Bảo mật WordPress

Kinh nghiệm, thủ thuật, plugins hữu ích giúp bạn nâng cao khả năng bảo mật WordPress, đảm bảo an toàn cho blog, website của mình.

Mua PositiveSSL giá siêu rẻ tại SSLs.com

Cập nhật: 27/11/2021 Trung Hiếu 0 Bình luận

Như các bạn đã biết thì Let’s Encrypt đã ngừng hỗ trợ trình duyệt web và hệ điều hành cũ kể từ ngày 1/10/2021. Điều này đồng nghĩa với việc các thiết bị sử dụng hệ điều hành quá cũ sẽ không thể truy cập được vào các website có cài đặt chứng chỉ bảo mật của Let’s Encrypt nữa. Website của bạn sẽ có khả năng mất đi một lượng khách truy cập nếu không chuyển sang sử dụng SSL trả phí hoặc CloudFlare Universal SSL. Trong trường hợp bạn chọn SSL trả phí thì PositiveSSL là phương án có hiệu quả kinh tế cao nhất.

Cảnh báo tình trạng mã độc tấn công WordPress quy mô lớn

Cập nhật: 12/11/2021 Trung Hiếu 36 Bình luận

Dạo gần đây, số lượng các cuộc tấn công bằng mã độc vào các website sử dụng mã nguồn WordPress có xu hướng ngày càng gia tăng. Bằng chứng rõ ràng nhất là vào ngày hôm qua, nhiều bạn đã phải liên hệ gấp cho tôi để nhờ hỗ trợ giải quyết việc website bị nhiễm mã độc (Google AdWords không cho chạy quảng cáo, nhận email cảnh báo từ phía nhà cung cấp hosting…). Điểm chung của các loại mã độc này là chui vào file theme, plugin hoặc vào thư mục uploads thông qua các file PHP.

Cách phát hiện mã độc, backlink ẩn trong theme và plugin lậu

Cập nhật: 12/11/2021 Trung Hiếu 28 Bình luận

phat-hien-ma-doc-backlink-an-trong-theme-lau

Theme, plugin “lậu” (hay còn gọi là nulled theme, nulled plugin) là những sản phẩm thương mại (trả phí) nhưng được chia sẻ rộng rãi trên mạng internet dưới hình thức hoàn toàn miễn phí. Còn lý do tại sao người ta lại làm như vậy thì tôi đã từng chia sẻ cho các bạn trong một bài viết trước đây rồi. Nếu chưa đọc, bạn có thể tham khảo nó trong phần link tham khảo ngay bên dưới. Quay trở lại vấn đề chính, theme và plugin “lậu” thường tiềm ẩn nhiều nguy cơ về bảo mật: mã độc, mã chuyển hướng (redirect), backdoor, backlink ẩn.

Let’s Encrypt ngừng hỗ trợ trình duyệt web và hệ điều hành cũ

Cập nhật: 04/10/2021 Trung Hiếu 24 Bình luận

Ngày 30/9/2021, chứng chỉ IdentTrust DST Root CA X3 đã chính thức hết hạn. Tổ chức phi lợi nhuận Let’s Encrypt là đơn vị phát hành IdentTrust DST Root CA X3. Tuy nhiên, họ đã ngừng cung cấp chứng chỉ này kể từ ngày 01/10/2021, thay vào đó chỉ còn hỗ trợ ISRG Root X1. Việc này sẽ khiến cho hàng triệu máy tính, điện thoại và thiết bị có kết nối internet khác không thể truy cập được vào các website đang cài SSL miễn phí của Let’s Encrypt từ ngày 1/10 nếu chúng còn sử dụng phần mềm hoặc hệ điều hành cũ.

Hướng dẫn chống DDoS cho website bằng CloudFlare

Cập nhật: 12/09/2021 Trung Hiếu 8 Bình luận

Nếu bạn đang tìm kiếm một giải pháp để chống DDoS (Distributed Denial of Service hay tấn công từ chối dịch vụ) cho website thì bài viết này là dành cho bạn. Chỉ với một vài thao tác đơn giản, bạn đã có thể giúp website của mình thoát khỏi tình trạng quá tải (truy cập chậm hoặc không thể truy cập được). Đặc biệt hơn, nó hoàn toàn miễn phí và bất cứ website nào cũng có thể cài đặt được, miễn là tên miền của bạn có hỗ trợ thay đổi Name Server (NS).

