày 1/10 nếu chúng còn sử dụng phần mềm hoặc hệ điều hành cũ.
Bình luận mới nhất