Local Attack là một phương pháp rất phổ biến dùng để tấn công 1 website nào đó trên cùng 1 server. Công cụ của việc tấn công này là dùng các đoạn mã khai thác được viết bằng 1 số ngôn ngữ lập trình như: PHP, ASP.Net, Python…

Các đoạn mã đó được gọi là Shell. Khi một hosting trên server bị upload lên đoạn file shell này, người tấn công có thể dùng các câu lệnh khai thác để thâm nhập qua các tài khoản hosting cùng server để đọc các thông tin nhạy cảm như: Email, thông tin Database (username,password..) một cách dễ dàng. Từ đó người tấn công có thể làm mọi điều họ muốn.

Làm thế nào để hạn chế Local Attack trong WordPress?

Chúng ta sẽ cùng tìm hiểu 10 cách hạn chế Local Attack trong WordPress nhé.

1. Giấu file wp-config.php

Thông thường các tập tin của website sẽ đều nằm trong thư mục public_html và thường path sẽ là /home/username/public_html/wp-config.php.

Do đó, cách giấu file config tốt nhất là bạn nên đưa file wp-config.php ra khỏi thư mục public_html, bạn có thể đăng nhập vào host thông qua FTP và tạo thêm một thư mục tên bất kỳ nằm ngang hàng với public_html. (ở đây mình sẽ tạo thư mục có tên là leti)

Sau đó tải file wp-config.php trong thư mục public_html và upload nó vào thư mục mới tạo. Cuối cùng là sửa file wp-config.php trong thư mục public_html thành như sau, xem liên kết ở dưới:

<php
 if ( !defined('ABSPATH') )
 define('ABSPATH', dirname(__FILE__) . '/');
 require_once(ABSPATH . '../leti/wp-config.php');

Bạn thay chữ leti thành tên thư mục của bạn mà bạn đã tạo nó ngang hàng với public_html.

Lưu ý: Cách này chỉ áp dụng cho các website có file cài đặt ngay trong thư mục public_html chứ không hỗ trợ một lớp thư mục khác. Bạn có thể áp dụng với thư mục www nếu có.

2. Thay đổi database prefix

Database prefix (tiền tố CSDL) mặc định của WordPress sẽ là wp_, điều này vô tình làm cho các hacker biết rõ tên của từng table của website bạn nếu bạn không đổi tiền tố này đi.

3. Đổi security key

Truy cập vào file wp-config.php tìm

 define('AUTH_KEY', 'put your unique phrase here');
 define('SECURE_AUTH_KEY', 'put your unique phrase here');
 define('LOGGED_IN_KEY', 'put your unique phrase here');
 define('NONCE_KEY', 'put your unique phrase here');
 define('AUTH_SALT', 'put your unique phrase here');
 define('SECURE_AUTH_SALT', 'put your unique phrase here');
 define('LOGGED_IN_SALT', 'put your unique phrase here');
 define('NONCE_SALT', 'put your unique phrase here');

– Vào trang: https://api.wordpress.org/secret-key/1.1/salt/ để lấy secret-key

– Thay toàn bộ đoạn code trên bằng đoạn code được cung cấp

4. Cấm sửa file (plugins, theme) trong wp-admin

Thêm vào dưới cùng của file wp-config.php đoạn mã sau

define( 'DISALLOW_FILE_EDIT', true );

5. Cấm cài đặt plugins, theme trong wp-admin

Thêm vào dưới cùng của file wp-config.php đoạn mã sau

define('DISALLOW_FILE_MODS',true);

6. Chmod file wp-config.php

Chmod thành 400 hoặc 404

7. Bảo mật wp-config.php với .htaccess

add đoạn code sau vào cuối file .htaccess

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

8. Bảo vệ thư mục wp-content

Tạo file .htaccess và add đoạn code sau vào

 Order deny,allow
 Deny from all
 <Files ~ ".(xml|css|jpe?g|png|gif|js|ttf|woff)$">
 Allow from all
 </Files>
 

Lưu ý: nếu trong thư mục wp-content có chưa các file khác liên quan đến mã nguồn wordpress thì bạn cần thêm phần mở rộng (phần đuôi ví dụ woff) vào danh sách trên

9. Khóa đường dẫn wp-admin

Thư mục wp-admin và file wp-login.php luôn là điểm tấn công nếu một ai đó muốn truy cập vào website của bạn. Do đó, tốt hơn hết là chặn hết tất cả lượt truy cập vào hai khu vực này, trừ bạn ra.

Tạo một file .htaccess trong thư mục wp-admin và chèn đoạn sau vào.

<FilesMatch ".*">
 Order Deny,Allow
 Deny from all
 Allow from 123.456.789
</FilesMatch>

Trong đó 123.456.789 chính là IP của bạn, bạn có thể truy cập vào trang https://ip.codevn.net để lấy IP của bạn

10. Sử dụng các plugin quét mã độc

Bước này có thể may mắn cho bạn biết trên host của bạn đang chứa các file nào để mà bạn có thể xóa nó đi hoặc tải về….ngâm cứu. Dưới đây là các plugin tốt nhất để bạn quét mã độc trên host hoàn toàn miễn phí mà bạn có thể dùng:

• Wordfence Scan
• Anti-Malware (Get Off Malicious Scripts)
• 6Scan Security

và nếu bạn có tiền, mình khuyến khích các bạn nên sử dụng Sucuri Premium

Trên đây là 10 cách bảo mật hạn chế Local Attack trong WordPress.

Chúc các bạn thành công.

Nguồn: expertvn.com

The post Làm thế nào để hạn chế Local Attack trong WordPress? appeared first on Sửa Máy Nhanh.

Như tiêu đề thì hôm nay mình sẽ hướng dẫn các bạn cách chèn quảng cáo vào giữa bài viết (hoặc đầu bài, cuối bài) trong wordpress sử dụng plugin Insert Post Ads

Đầu tiên bạn cần cài plugin Insert Post Ads tại đây

Sau đó kích hoạt plugin và đến phần Settings của plugin Insert Post Ads và đánh dấu check vào Posts, Pages sau đó click Save Settings

Tiếp đến, để thêm quảng cáo vào đầu, giữa hoặc cuối bài viết bạn chọn Add New và điền đầy đủ các thông tin:

• Tên quảng cáo
• Mã (code) hiển thị quảng cáo
• Vị trí quảng cáo

Ở phần vị trí quảng cáo sẽ có 3 phần:

• Before Content: đầu bài viết
• After Paragraph Number: giữa bài viết
• After Content: cuối bài viết

Khi bạn chọn After Paragraph Number (giữa bài viết) bạn cần điền số dòng (sau bao nhiêu dòng sẽ hiển thị quảng cáo, như ví dụ mình điền 15 tức là sau 15 dòng sẽ hiển thị quảng cáo)

Sau khi điền đầy đủ các thông tin, bạn cần click Publish ở bên góc phải để lưu lại quảng cáo vừa tạo.

Chúc các bạn thành công.

Nguồn: expertvn.com

The post Hướng dẫn chèn quảng cáo vào giữa bài viết wordpress sử dụng plugin Insert Post Ads appeared first on Sửa Máy Nhanh.

Hôm nay mình sẽ hướng dẫn các bạn cấu hình Contact Form 7 trên WordPress để gửi email cũng như tạo form đăng ký các dịch vụ.

Việc đầu tiên bạn cần làm là cài đặt plugin Contact Form 7 và kích hoạt plugin. (phần Contact Form 7 mình sẽ không đề cập đến, chủ yếu là cấu hình SMTP để gửi email thôi nhé ? )

Sau đó bạn cần cài thêm plugin WP SMTP hỗ trợ hỗ trợ gửi thư (mình thường dùng SMTP của Gmail )

Trong Setting chọn WP SMTP

Nhập các thông tin theo yêu cầu.

Trường hợp dùng Gmail bạn cấu hình như sau:

From: Địa chỉ gmail của bạn
From Name: Tên website của bạn
SMTP Host: smtp.gmail.com
SMTP Secure: TLS
SMTP Port: 587
SMTP Authentication: Yes
Username: Địa chỉ gmail của bạn
Password: Mật khẩu gmail của bạn

Sau khi điền tất cả các thông tin chọn Save Changes để hoàn thành việc cài đặt.

Kiểm tra kết quả cài đặt 

Để kiểm tra xem kết quả cài đặt đã thành công hay chưa ta có thể test send thử 1 email.

Kết quả thành công như vậy là hoàn thành việc cài đặt Contact form 7 để tạo các form liên hệ hoặc đơn hàng !

Message sent!

