WP Căn bản
Kiến thức căn bản cho người dùng WordPress
Kinh nghiệm, thủ thuật, plugins hữu ích giúp bạn nâng cao khả năng bảo mật WordPress, đảm bảo an toàn cho blog, website của mình.
SSL (HTTPS) ngày càng trở nên phổ biến sau khi Google công bố họ sẽ ưu tiên các website sử dụng giao thức HTTPS trên bảng xếp hạng kết quả tìm kiếm. Trong WordPress, các bạn có thể cài đặt SSL một cách dễ dàng với sự trợ giúp của các plugin như WordPress HTTPS (SSL) hay Really Simple SSL. Tuy nhiên, chúng chưa thực sự “hoàn hảo” dẫn đến vẫn còn tồn tại một số lỗi SSL. Cụ thể là nhiều thành phần vẫn chưa thực sự hoạt động trên giao thức HTTPS.
Dạo gần đây, phong trào chuyển từ HTTP sang HTTPS diễn ra rất rầm rộ. Khá nhiều bạn có liên hệ hỏi tôi về việc chuyển sang HTTPS có bị mất thứ hạng trên Google hay không và chuyển như thế nào thì không bị mất thứ hạng. Thực ra, việc chuyển từ HTTP sang HTTPS không làm giảm thứ hạng tìm kiếm của bạn mà thậm chí còn tăng nếu bạn làm đúng cách. Bởi vì Google đã công bố họ sẽ ưu tiên các blog/ website sử dụng giao thức HTTPS rồi mà.
Nếu bạn chưa biết thì WordPress hiện tại vẫn đang sử dụng jQuery v1.12.4 và jQuery Migrate v1.4.1. Đây có thể xem là 2 phiên bản jQuery khá cũ khi mà jQuery mới nhất đã lên tới v3.3.1. Những phiên bản jQuery này còn tồn tại nhiều lỗi bảo mật nghiêm trọng. Đó là lý do tại sao bạn chắc chắn sẽ bị cảnh báo khi kiểm tra website với Google Lighthouse. Cách duy nhất để khắc phục vấn đề này chính là nâng câp jQuery lên phiên bản mới nhất.
SSL ngày càng trở nên cần thiết với các website trong bối cảnh tin tặc ngày càng gia tăng các cuộc tấn công và Google công khai “nâng đỡ” những trang sử dụng giao thức HTTPS. Không chỉ ưu tiên những trang có cài đặt SSL trên bảng xếp hạng kết quả tìm kiếm, Google (mà cụ thể là trình duyệt Chrome) còn cảnh báo “không an toàn” đối với những website không sử dụng tiêu chuẩn bảo mật này. Đó là lý do tại sao bạn nên cài đặt SSL cho website của mình “ngay và luôn”.
Vừa qua, Google đã thông báo rằng trình duyệt Chrome sẽ bắt đầu cảnh báo các website không sử dụng giao thức HTTPS kể từ tháng 1 năm 2017. Trước tiên, cảnh báo “không an toàn” sẽ xuất hiện trên các trang cho phép người dùng nhập mật khẩu và gửi thông tin thẻ tín dụng nhưng vẫn sử dụng giao thức HTTP truyền thống. Sau đó, cảnh báo này sẽ được mở rộng ra chế độ “ẩn danh” của trình duyệt và cuối cùng là toàn bộ các website. Với động thái này, có vẻ Google đang muốn dần thay thế hoàn toàn giao thức HTTP bằng HTTPS.
Nếu bạn chưa biết thì SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL “độc hại” một cách bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác như xóa, chèn, cập nhật… trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy.
Bạn đã bao giờ tự đặt câu hỏi rằng blog/ website WordPress của mình đã được tối ưu về SEO, tốc độ load và bảo mật ở mức độ nào hay chưa? Liệu chúng có cần phải cải thiện, thay đổi gì không hay cứ giữ nguyên như trạng thái hiện tại là tốt nhất? Nếu bạn đang có cùng thắc mắc và cần một công cụ để đánh giá tổng quan về các khía cạnh khác nhau của blog/ website thì bài viết hôm nay là dành cho bạn.
Nếu bạn đang nghi ngờ blog/ website của mình bị chèn mã độc (malware) và muốn tìm một công cụ uy tín, hiệu quả để kiểm tra thì bài viết này là dành cho bạn. Ở đây, tôi đã tìm kiếm và chắt lọc ra 8 công cụ quét mã độc trực tuyến tốt nhất, đặc biệt là chúng đều hoàn toàn miễn phí. Ưu điểm của những công cụ này là bạn hoàn toàn không phải cài đặt thêm bất cứ thứ gì lên host hay máy tính. Bạn nên sử dụng kết hợp nhiều công cụ để nhanh chóng tìm ra những đoạn mã độc đang ẩn nấp và âm thầm tàn phá blog/ website của mình.
Những ngày vừa qua, cộng đồng người dùng WordPress tại Việt Nam nói riêng và trên thế giới nói chung đang rất hoang mang, lo lắng vì một lỗi bảo mật có tên gọi là “0 day” được công bố bởi trang exploitbox.io. Theo đó, hacker có thể lấy mật khẩu của quản trị viên blog/ website (Administrator) thông qua việc reset mật khẩu không cần cấp quyền vào email của chủ sỡ hữu. Liệu lỗi này có thực sự đáng sợ như giang hồ đang đồn đại? Làm thế nào để khắc phục nó? Bài viết hôm nay sẽ cho các bạn câu trả lời.
Bảo mật WordPress đang là một chủ đề nóng trong cộng đồng blogger/ webmaster hiện nay. Các cuộc tấn công BotNet xảy ra trên hàng loạt các blog/ website WordPress trong thời gian gần đây đã khiến người ta phải có một cái nhìn nghiêm túc hơn về vấn đề bảo mật. Làm thế nào để bảo vệ blog/ website của bạn an toàn trước các cuộc tấn công của tin tặc? Đó là một câu hỏi khiến nhiều blogger/ webmaster phải đau đầu để đi tìm câu trả lời.
Bình luận mới nhất