Bảo mật WordPress

Bạn đang muốn thay đổi username (tên đăng nhập) của mình trong website WordPress? Trong bài viết trước đây, tôi đã từng hướng dẫn cho các bạn một vài cách đơn giản để làm điều này ngay trong WordPress Dashboard (WordPress Admin) rồi phải không nào? Nếu chưa xem, bạn có thể theo dõi nó trong phần link tham khảo ở ngay bên dưới. Tuy nhiên, trong một số trường hợp, chúng ta không thể truy cập được vào WordPress Dashboard.

Một ngày đẹp trời, bạn ghé thăm website của mình và bàng hoàng phát hiện ra nó đã bị hack. Có nhiều hậu quả khác nhau của vấn đề này: website bị thay đổi giao diện, bị chuyển hướng sang website khác, bị chiếm quyền quản trị, bị chèn backlink ẩn, quảng cáo và các đoạn script độc hại… Nguyên nhân đầu tiên mà bạn thường nghĩ đến trong những tình huống như vậy là gì? Do theme hoặc plugin “không sạch”, hay là do hosting bảo mật kém? Tất cả đều có thể.

Dạo gần đây, số lượng các cuộc tấn công bằng mã độc vào các website sử dụng mã nguồn WordPress có xu hướng ngày càng gia tăng. Bằng chứng rõ ràng nhất là vào ngày hôm qua, nhiều bạn đã phải liên hệ gấp cho tôi để nhờ hỗ trợ giải quyết việc website bị nhiễm mã độc (Google AdWords không cho chạy quảng cáo, nhận email cảnh báo từ phía nhà cung cấp hosting…). Điểm chung của các loại mã độc này là chui vào file theme, plugin hoặc vào thư mục uploads thông qua các file PHP.

Theme, plugin “lậu” (hay còn gọi là nulled theme, nulled plugin) là những sản phẩm thương mại (trả phí) nhưng được chia sẻ rộng rãi trên mạng internet dưới hình thức hoàn toàn miễn phí. Còn lý do tại sao người ta lại làm như vậy thì tôi đã từng chia sẻ cho các bạn trong một bài viết trước đây rồi. Nếu chưa đọc, bạn có thể tham khảo nó trong phần link tham khảo ngay bên dưới. Quay trở lại vấn đề chính, theme và plugin “lậu” thường tiềm ẩn nhiều nguy cơ về bảo mật: mã độc, mã chuyển hướng (redirect), backdoor, backlink ẩn.