Trường hợp nếu không thành công sẽ hiển thị lỗi như bên dưới:

Some errors occurred!

Lúc này, bạn thực hiện các bước dưới đây để kiểm tra và xử lý lỗi :

• Kiểm tra lại mật khẩu của địa chỉ gmail của bạn
• Kiểm tra xem kết nối trên tài khoản Gmail đã mở hay chưa?

Vậy kiểm tra kết nối trên tài khoản Gmail đã mở hay chưa như thế nào? Mình sẽ hướng dẫn luôn:

Đầu tiên, các bạn đăng nhập vào tài khoản Gmail, sau đó truy cập vào link sau: https://myaccount.google.com/security?utm_source=OGB&pli=1#signin

Kéo xuống gần dưới cùng và kiểm tra Cho phép ứng dụng kém an toàn đang Bật hay là Tắt. Nếu là Tắt ta chuyển chế độ Tắt thành Bật

Tiếp tục đăng nhập trang https://accounts.google.com/DisplayUnlockCaptcha  Chọn Tiếp tục (Tiếng anh là Continue) để xác nhận cài đặt.

Lúc này xem như đã xong, các bạn có thể test gửi nhận email bằng Contact Form 7 trên website bình thường.

Chúc các bạn thành công.

Theo: expertvn.com

The post Hướng dẫn cấu hình SMTP cho Contact Form 7 trên WordPress appeared first on Sửa Máy Nhanh.

Một số nhà cung cấp hosting, server mình từng giới thiệu trên Chia Sẻ Coupon cũng tham gia vào dự án này như: Vultr, OVH, Gandi, SiteGround… Thông tin chi tiết các bạn có thể xem tại đây.

Chỉ vài dòng cơ bản như vậy thôi các bạn đã thấy dự án này lớn như thế nào rồi chứ ? Với việc ra mắt Let’s Encrypt, chúng ta sẽ không phải tốn tiền hàng năm để sử dụng chứng chỉ SSL nữa.

Hawk Host là một trong số các nhà cung cấp hosting tiên phong trong việc tích hợp Let’s Encrypt vào trong hệ thống quản lý cPanel, giúp cho việc cài đặt và gia hạn chứng chỉ SSL từ Let’s Encrypt cực kỳ đơn giản. Thêm một lí do nữa để bạn nên mua hosting của Hawk Host rồi đó.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước để cài đặt chứng chỉ SSL cho tên miền sử dụng gói hosting bất kỳ ở Hawk Host.

Cài đặt chứng chỉ SSL từ Let’s Encrypt

Hawk Host sẽ tự động gia hạn chứng chỉ này cho bạn. Tất cả những gì bạn cần làm chỉ là thực hiện thao tác cài đặt duy nhất một lần mà thôi.

1. Đầu tiên các bạn login vào cPanel, tìm đến section SECURITY và click vào Let’s Encrypt SSL

2. Trong danh sách domain bên dưới, click vào link Issue tương ứng với tên miền bạn muốn cài đặt SSL. Ví dụ của mình là canhme.com

3. Click chọn tên miền ở cả 2 dạng non-www và www. Ví dụ ở đây là canhme.com vàwww.canhme.com. Nhấn nút Issue để tiến hành cài đặt.

Lưu ý tên miền phải trỏ về hosting của Hawk Host rồi mới thao tác được nhé.

4. Nếu không có vấn đề gì, bạn sẽ thấy thông báo màu xanh như bên dưới:

Quay trở lại trang Let’s Encrypt SSL ở bước đầu tiên bạn sẽ thấy domain đã được cài đặt chứng chỉ SSL free thành công. Có thể click View để xem thông tin chi tiết.

5. Vậy là xong rồi, tận hưởng thành quả thôi.

Chúc các bạn thành công!

Lưu ý: Nếu đang dùng WordPress bạn cần cập nhật lại đường dẫn trong table wp_options bằng phpMyAdmin.

Nguồn: expertvn.com

The post Cài đặt chứng chỉ SSL miễn phí từ Let’s Encrypt rất đơn giản với HawkHost appeared first on Sửa Máy Nhanh.

Vậy làm sao điều chỉnh upload_max_filesize trên Stablehost để upload file lớn hơn 2MB? Sau đây mình sẽ hướng dẫn cho các bạn. (Đối với các hosting Cpanel khác có chức năng Select PHP Version thì các bạn làm y chang nhé )

Đầu tiên, bạn truy cập vào host và chọn phần Select PHP Version, lúc này sẽ hiển thị như hình sau

Tại đây, bạn chọn Switch To PHP Options ở góc phải phía trên sẽ hiện ra như sau, lúc này bạn click vào 2M

Chọn upload_max_filesize theo ý của bạn, nhớ làm theo thứ tự 1, 2, 3 để lưu lại nhé

Chúc các bạn thành công.

Nguồn: expertvn.com

The post Thay đổi upload_max_filesize trên hosting Stablehost appeared first on Sửa Máy Nhanh.

Công ty đứng sau WordPress đã cập nhật một ứng dụng mới giúp quản lý trang blog dễ dàng hơn trên máy tính, hiện tại ứng dụng này chỉ hỗ trợ cho người dùng Mac, chưa có thông tin cập nhật phiên bản Windows.

Ứng dụng này cung cấp miễn phí một số tiện ích giúp bạn quản lý, chỉnh sửa và xuất bản nội dung trang web WordPress của mình. Bạn cũng có thể theo dõi một số thông số, thống kê của web mà không cần truy cập trang quản lý Admin trước đây. Hiện tại ứng dụng hỗ trợ người dùng trên wordpress.com và cả người dùng sử dụng nền tảng này trên máy chủ cá nhân không thuộc hệ thống wordpress.com.

Hiện tại người dùng Mac OS X 10.8 trở lên có thể tải về miễn phí ứng dụng tại trang chủ www.wordpress.com, mã nguồn ứng dụng được chia sẻ miễn phí trên GitHub.

Nguồn: expertvn.com

The post WordPress ra mắt phiên bản quản lí trên Mac,chưa có thông tin cho Windows appeared first on Sửa Máy Nhanh.

Mô hình

Khi chưa có load balancer thì có dạng như thế này:

sau khi thực hiện load balancer cho wordpress thì nó sẽ có dạng như sau:

Haproxy là gì

HAProxy là từ viết tắt của High Availability Proxy, nó là phần mềm cân bằng tải TCP/HTTP tức nó hỗ trợ ở tầng layer 4 và tầng layer 7, nếu bạn nào muốn hiểu về Networking Terminology thì xem tại đây. Nó thường được dùng để cải thiện hiệu suất và sự tin cậy trong môi trường máy chủ bằng cách phần tán lưu luợng trên nhiều máy chủ như web, app, database

Hiện tại có khá là nhiều công ty lớn trên thế giới dùng nó như Github, Imgur, Instagram, Airbnb, Twitter, Reddit, các bạn có thể xem thêm tại đây trong bài viết này chúng tôi chỉ hướng dẫn các bạn cách cấu hình cho nó hoạt động với WordPress, nếu muốn tìm hiểu rõ về các thuật toán cân bằng tải cũng như công nghệ tạo nên sự khác biệt của HAProxy thì bạn có thể tham khảo trên tang chủ của nó

Trước khi bắt đầu chúng ta cần có những thành phần sau đây:

• Một con VPS chạy MySQL
• Hai con VPS chạy Nginx và PHP-FPM
• Một con VPS làm Loadbalance

Toàn bộ huớng dẫn này tôi sẽ thao tác trên hệ điều hành Centos7 và được thực thi qua script ansible, tất nhiên bạn cũng có thể áp dụng cho bất cứ phiên bản hệ điều hành Gnu/Linux nào tùy sở thích của bạn. Nếu bạn không có điều kiện sở hữu VPS thì có thể tạo nó thông qua máy ảo. Toàn bộ mã nguồn hướng dẫn của demo này bạn có thể tải nó trên github chú ý rằng bên duới đây có thể chúng tôi sẽ không huớng dẫn chi tiết cài đặt từng cái mà chỉ nói hướng đi cụ thể cho các bạn hiểu.