Chống Brute Force Attack hiệu quả cho website WordPress

Cập nhật: 07/08/2021 Trung Hiếu 14 Bình luận

chong-brute-force-attacks-hieu-qua-cho-wordpress

Brute Force Attacks (BFA) là một trong những phương thức tấn công phổ biến nhất hiện nay, không chỉ với WordPress mà còn rất nhiều mã nguồn khác. Nguyên tắc hoạt động của BFA chính là thử tất cả các chuỗi mật khẩu bất kỳ để tìm ra mật khẩu chính xác. Dựa vào nguyên tắc này, bạn có thể ngăn chặn BFA một cách đơn giản thông qua việc giới hạn số lần đăng nhập thất bại. Trong WordPress, có một plugin rất nổi tiếng thường được đính kèm trong các dich vụ cài đặt tự động chính là Limit Login Attempts.

Tạo tài khoản đăng nhập tạm thời trong WordPress

Cập nhật: 05/05/2021 Trung Hiếu 5 Bình luận

Nếu bạn đang muốn chia sẻ quyền đăng nhập WordPress Admin cho một ai đó nhưng lại sợ lộ thông tin đăng nhập thì bài viết này là dành cho bạn. Với sự trợ giúp của một plugin có tên là Temporary Login Without Password, bạn có thể nhanh chóng tạo ra một (hoặc nhiều) tài khoản đăng nhập tạm thời và hoàn toàn không cần mật khẩu. Người dùng chỉ cần click vào link mà bạn cung cấp là đã có thể đăng nhập vào WordPress Admin với đầy đủ quyền theo vai trò mà họ được chỉ định.

Cài HTTPS cho WordPress nhanh chóng với Really Simple SSL

Cập nhật: 28/02/2021 Trung Hiếu 210 Bình luận

Nếu bạn đã cài đặt thành công SSL lên hosting nhưng đang bối rối không biết làm thế nào để website của mình hoạt động với giao thức HTTPS một cách hoàn hảo thì bài viết này là dành cho bạn. Trong những lần trước đây, tôi đã từng hướng dẫn cho các bạn cách thay thế toàn bộ link HTTP thành HTTPS và redirect tự động từ HTTP sang HTTPS bằng file .htaccess rồi phải không nào? Tuy nhiên, cách làm thủ công này có nhược điểm là dễ làm mất các thiết lập theme, plugin cũng như widget.

Imunify360 trên dịch vụ WordPress Hosting của WP Căn bản

Cập nhật: 17/10/2020 Trung Hiếu 14 Bình luận

Imunify360 đã được triển khai trên tất cả các gói hosting thuộc dịch vụ WordPress Hosting (server Singapore) do WP Căn bản cung cấp. Nếu các bạn chưa biết thì Imunify360 là phần mềm mới nhất được sáng tạo bởi CloudLinux nhằm tăng cường bảo mật đáng kể cho các máy chủ web chạy hệ điều hành Linux. Nó mang lại nhiều công cụ hữu ích cho quản trị viên hệ thống, đồng thời cũng có những cải tiến đáng kể đối với khả năng bảo mật dữ liệu của tất cả các tài khoản hosting.

Hướng dẫn kích hoạt Proactive Defense trong Imunify360

Cập nhật: 17/10/2020 Trung Hiếu 4 Bình luận

kich-hoat-proactive-defense-trong-imunify360

Trong bài viết trước, tôi đã từng giới thiệu với các bạn về Imunify360 và những tính năng của nó rồi phải không nào? Nếu vẫn chưa kịp đọc, bạn có thể xem trong phần link tham khảo ở ngay bên dưới. Thời gian gần đây, Imunify360 đã được bổ sung thêm một tính năng mới có tên là Proactive Defense. Với tính năng này, hosting và website của bạn sẽ được bảo vệ tối ưu hơn bao giờ hết. Vậy thì Proactive Defense là gì? Làm thế nào để kích hoạt Proactive Defense cho hosting?