Cài đặt MySQL/MariaDB

Tùy hệ điều hành và nhà cung cấp VPS mà bạn chọn cách cái đặt, để cho nhanh gọn thì tôi sẽ chọn MySQL trên AWS bạn có thể tham khảo giá thêm tại Amazon RDS for MySQL còn nếu bạn muốn cài đặt từ đầu thì có thể xem bài viết Xây Dựng Hosting WordPress phần 2. Tôi giả sử bạn đã cài dặt thành công thì bước kế tiếp chúng ta cần tạo một cơ sở dữ liệu(database) với tên gọi là demo_loadbanlancer_wp_gsviec, vì wordpress cần điều đó.

tất nhiên chúng tôi có cung cấp script làm tự động mọi thứ cho bạn, nếu bạn muốn bạn có thể tham khảo tại đây

Cài đặt Nginx và PHP-FPM

Trong demo này chúng tôi sẽ cài đặt trên 2 con VPS với địa chỉ IP là 52.91.57.224, 54.198.47.182. Bỏi vì WordPress viết bằng ngôn ngữ PHP nên chúng ta phải cài PHP, nhưng tại vì chúng tôi dùng Nginx làm web server nên cài PHP-FPM để cho nó có tốc độ tối ưu nhất.

Truớc tiên chúng ta cần cập nhật các bản update mới nhất cũng như cài các thành phần bổ trợ cho hệ điều hành Centos7:

Cài đặt Nginx:

Để cài đặt em nó thì bạn chỉ cần chạy duy nhất một dòng lệnh dưới đây

PHP và PHP-FPM

Cài đặt thêm gói epel và webtatic repository:

Sau khi chạy lệnh bên trên kia xong bạn chỉ cần chạy lên bên dưới để cài đặt PHP và PHP-FPM

sau khi cài đặt xong cho con web1 thì bạn làm các thao tác tương tự cho con web2, nếu như bạn dùng các dịch vu của Linode, DO, AWS thì nó sẽ có tính năng clone hay snap bạn chỉ cần click thế là có ngay con mới y chang như con web1 bạn vừa cài đặt. Trong trường hợp của chúng tôi sau khi cài đặt thành công có thể xác nhận thông qua lệnh sau:

Đồng bộ hóa thư mục web

Như bạn biết khi bạn dùng 2 con web server tức là những file của ứng dụng bạn sẽ phải ở hai nơi, do đó làm thế nào để đồng bộ nó có khá là nhiều cách như dùng scp, sync nhưng cách này không tối uư lắm, một trong những giải pháp là cài thằng glusterFS lên mỗi con server của bạn để nó đồng bộ hóa media hay hình ảnh khi bạn upload lên web server.

Chú ý rằng file ở đây tùy truờng hợp cụ thể, ví dụ web site của bạn là blog hay chia sẽ hình ảnh gì đó, thì lúc này một user upload hình ảnh lên có thể nó ở trên con wordpress-1 hoặc wordpress-2 khi đó glusterFS nó sẽ sync giúp bạn, còn nếu bạn dùng Amazon Cloudfront hay Amazon S3 để lưu trữ các file này thì không cần thiết phải cài glusterFS

Việc dùng NFS để xử lý phân bố hình ảnh nó rất chậm đặt biệt là khi dùng kết hơp CDN bạn có thể tham khảo bài viết Needle in a haystack của các kỹ sư Facebook viết tại sao họ từ bỏ nó NFS chuyển sang công nghệ họ gọi là haystack!

Vậy chúng ta thì sao khi, câu trả lời của cá nhân tôi bạn nên dùng Amazon S3 để xử lý luư trữ file là tốt nhất với giá cả phải chăng và gần như 99,999999% không gặp sự cố die!!!!

Một câu hỏi nữa:): Nếu ta dùng S3 thế thì mã nguồn code của ta xử lý thế nào khi ta thêm một file vào?

Câu trả lời của tôi là như sau: Khi bạn triển khai mã nguồn code lên web server thông thuờng theo cách truyển thống bạn dùng FTP, SCP, Git pull, nhưng khi chúng ta cấu hình cho hàng chục hay hàng trăm con web server thì dùng cách đó rất là vất quả, bạn phải login vào từng con để cập nhật mã nguồn web bạn khi bạn thêm tính năng nào đó rất là vất quả, và thông thuờng không ai làm thế cả, chúng ta sẽ dùng một tool để làm chuyện đó tự động. Có khá nhiều dịch vụ công cấp cho ta làm chuyện đó như Amazon commit nhưng cá nhân tôi thích tool open source hơn chẳng hạn như Capitrano, Deployer và công cụ yêu thích của tôi là ansible

Cài đặt wordpress

Việc cài đặt wordpress khá là đơn giản, bạn chỉ việc tải mà nguồn WordPress về và sau đó upload lên trên 2 con server ở trên thế là xong, nếu bạn nào chưa hiểu cách cài đặt wordpress trên Linux là gì thì có thể xem khóa học WordPress căn bản, nhưng như chúng tôi đã nói ở phần đồng bộ hóa thư mục web thì rất là vất quả, ví dụ chúng ta có 5 con web server thì phải upload cho cả 5 con, do đó chúng tôi sẽ dùng ansiable để deploy chúng, bạn có thể xem trong mã nguồn của chúng tôi.

Cài đặt HAProxy

Việc cài đặt HAProxy có 2 cách, bạn có thể cài dặt từ mã nguồn của nó hoặc cái đặt thông qua repo của Centos trong demo này chúng tôi cài đặt thông qua repo với lệnh sau:

mặt định thư mục cấu hình của haproxy nó sẽ nằm trong /ect/haproxy và cái tập tin chúng ta thao tác nhiều nhất là /etc/haproxy/haproxy.cfg, để cấu hình haproxy thì chúng ta cần sữa tập đó, nhưng trước hết chúng ta cần backup tập tin này trước khi thây đổi chúng, có gì sau này chúng ta còn rollback ?

sau đó bạn chỉnh sữa tập tin đó có dạng như bên duới:

trong đó bạn cần chú ý các phần sau, truớc tiên là phương thức balance mặc định của nó là roundrobin nó là phương thức đơn giản nhất với phương thức này thì mỗi một request gửi từ client thì sẽ chọn các máy chủ lần luợt, ví dụ trong demo này thì request đầu tiên thì haproxy sẽ chuyển đến app1, tiếp tục request thứ 2 thì nó sẽ chuyến đến app2. Với các này nó không tối ưu cho lắm do đó tôi khuyên các bạn nên chọn phưong thức là leastconn

Vậy leastconn là gì? Nó là phương thức chọn máy chủ có ít kết nối nhất ví dụ trong demo trên chúng tôi giả sử vì một lý do nào đó mà cái app1 nó có qua nhiều connect thì những request từ client nó sẽ tư động chuyển đến app2 cho đến khi nào lượng connect trên nó lớn hơn app1 thì nó sẽ dừng lại. Tất nhiên chúng ta có nhiều phương thức khác như source, Health check, Stick session

Còn phần cấu hình

này chỉ là tạo giao diện web GUI của HAProxy để quản lý các web server mà chúng ta cấu hình, mặc định nó không có chứng thực password nếu bạn muốn thì bạn xóa dấu # truớc dòng #stats auth phanbook:phanbook, giao diện nó như sau nếu bạn truy cập qua đường dẫn: http://34.207.217.19:8080/

Như hình trên thì hiện tại phần backend có 2 web server lần luợt là app1 và app2, nó đang hoạt động bình thường nên nó có màu xanh, nếu nó bị chết(die) thì sẽ xuất hiện màu đỏ:) Bạn thử stop một con web app1 sau đó refresh trình duyệt xem có gì thây đổi không

Sử dụng Ansiable để deploy

Ansible là cái gì và nó làm việc như thế nào? thì trong khuôn khổ bài viết này chúng tôi không thể giải thích hết cho các bạn được, ngay lúc này các bạn chỉ cần hiểu nó là một công cụ giúp chúng ta cài đặt toàn bộ các thao tác mà chúng tôi miêu tả ở trên thông qua một dòng lệnh duy nhất, còn để hiểu nó như thế nào thì có thể truy cập vào trang chủ của ansible

Chúng tôi sẽ sử bạn đã cài đặt thành công trên máy của bạn, nếu chưa có thì có thể cài đặt thông qua câu lệnh sau:

vì chúng tôi dùng ansitrano để deploy mã nguồn wordpress do đó bạn cần phải cài vào nếu như muốn thực hiện demo bên dưới

công việc tiếp theo là bạn clone mã nguồn của chúng tôi tại https://github.com/gsviec/haproxy-wordpress

sau đó mở tập tin ansiable/hosts rồi chỉnh các thông số IP lại cho đúng với các IP VPS của bạn, trong trường hợp của chúng tôi có dạng như sau:

mặt định chúng tôi sẽ tạo database với tên là demo_loadbanlancer_wp_gsviec, nếu bạn muốn thây đổi nó thì có thể vào tập tin all tại đây

Mọi thứ gần như đã xong công việc cuối cùng còn lại của bạn thì chỉ cần chạy lệnh sau:

sau đó bạn chỉ việc chờ đợi cho nó cài đặt, cuối cùng bạn truy cập thông qua địa chỉ IP(ha1) ở phần khai báo trong hosts file của tập tin ansible, trong demo này của chúng tôi là http://34.207.217.19/ thì bạn nên thấy kết quả như hình bên dưới đây:

Xin chúc mừng bạn đã setup thành cồng cân bằng tải cho web site wordpress của bạn

Test

Để kiểm tra nó có hoạt động hiểu quả hay không chúng ta cần phải dùng tool để test nó, có khá là nhiều công cụ như ab apache, siege, beeswithmachineguns nhưng trong demo này chúng tôi sẽ dùng dịch vụ bên thứ 3 đó là loader.io, sau khi verify và chạy test cho 10k request trong vòng 15s thì 100% web site đáp ứng tốt bạn có thể xem hình bên dưới hoăc link này ha-10000

Kết luận

Mô hình cần bằng tải trong hướng dẫn này vẫn chưa đáp ứng được cơ chế failover tức là nếu con load balancer(ha1) hoặc con db1 nó die thì nguời dùng không thể truy cập được, để khắc phục nhược điểm đó thì ta cần phải tại thêm con một con load balancer va database nữa, sau đó kết hợp với cơ chế Keepalived để tự động thêm hoặc xóa load balancer khi có nhiều người hoặc ít nguời truy cập.

Cảm ơn các bạn đã theo dõi bài viết này.

Nguồn: expertvn.com

The post Hướng dẫn cấu hình Load Balancing cho WordPress appeared first on Sửa Máy Nhanh.

1. Thiết lập khóa trang web và cấm người dùng:

– Plugin hỗ trợ bảo mật khá nổi tiếng Better WP Security đã tiến hành sáp nhập vào iThemes và đổi tên thành iThemes Security . Bạn có thể cài đặt plugin bảo mật iThemes (một trong những plugin giúp bảo mật website wordpress tốt nhất hiện nay) để tăng tính bảo mật trong trang login. Việc thiết lập tính năng khóa trang web và cấm người dùng không truy cập được nữa sẽ bảo mật tuyệt đối website wordpress của bạn.

– Plugin iThemes này cho phép chặn, cấm người dùng nếu có 1 ai đó cố gắng đăng nhập, thử nhiều mật khẩu. Và khi có hành động bất thường này xảy ra lập tức người quản trị web wordpress đó sẽ nhận được thông báo qua email.

– Tính năng đặc biệt ở đây chính là việc bạn có thể hoàn toàn tự set up chế độ bảo mật riêng – tức là tự cài đặt hạn chế số lần người dùng login ví dụ như 3,4 lần và nếu cố đăng nhập lần thứ 5 thì sẽ bị cấm địa chỉ IP đang cố tình đó.

– ĐÁNG CHÚ Ý: việc quản lý file wp-config.php  trong wordpress là việc quan trọng nhất trong wordpress.

2. Không quên xác thực 2 lớp – 2 factor authentication

– Hầu hết những diễn đàn, website bảo mật cao và wordpress đều yêu cầu xác thực 2 lớp khi bạn đăng ký làm thành viên và có thể là đăng nhập. Admin wordpress có thể tăng tính bảo mật cho website của mình bằng cách đưa ra những câu hỏi bí mật hoặc bắt người dùng nhấp vào những hình ảnh đúng yêu cầu, giải phép tính, nhập mã bí mật…

– Với Hostvn, plugin WP Authenticator đã bảo mật website wordpress của mình chỉ trong  vài đúp click chuột

3. Login bằng Email giúp tăng cường bảo mật cho web

– Theo mặc định, bạn sẽ đăng nhập bằng tên của mình hoặc số điện thoại. Nhưng việc sử dụng một Email ID thay vì một cái tên thông thường sẽ bảo mật an toàn hơn rất nhiều khi login website.

– Tại sao sử dụng email đăng nhập an toàn hơn ? Lý do đơn giản là tên người dùng, số điện thoại dễ đoán và mò được, còn với email ID thì không. Hơn nữa, bất kỳ tài khoản  người dùng nào trong wordpress cũng được tạo từ một địa chỉ email duy nhất. Điều này giúp bảo mật thông tin người dùng, website 1 cách tuyệt đối

– plugin WP Email Login sẽ hoạt động ngay sau khi kích hoạt và bạn không cần phải cấu hình gì cả.  Cách kiếm tra: Bạn chỉ cần đăng xuất khỏi trang web, sau đó đăng nhập lại, nhưng lần này hãy nhớ sử dụng email mà bạn đã tạo để login

4. Đổi URL đăng nhập

– Một trong các cách bảo mật website wordpress mà người dùng ít biết chính là đổi địa chỉ url đăng nhập. Theo mặc định, trang login wordpress có thể truy cập dễ dàng qua địa chỉ: wp-login.php hoặc wp-admin +  URL chính của trang web. ví dụ như: hostvn.net/wp-admin/  chẳng hạn.

– Hacker phản ứng sau khi nhìn thấy địa chỉ login này: Nếu nhìn thấy url đăng nhập dạng như trên, hacker có thể đăng nhập vào GWDb (Guess Work Database, ví dụ: tên người dùng: admin và mật khẩu: P @ ssword …)

– Giải pháp: Để nâng cấp bảo mật  website wordpress toàn tập (to secure website wordpress), bạn cần phải thay đổi địa chỉ URL đăng nhập ngay.

– Plugin hỗ trợ: iThems Security sẽ giúp bạn loại bỏ tới 99% các cuộc tấn công của tin tặc

+ Ví dụ cách thay đổi địa chỉ URL  trong phần login như sau:

– Thay đổi  wp-login.php thành một cái gì đó độc đáo. Chẳng hạn:  My_new_login  ;  / wp-admin / thành  My_new_admin ; /wp-login.php?action=register  thành My_new_registeration

5. Không quên sử dụng MẬT KHẨU MẠNH:

– Khá nhiều người vẫn sử dụng mật khẩu đơn giản như: 123456, 12345678, 1234567890… hay no password, khongcopass.  Việc tạo mật khẩu đơn giản như thế này chính là cơ hội mở cửa cho các tin tặc lợi dụng tấn công. Hostvn khuyến cáo: Bạn cần kiểm tra thay đổi mật khẩu ngay nếu bạn để mật khẩu như trên hoặc quá đơn giản.

– Tốt nhất, hãy sử dụng mật khẩu có cả chữ hoa và chữ thường, số và ký tự đặc biệt, tránh sử dụng số điện thoại cá nhân nhé.

II. BẢO MẬT TRANG QUẢN TRỊ ADMIN

Bảng điều khiển trang quản trị là phần được hacker nhòm ngó nhất vì khi hack được bảng điều khiển Dashboard sẽ đạt được nhiều mong muốn nhất của chúng.

6. Bảo vệ thư mục wp-admin (secure wp-admin directory wordpress):

– Thư mục wp-admin được ví như trái tim của bất kỳ website wordpress nào. Vì thế, nếu phần này bị tấn công, bị xâm chiếm thì coi  như website của bạn hỏng hoàn toàn.

>> Giải pháp: Bảo vệ bằng mật khẩu trong thư mục wp-admin. Bằng cách sử dụng plugin có tên: AskApache Password Protect , Admin có thể truy cập vào dashboard bằng cách gửi 2 mật khẩu. Một mật khẩu bảo vệ trang login và một mật khẩu bảo vệ khu vực quản trị WordPress. Nếu người dùng trang web được yêu cầu truy cập vào một số phần cụ thể của wp-admin, bạn có thể bỏ chặn những phần đó và khóa phần kia lại. Plugin AskApache Password Protect  này sẽ tự động tạo ra một tập tin .htpasswd, mã hóa mật khẩu và cấu hình quyền của tập tin và tăng cường bảo mật cao cho wordpress.

7. Mã hóa dữ liệu bằng SSL

SSL (Secure Socket Layer) là một bức tiến giúp bảo vệ bảng quảng trị. Các hacker sẽ cảm thấy khó khăn khi cố tình kết nối, phá độ bảo  mật của website wordpress vì đã có  SSL đảm bảo truyền dữ liệu an toàn giữa các trình duyệt của người dùng và máy chủ.

– Lợi thế cho Seoer khi website có chứng chỉ bảo mật SSL sẽ làm tăng thứ hạng tìm kiếm keyword trên Google. Bởi Google hiểu website của bạn đang bảo người dùng tốt hơn với những site khác nên sẽ ưu tiên hơn trên bảng thứ hạng.

8. Sử dụng plugin Force Strong passwords khi dùng blog wordpress

– Nhằm tăng độ Bảo mật wordpress khi có nhiều tác giả viết bài, bạn  nên cài plugin này. Đây là một biện pháp phòng ngừa,tăng thêm bảo mật nữa cho trang wordpress

9. Điều hướng các files

– Nếu bạn muốn thêm một số tính năng bảo mật cho wordpress thì bạn có thẻ điều khiển sự thay đổi các tệp, file bằng plugin Acunetix WP Security, Wordfence, or again, iThemes Security

III. Bảo mật cơ sở dữ liệu cho wordpress

10. Thay đổi WordPress database table prefix

– Nếu như bạn thông thạo về code và đã cài wordpress thì có thể bạn đã quen với tiền tố wp-table được sử dụng trong database của WordPress.

– Chắc hẳn bạn không quên lỗ hổng bảo mật website – SQL injection. Hãy thay đổi wp- thành một số ví dụ như: mywp-, wpnew-

– Để hỗ trợ bảo mật database wordpress bạn có thể sử dụng plugins: WP-DBManager hoặc iThemes Security. Và nhớ sao lưu dữ liệu website trước khi thực hiện bất kể điều gì với dữ liệu. Nó giống như việc bạn photo CMTND  trước khi nộp đơn xin việc tại chỗ làm vậy.

11.Sao lưu dữ liệu, site một cách thường xuyên

– Việc sao lưu dữ liệu giúp bạn bảo mật được tài sản website của mình trước khi một ngày dông tố nhất có thể xảy ra.

– Bạn có thể sử dụng VaultPress ( giúp sao lưu và bảo mật dữ liệu website wordpress cực kỳ nhanh, tốt). Cho dù bất kể điều gì xấu, đều có thể khôi phục lại được toàn bộ dữ liệu. Mặt khác, VaultPress  sẽ rà quét các lỗ hổng, malware trong site của bạn và cảnh báo ngay khi có lỗi.

– Và điều không thể không chính là thiết lập mật khẩu mạng cho database

IV. Thiết lập bảo mật Hosting website wordpress

Có một thực tế rằng, hầu hết các công ty đều có sử dụng dịch vụ bảo mật hosting wordpress. Vậy làm thế nào để nâng cao bảo mật hosting cho wordpress ?

12. Bảo  mật file wp-config.php trong wordpress

– Hỡi các bạn yêu wordpress, file wp-config.php là file chứa thông tin quan trọng nhất trong phần cài đặt WordPress, là tệp phải lưu tâm trong thư mục gốc của website. Bạn là một blogger sử dụng wordpress hoặc không phải, thì đều cần bảo mật file wp-config.php

– Bạn có thể tắt chức năng Revisions để tiết kiệm cơ sở dữ liệu và tăng tính bảo mật cho wordpress

13. Nâng cấp bảo mật blog wordpress bằng cách nâng cấp quyền chỉnh sửa tệp

– Nào ! Bạn đã đi được hơn nửa chặng đường rồi đấy, càng về cuối càng có nhiều phần hay mà Hostvn chia sẻ.

– Nếu người dùng có quyền truy cập phần dashboard của trang quản trị, họ có thể chỉnh sửa bất kỳ file nào, thậm chí cả plugin, themes.

– Tuy nhiên, để ngăn chặn hacker và người khác chỉnh sửa file bạn có thể vào phần Dashboard của wordpress và thêm tệp sau vào cuối file wp-config.php:

define (‘DISALLOW_FILE_EDIT’, true);

14.Kết nối tới máy chủ một cách chính xác

– Khi thiết lập phần cài đặt, hãy kết nối với máy chủ qua SFTP hoặc SSH . Việc kết nối máy chủ theo cách này giúp  đảm bảo truyền tải an toàn cho các files.

15.Thiết lập quyền truy cập thư mục – tránh CHMOD

– Việc thay đổi những tệp tin hay quyền truy cập thư mục là một định hướng tốt giúp đảm bảo website wordpress của bạn được bảo mật hơn trong lưu trữ hosting. Hãy thiết lập quyền cho thư mục “755” và các tệp tin “644” để bảo vệ toàn bộ hệ thống tập tin – thư mục, thư mục con và các tệp riêng lẻ.

– Bạn có thể thực hiện việc này thủ công qua File Manager bên trong bảng điều khiển hosting của bạn, hoặc thông qua Terminal (kết nối với SSH) – sử dụng lệnh “chmod”.

– CHMOD có thể rất đang mới lạ với bạn vì kiến thức phần này khá nhiều. Bạn chỉ cần nhớ CHMOD trong thư mục là 777 thôi. Dạo đầu mình cũng 1 số bạn admin khác chưa rõ về bảo mật WordPress cho lắm cũng đã bị lỗi mất thư mục mà không biết lý do gì.

– Thiết lập phân quyền 777, cho phép tối đa tất cả user trên server đều có quyền ghi/xóa/thực thi thư mục và các tập tin bên trong.

– Bạn đang dùng Shared Host, thì cần phải nhớ CHMOD chuẩn nhất  là 755 cho thư mục, 644 cho files. Với file wp-config.php thì hãy CHMOD thành 444 hoặc 440 hoặc 400.

16.Tắt danh sách thư mục với .htaccess

– bạn tạo một thư mục có tên “data”, và  có thể thấy mọi thứ trong thư mục “data”  bằng cách gõ http://www.example.com/data/ trong trình duyệt của bạn

– Bạn có thể ngăn chặn điều này bằng cách thêm dòng mã sau vào tệp tin .htaccess: Options All -Indexes

V. BẢO MẬT CÁC THEMES VÀ PLUGINS TRONG BẢO MẬT WEBSITE WORDPRESS

Hãy cùng Hostvn bảo mật toàn diện cho website dùng template và plugin wordpress nào !

17. Theo dõi và cập nhật thường xuyên các plugin, themes của WordPress

– Cũng giống như windows, việc update thường xuyên giúp bảo mật máy tính của bạn tốt hơn, thì wordpress cũng vậy. Nếu không cập nhật những themes, plugin của wordpress, bạn có thể gặp rắc rối về vấn đề bảo mật đấy. Và mới cuối tháng 3/2017 vừa rồi, một plugin mang tên  WP- Base-SEO đã dẫn lối cho hacker.

18.Xóa phiên bản wordpress:

– Tất nhiên việc tìm ra phiên bản wordpress mà bạn đang sử dụng sẽ giúp hacker lần ra dấu vết lỗ hổng dễ dàng hơn rất nhiều và chúng có nhiều time nghiên cứu hơn để công phá.

Nếu bạn đang sử dụng themes, plugins, website bằng wordpress hãy kiểm tra và rà soát, cài đặt, thiết lập chế độ bảo mật ngay ! Còn plugin iThemes Security là plugin mà mình thích nhất. Hi vọng, bạn sẽ thích bài viết này.

Nguồn: expertvn.com

The post Hướng dẫn cách bảo mật website WordPress một cách hiệu quả nhất appeared first on Sửa Máy Nhanh.

Cấu hình hosting thích hợp

Plugin này được thiết kế để làm việc trên máy chủ Apache, do đó nếu bạn dùng NGINX thì sẽ không sử dụng được các chức năng như đổi đường dẫn admin, block spam bots trừ khi bạn có thể tự cấu hình được. Vì vậy, mình khuyến khích mọi người nên sử dụng plugin này cho các gói shared host thông thường như Hostvn

Cách sử dụng iThemes Security

Tải plugin

Ngay sau khi cài xong, hãy ấn nút Secure Your Site Now để bắt đầu thiết lập.Sau đó bạn chỉ cần click vào 2 tùy chọn như trong ảnh và ấn nút Dismiss để kết thúc.Sau đó bạn chuyển qua tab Settings và bắt đầu tìm hiểu các tùy chọn của nó.

Ở đó có phần Go to là thanh điều hướng, khi bạn chọn từng phần trong đó thì cửa sổ sẽ dẫn bạn đi đến khu vực tương ứng để thiết lập. Hãy cùng tìm hiểu các tùy chọn của iThemes Security ở phần dưới nhé.

Các tùy chọn cơ bản của iThemes Security

Global Settings

Phần này sẽ chứa các thiết lập cơ bản cho iThemes Security.

• Write to File – Tùy chọn này sẽ cho phép các plugin khác tự động thêm nội dung vào file wp-config.php và .htaccess, bạn nên chọn nó để có thể cài được các tính năng khác của iThemes Security hoặc các plugin tạo cache một cách tự động.
• Notification Email – Địa chỉ email nhận các thông báo liên quan đến plugin iThemes Security, bạn có thể thêm nhiều email ngăn cách với nhau bằng một hàng.
• Backup Delivery Email – Địa chỉ email nhận file backup nếu bạn backup dữ liệu bằng iThemes Securtity.
• Host Lockout Message – Tin nhắn thông báo lỗi cho những người đăng nhập thất bại do bị khóa IP.
• User Lockout Message – Tin nhắn thông báo lỗi nếu thành viên bị khóa.
• Blacklist Repeat Offender – Kích hoạt sử dụng danh sách địa chỉ spam công cộng. Bạn nên chọn vì nó sẽ giúp bạn thoát khỏi các spammer có trong danh sách này.
• Blacklist Threshold – Số lần IP bị khóa sẽ chuyển thành dạng khóa vĩnh viễn.
• Blacklist Lookback Period – Thời hạn khóa các spammer có trong danh sách ở phần Blacklist Repeat Offender.
• Lockout Period – Thời gian mỗi lần khóa nếu có ai đó cố gắng đăng nhập nhưng bị thất bại.
• Lockout White List – Danh sách IP không bị khóa.
• Email Lockout Notifications – Email nhận thông báo khi ai đó bị khóa.
• Log Type – Kiểu ghi các log hoạt động của plugin, nên chọn là Database Only.
• Days to Keep Database Logs – Thời hạn ghi của các log trong database, sau thời hạn các log sẽ bị xóa đi.
• Path to Log Files – Đường dẫn của file log.
• Allow Data Tracking – Cho phép iThemes thu thập các dữ liệu sử dụng của bạn để họ phân tích.

404 Detection

Đây là tùy chọn sẽ gửi thông báo mỗi khi thành viên truy cập một trang nào đó và phát hiện lỗi 404. Bạn nên cân nhắc bật chức năng này nếu trang của bạn đã có quá nhiều lỗi 404 vì nó sẽ hấp diêm cái hộp email của bạn và tốn rất nhiều tài nguyên.

• Minutes to Remember 404 Error (Check Period) – Thời gian mà hệ thống tự ghi nhớ lỗi 404 và không báo vào lần sau.
• Error Threshold – Số lỗi tối đa mà mỗi thành viên có thể gặp, nếu thành viên vào tối đa số trang 404 trong phần này thì sẽ bị khóa. Thường là hay xảy ra với bot spam.
• 404 File/Folder White List – Các file/folder nó sẽ bỏ qua và không kiểm tra lỗi 404.

Away Mode

Đây là tính năng giúp bạn khóa trang quản trị trong thời gian nhất định, bạn chỉ có thể vào được trong một thời gian nhất định. Rất hữu ích cho website có 1 admin và bạn có thể tùy chọn khóa trang quản trị lúc bạn đang ngủ, làm việc chẳng hạn.

• Enable away mode – Bật chức năng Away Mode.
• Type of Restriction – Loại từ chối, nếu bạn truy cập vào website mỗi ngày thì chọn Daily.
• Start Time – Thời gian bắt đầu “mở cổng” trang admin.
• End Time – Thời gian đóng cổng trang admin.

Banned User

Tùy chọn cho phép bật chức năng ban một thành viên nào đó, kể cả bot spam.

• Enable HackRepair.com’s blacklist feature – Bật chức năng khóa các bot spam có trong danh sách của HackRepair.com.
• Enable ban users – Bật chức năng khóa thành viên (không phải thành viên trong trang WordPress của bạn).
• Ban Hosts – Danh sách các IP sẽ bị ban, mỗi IP là một dòng.
• Ban User Agents – Loại User Agents sẽ bị ban, áp dụng cho các bot spam. Bạn có thể lên Google gõ “Bad User Agents list” để lấy danh sách và bỏ vào tùy chọn này nếu muốn.
• Whitelist Users – IP sẽ không bị ban.

Brute Force Protection

Tùy chọn này sẽ giúp bạn chống Brute Force Attack bằng hình thức hạn chế số lần đăng nhập sai.

• Enable brute force protection – Bật chức năng chống Brute Force.
• Max Login Attempts Per Host – Số lần đăng nhập sai tối đa của một IP.
• Max Login Attempts Per User – Số lần đăng nhập sai tối đa của một thành viên.
• Minutes to Remember Bad Login (check period) – Số thời gian ghi nhớ đăng nhập sai, nếu trong khoảng thời gian này mà vượt quá số lần đăng nhập sai cho phép thì sẽ bị khóa.

Xem thêm: Brute Force Attack là gì và cách phòng chống.

Database Backup

Tùy chọn hỗ trợ tự động sao lưu cơ sở dữ liệu. Chỉ nên bật nếu bạn có database nhỏ vì sử dụng BackWPUp hoặc BackupBuddy sẽ tốt hơn nhiều.

• Backup Full Database – Backup toàn bộ cơ sở dữ liệu.
• Backup Method – Phương thức sao lưu, nó sẽ gửi bản backup qua email hoặc chỉ lưu vào host hoặc cả 2.
• Backup Location – Đường dẫn thư mục chứa file backup.
• Backups to Retain – Số file backup sẽ giữ lại trên host. Ví dụ nếu bạn đặt là 5 thì nếu nó nhiều hơn 5 thì sẽ tự xóa bớt file backup cũ nhất.
• Compress Backup Files – Hỗ trợ nén file backup.
• Exclude Tables – Các table trong database bạn không muốn backup.
• Schedule Database Backups – Bật tùy chọn tự động backup.
• Backup Interval – Tự động backup sau số ngày nhất định.

File Change Detection

Tính năng gửi thông báo nếu có file nào đó trong host bị thay đổi, thường là để phát hiện các file bị chèn shell. Tuy nhiên chỉ nên bật đúng lúc cần vì nó tốn tài nguyên.

• Enable File Change detection –  Bật tính năng phát hiện file bị thay đổi.
• Split File Scanning – Chia nhỏ các phần trong code để kiểm tra lần lượt thay vì một lúc, đỡ tốn tài nguyên.
• Include/Exclude Files and Folders – Tùy chọn loại bỏ hoặc bao gồm các file để phát hiện.
• Files and Folders List – danh sách các file/folder mà bạn muốn loại bỏ/bao gồm để scan.
• Ignore File Types – Các định dạng file mà nó sẽ bỏ qua.
• Email File Change Notifications – Bật tính năng gửi thông báo qua email.

Hide Login Area

Bật tính năng đổi đường dẫn đăng nhập thay vì /wp-admin như cũ.

• Login Slug – Slug đường dẫn đăng nhập mới, nếu bạn ghi là dangnhap thì địa chỉ đăng nhập của bạn sẽ có dạng example.com/dangnhap.
• Register Slug – Slug đường dẫn đăng ký thành viên.
• Enable Theme Compatibility – Tùy chọn tự động tương thích với theme.
• Theme Compatibility Slug – Đường dẫn báo lỗi 404.

Secure Socket Layer

Đây là tính năng áp dụng SSL cho website nếu website bạn có chứng chỉ SSL. Nếu bạn không có SSL, tốt nhất để nguyên nếu không muốn lỗi cả website.

• Front End SSL Mode – Bật SSL cho website.
• SSL for Login – Bật SSL cho hệ thống đăng nhập trên website.
• SSL for Dashboard – Bật SSL cho Dashboard.

Strong Password

Áp dụng bắt buộc sử dụng mật khẩu phức tạp để bảo mật.

• Enable strong password enforcement – Bật chức năng bắt buộc mật khẩu mạnh.

System Tweaks

Các thiết lập trong đây sẽ can thiệp hệ thống hosting của bạn đang dùng để bảo mật. Do đây là thiết lập nâng cao nên đừng chọn nếu bạn không biết mình đang làm gì.

• Protect System Files – Bảo mật các file quan trọng của WordPress như wp-config.php, .htaccess, wp-include, instal,….
• Disable Directory Browsing – Không cho phép browse file tập tin bằng trình duyệt, nghĩa là nếu thư mục bạn không có file index thì nó vẫn không xuất hiện danh sách các file trong đó.
• Filter Request Methods – Lọc các truy vấn gửi đi thông qua URL, nó sẽ chặn các truy vấn mang tính chất nguy hiểm hoặc đáng ngờ.
• Filter Suspicious Query Strings in the URL – Lọc và chặn các truy vấn mang tính chất nguy hiểm trên URL, ví dụ như họ đang cố gắng truy cập vào các file trong thư mục themes, plugins.
• Filter Non-English Characters – Một cách để hạn chế SQL Injection bằng cách chặn các query chứa ký tự lạ. Nên chọn.
• Filter Long URL Strings – Lọc các truy vấn quá dài, thường là các attacker bằng hình thức SQL Injection thường viết truy vấn khá dài trên URL để thay đổi database. Nên chọn.
• Remove File Writing Permissions – Tự động CHMOD bảo mật cho các file nhạy cảm, nếu bật thì các file đó sẽ được CHMOD thành 0444 thay vì 0644 như mặc định.
• Disable PHP in Uploads – Không cho phép thực thi các mã PHP trong tính năng upload trong WordPress để tránh màng up shell lên host. Nên chọn.

WordPress Tweaks

Các tùy chọn này sẽ can thiệp vào mã nguồn của WordPress để bảo mật.

• Remove WordPress Generator Meta Tag – Xóa các thẻ meta mặc định của WordPress tự sinh ra để làm cho hacker khó xác định số phiên bản WordPress mà bạn đang dùng để tìm bug.
• Remove the Windows Live Writer header – Xóa thẻ header để hồi đáp lại truy vấn từ Windows Live Writer nhằm tránh lại các hình thức tấn công thông qua việc lợi dụng file này để đăng bài trái phép.
• Remove the RSD (Really Simple Discovery) header – Xóa thẻ header chứa file xml-rpc trên header để tránh lại các hình thức tấn công bằng việc lợi dụng đăng bài trái phép.
• Reduce Comment Spam – Chống spam ở comment.
• Display Random Version – Tự động hiển thị ngẫu nhiên số phiên bản WordPress để hacker khó xác định phiên bản thật sự mà bạn đang dùng.
• Disable File Editor – Không cho phép chỉnh sửa theme, plugin trong Dashboard.
• Disable login error messages – Tắt hiển thị lỗi đăng nhập để hacker khó xác định là họ đăng nhập sai hay lỗi.
• Force users to choose a unique nickname – Không cho thành viên sử dụng nickname trùng nhau.
• Disables a user’s author page if their post count is 0 – Không tạo đường dẫn author riêng nếu họ chưa có bài.

Sau khi thay đổi xong, cứ ấn nút Save all Changes.

Advanced

Đây là các thiết lập nâng cao, hạn chế táy máy nếu bạn sợ bị lỗi hoặc tốt nhất backup toàn bộ database và code trước khi sử dụng các công cụ trong đây.

Admin User

Các thay đổi trong đây sẽ ảnh hưởng tới tài khoản admin của website.

• Enable Change Admin User – Đổi tên username của admin.
• New Admin Username – Tên đăng nhập mới của admin.
• Change User ID 1 – Thay đổi User ID của admin để tránh bị dò ra.

Change Content Directory

Tùy chọn trong đây sẽ thay đổi thư mục wp-content, rất nguy hiểm nếu bạn đã sử dụng website lâu rồi. Chỉ nên áp dụng cho các website mới.

Change Database Prefix

Thay đổi prefix của database thay vì wp_ như mặc định, tùy chọn này sẽ ít có khả năng lỗi nên bạn có thể yên tâm sử dụng.

 LỜI KẾT

Đó là những tính năng quan trọng mà mình cần nói qua trong plugin iThemes Security này. Mặc dù phiên bản do iThemes phát triển ra mắt chưa được bao lâu nhưng theo đánh giá của mình, nó vẫn hoạt động khá tốt ở thời điểm hiện tại và sẽ còn tiếp tục chỉnh sửa và bổ sung khá nhiều. Hy vọng với plugin iThemes Security, bạn sẽ yên tâm hơn trong việc bảo mật WordPress.

Theo: expertvn.com

The post CÁCH SỬ DỤNG ITHEMES SECURITY ĐỂ BẢO MẬT WORDPRESS appeared first on Sửa Máy Nhanh.

XML-RPC là một giao thức kết nối với website WordPress từ xa sử dụng XML để trao đổi dữ liệu qua lại. Hiện tại có thể hỗ trợ các API của các CMS như WordPress API, Blogger API, Movable API, Pingback API, MetaWeblog API,…

Thông thường trên WordPress, chúng ta sẽ sử dụng đến XML-RPC khi thiết lập đăng bài từ một ứng dụng khác bên ngoài như Windows Live Writer, hoặc các dịch vụ kết nối với website để đăng bài như IFTTT chẳng hạn.

Nhưng từ khi XML-RPC được sử dụng phổ biến trên WordPress, nó lại làm dấy lên về nguy cơ bị tấn công brute force attack để dò mật khẩu hoặc nặng hơn là gửi một lượng lớn request đến máy chủ để làm tê liệt máy chủ, hình thức tấn công này được gọi là HTTP Flood Attack, là một kiểu tấn công DDoS.

Việc tấn công website WordPress dựa vào XML-RPC không phải là mới, nhưng trong 1 tuần trở lại đây mình thấy khá nhiều người bị tấn công theo hình thức này, theo ghi nhận của mình trên các khách hàng sử dụng dịch vụ hosting tại AZDIGI.

Do đó, hiện tại nếu bạn không có nhu cầu kết nối WordPress đến các dịch vụ hoặc ứng dụng bên ngoài thì hãy vô hiệu hóa XML-RPC để tránh được nguy cơ tấn công theo hình thức này.

CÁCH NHẬN BIẾT WEBSITE ĐANG BỊ TẤN CÔNG

Một cách đơn giản nhất để biết website mình có đang bị tấn công theo hình thức này hay không là mở tập tin access_log lên xem. Nếu bạn thấy có lượng lớn lượt truy cập như dưới đây thì website bạn đang bị tấn công thông qua XML-RPC.

CÁCH HẠN CHẾ TẤN CÔNG THÔNG QUA XMLRPC

Để hạn chế tấn công theo hình thức này thì có một cách đơn giản nhất là chặn tập tin này không cho thực thi. Lưu ý các bạn không nên xóa đi vì nó là một phần của mã nguồn WordPress, có thể gây lỗi hoặc khi cập nhật phiên bản nó sẽ có lại nên chặn là cách tối ưu nhất.

Chặn xmlrpc.php trên .htaccess

Nếu bạn dùng Shared Host hoặc các server cài đặt Apache thì chèn đoạn sau vào tập tin .htaccess ở thư mục gốc của website.

Chặn xmlrpc.php trên NGINX

Nếu bạn đang sử dụng NGINX làm backend (sử dụng cùng với PHP-FPM) thì bỏ đoạn sau vào tập tin cấu hình domain trên NGINX.

Sau đó khởi động lại NGINX.

Chặn xmlrpc.php bằng plugin iThemes Security

Nếu bạn không tiện làm 2 cách trên thì dùng tính năng có sẵn của iThemes Security là việc dễ dàng nhất.

Plugin bảo mật này hầu như là một plugin phải cài khi sử dụng WordPress rồi, nếu bạn chưa cài pluginnày thì hãy cài ngay theo hướng dẫn này. Trong plugin này đã có tích hợp sẵn chức năng chặn XML-RPC và chặn Pingback (nên tắt luôn nếu không cần), bạn có thể bật lên tại mục Security -> Settings -> WordPress Tweak và chọn Disable XML-RPC.

Nếu bạn dùng NGINX thì sau khi đánh dấu vào tùy chọn này sẽ cần khởi động lại NGINX nhé.

LỜI KẾT

Mặc dù mã nguồn WordPress là một trong những mã nguồn phổ biến và có độ an toàn tốt nhưng một vài tính năng trong mã nguồn có thể sử dụng sai mục đích nên hãy thường xuyên theo dõi log lỗi (error log) hoặc log truy cập (access log) để sớm phát hiện những hành vi bất thường. Nếu bạn không chắc chắn website mình có an toàn hay không thì mình khuyến cáo sử dụng dịch vụ Sucuri Firewall để bảo mật website tốt hơn.

Theo: expertvn.com

The post Hướng dẫn tắt XML-RPC khi không cần sử dụng appeared first on Sửa Máy Nhanh.

gửi email spam số lượng lớn: Bạn đôi lúc thắc mắc mình chẳng sử dụng email thế nhưng nhà cung cấp hosting thông báo khóa gói dịch vụ vì spam mail thì chắc chắn là do mã độc.
Gói hosting load cao liên tục:  Đôi lúc các mã độc này còn thực hiện một số tác vụ rất nặng (gửi email lớn, liên tục tạo file, đào tiền ảo …) khiến cho gói hosting /VPS liên tục load cao, nếu dùng hosting bạn có thể truy cập CPU and Concurrent Connection Usage để xem chi tiết  thông tin, vì load cao nên đương nhiên sẽ chẳng còn bao nhiêu %cpu để xử lý các tác vụ website, khiến cho thời gian load trang vô cùng dài hoặc có thể không truy cập được.

Phần 1: Nguyên nhân Mã độc
Mật khẩu quản trị, email, hosting. VPS quá đơn giản.
Sử dụng các mã nguồn hoặc phần mở rộng cho mã nguồn tải từ nơi không rõ nguồn gốc (vd: theme/plugin WordPress trả phí được tìm thấy trên một số website chia sẻ miễn phí).
Sử dụng các phiên bản mã nguồn đã quá cũ có nguy cơ lổ hổng bảo mật.

Việc lây lan qua mã độc đôi lúc chỉ cần từ 1 website sẽ có thể lây lan ra toàn bộ các website của bạn, gây nên tình trạng tất cả các website bị lỗi

Phần 2: Hướng xử lý.

Mã độc hiện tại có thể chèn vào tất cả những phần sau trên một website wordpress nói chung:

Chèn vào các file php, js, css theme, plugin ..
Chèn vào các file php, js, css trong wordpress core.
Chèn vào các bảng posts trên database của website.

Thông thường mà nói nếu một website bị mã độc nhẹ và bạn có thể biết được chèn  ở đâu, bạn có thể gỡ đoạn mã đó ra. Tuy nhiên các mã độc chèn trên website rất phức tạp, chúng thường xuyên có cả những tác vụ chèn vào database, đôi lúc là xóa luôn nội dung trên database hay file wp-config.php, khiến website truy cập lỗi. Mình vẫn khuyến khích các bạn xử lý dứt điểm, nếu như trong trường hợp bị sửa database hay website bị lỗi code thì bạn cố gắng restore lại tới ngày gần nhất không bị lỗi code website mà chỉ bị redirect.

Lưu Ý: Việc xử lý mã độc này cần một số kiến thức và hiểu biết sơ lược về website cũng như mã nguồn, các bạn nên thực hiện theo trình tự không nên tay ngang, nếu không thao tác được bạn có thể nhờ người thiết kế website hoặc nếu lỗi bạn nên restore lại hoặc tìm phương án xử lý khác

Phần 3: Xử lý mã độc chuyển hướng trên wordpress

Backup và download website (database+ code) giữ tại máy tính mình, Điều này đề phòng bất trắc có thể xảy ra. Mặc dù nhà cung cấp hosting thường có các bản backup, tuy nhiên linh hồn ai người nấy giữ, bạn nên chủ động tất cả với dữ liệu của mình, không nên phụ thuộc vào ai.

Xử lý theme và plugin:

Bạn cố gắng đăng nhập wp-admin lấy lại thông tin plugin và theme đang kích hoạt. Về plugin bạn có thể truy cập vào trang quản lý plugins sau đó có thể truy cập tới Trang Plugin tại WordPress.org. Sau đó từ trang gốc plugin tại wordpress.org bạn download các plugin này về để tất cả file .zip này vào một folder trên máy tính. Với các plugin trả phí hay theme trả phí, bạn truy cập trang mình đã mua key và download về.

Xử lý wordpress core:

Trên thư mục website, bạn xóa tất cả nội dung trừ  folder sau và tất cả các nội dung bên trong nó : wp-content/uploads

+ download wordpress core sạch tại : https://wordpress.org/  Sau đó giải nén lại vào thư mục quy định chứa website wordpress.

+ upload các plugin sạch đã download lại vào thư mục sau và giải nén: wp-content/plugins

+ Upload lại theme sạch đã download lại vào thư mục sau và giải nén: wp-content/themes

Lưu ý, Thông thường với các theme giờ có đi kèm cả child-theme, tốt nhất bạn nên upload cả child-theme này vào cùng  thư mục wp-content/themes và giải nén.

Xử lý Database:

Một số chuyển hướng thường gặp với một số mã trang chuyển hướng thường gặp nhất hiện nay như tới trang s2.voipnewswire.net.

Thông thường nhất thì các mã độc chèn trên database trong bảng prefix_posts,  bạn có thể thay thế update database bằng lệnh:

update prefix_posts set post_content = replace(post_content,’nội cần thay thế’,’nội dung thay thế’);

(trong đó  prefix của database bạn cập nhật cho đúng với database của mình).

Hoặc để đơn giản, bạn có thể download database về, sau đó mở lên bằng các trình editor rồi sử dụng công cụ tìm kiếm và thay thế để cập nhật lại database, Sau đó import lại database của mình (nhớ drop database cũ).

xử lý bước cuối.

Thông thường sau thao tác xong, nếu chính xác bạn không cần phải làm gì nữa. Tuy nhiên có một số website bạn cần cập nhật lại một số thông tin như contact form 7, 1 số widget ..

Cuối cùng bạn nhớ cập nhật lại tất cả mật khẩu quản trị website, hosting để tránh bị lỗi. Nếu cảm thấy website ổn định rồi bạn có thể backup lại website một lần nữa nhờ quản trị hosting reset lại hosting về mặc định để tránh bị các mã độc ẩn tại các file hệ thống hosting sau đó upload lại.

Theo: expertvn.com

The post Hướng dẫn xử lí mã độc chuyển hướng tổng quát trên WordPress appeared first on Sửa Máy Nhanh.

Vấn đề bảo mật cho WordPress bạn phải đặt lên hàng đầu, nhưng dù bạn có kỹ đến đâu thì đôi lúc bạn sẽ gặp phải sự cố, như trong bài viết này mình đặt bạn nằm trong trường hợp quên mật khẩu admin của trang WordPress.

Cách khôi phục mật khẩu WordPress

Công việc đơn giản nhất để bạn có thể lấy lại mật khẩu của bạn đó là sử dụng chức năng quên mật khẩu của WordPress. Bạn sẽ tìm thấy được chức năng này trong trang đăng nhập, khi bạn truy cập vào trang đăng nhập thì bạn hãy click vào link Lost your password?

Bạn chỉ cần nhập vào địa chỉ email và lấy lại mật khẩu mới. Tuy nhiên, nếu chức năng gửi mail trên hosting của bạn không hoạt động hoặc bạn quên địa chỉ email và bạn quên luôn tên đăng nhập thì sao? Bạn hãy yên tâm vì vẫn còn cách khác để bạn lấy lại mật khẩu cho WordPress.

Bạn đăng nhập vào trình quản lý cơ sở dữ liệu phpMyAdmin, cái này có thể khác nhau đối với mỗi hosting khác nhau, bạn cứ tìm đường dẫn và đăng nhập vào trong bảng điều khiển của phpMyAdmin trước đã.

Nếu bạn đã đăng nhập được vào trong phpMyAdmin rồi thì bạn hãy tìm tới tên cơ sở dữ liệu của bạn, sau đó mở bảng users, bảng này sẽ có dạng là wp_users. Tùy vào tên prefix bạn đặt như thế nào mà tên bảng có thể khác nhé.

Bạn tìm tài khoản mà bạn muốn đổi lại mật khẩu, bạn chú ý tới cột user_pass, bạn nhấp đôi chuột vào ô mật khẩu được mã hóa dưới dạng MD5 như trong hình bên trên mình tô màu vàng, bạn xóa dòng chữ cũ đi và thay lại bằng dòng chữ mới bên dưới:

1	$P$BN/Ukn4jQ4Xm0YDKT9h/I8YFrNdRZw0

 

Sau khi bạn bỏ dòng chữ mới bên trên vào ô mật khẩu của bạn, bạn nhấn enter để lưu lại. Bây giờ mật khẩu mới cho tài khoản của bạn sẽ là admin. Bạn hãy dùng mật khẩu này để đăng nhập, sau khi vào được bảng điều khiển thì nhớ thay lại bằng một mật khẩu khác mạnh hơn nhé.

Ngoài 2 cách trên thì bạn còn các cách khác nữa để thay đổi mật khẩu cho WordPress, tuy nhiên nếu bạn không biết thực hiện mấy bước này thì bạn có thể nhờ người am hiểu về WordPress giúp đỡ hoặc bạn có thể nhờ kỹ thuật viên bên cung cấp hosting trợ giúp.

Nếu bạn vẫn không lấy lại được mật khẩu cho WordPress nữa thì hãy để lại bình luận cho bài viết này nhé, mình sẽ sẵn sàng giúp đỡ bạn giải quyết vấn đề này.

Theo: expertvn.com

The post Cách khôi phục mật khẩu WordPress một cách đơn giản appeared first on Sửa Máy Nhanh.