Bảo mật WordPress: Hướng dẫn, phòng thủ và phân tích lỗ hổng

Ảnh minh họa: Solid Security – Plugin bảo mật

Solid Security – Plugin bảo mật cơ bản, hiệu quả cho WordPress

21/05/2021 0 9 2 phút đọc

Solid Security (trước đây là iThemes Security) là một trong những plugin bảo mật phổ biến nhất dành cho WordPress. Với phiên bản miễn phí (Basic), bạn đã có đầy đủ các tính năng bảo...

Ảnh minh họa: Chạy stack cũ: vì sao website

Chạy stack cũ: vì sao website của bạn là mồi ngon cho hacker

01/01/2025 0 3 4 phút đọc

Nhiều admin giữ nguyên stack cũ (PHP 7.x, MySQL bản lỗi thời, Apache/Nginx chưa update) với lý do “đang chạy ổn thì không cần nâng”. Nhưng sự thật phũ phàng là: chạy stack cũ đồng...

Top kỹ thuật tấn công web phổ biến năm 2025 mà nhiều người vẫn chủ quan

11/02/2025 0 6 5 phút đọc

Năm 2025, các kỹ thuật tấn công web không biến mất mà ngày càng tinh vi hơn. Điều đáng nói là phần lớn rủi ro vẫn xuất phát từ những sai sót cơ bản, dễ...

Ảnh minh họa: Bảo mật trang WordPress không cần

Bảo mật trang WordPress không cần plugin – Những cấu hình đáng áp dụng

15/04/2025 0 34 3 phút đọc

Bạn không cần cài thêm plugin nặng nề để bảo mật WordPress. Một số chỉnh sửa nhỏ trong .htaccess (Apache) hoặc cấu hình Nginx có thể tăng cường bảo mật đáng kể mà không làm...

Ảnh minh họa: Code smell trong plugin WordPress: nhìn

Code smell trong plugin WordPress: nhìn qua biết ngay sắp bị hack

11/05/2025 0 6 4 phút đọc

Không phải lúc nào plugin WordPress cũng bị hack từ lỗ hổng zero-day. Nhiều khi chính code “bốc mùi” đã đủ để mở đường cho kẻ tấn công. Một số đoạn code nhìn qua là...

Ảnh minh họa: Bảo mật REST API trong WordPress:

Bảo mật REST API trong WordPress: Hiểu đúng, làm gọn, tránh thảm họa nửa mùa

06/06/2025 0 16 7 phút đọc

REST API là nền tảng mạnh mẽ của WordPress hiện đại, cho phép frontend giao tiếp trực tiếp với backend qua các endpoint rõ ràng. Nhưng sức mạnh đó cũng đi kèm rủi ro –...

Ảnh minh họa: Zero-day và WordPress: bạn không update

Zero-day và WordPress: bạn không update thì khác gì mở cửa chào hacker

11/06/2025 0 5 4 phút đọc

Zero-day là loại lỗ hổng chưa có bản vá chính thức. Hacker khai thác nó trước khi cộng đồng kịp phản ứng. Với WordPress, tình hình càng nguy hiểm hơn vì hệ sinh thái plugin...

Ảnh minh họa: Top 5 lỗi bảo mật WordPress

Top 5 lỗi bảo mật WordPress mà dev hay chủ quan

11/08/2025 0 11 3 phút đọc

WordPress chiếm hơn 40% thị phần web, và điều đó cũng khiến nó trở thành mục tiêu quen thuộc của hacker. Nhiều lỗi bảo mật xuất hiện không phải do lỗ hổng nền tảng, mà...

Ảnh minh họa: SQL Injection năm 2025: kỹ thuật

SQL Injection năm 2025: kỹ thuật mới và cách phòng thủ thực tế

15/08/2025 0 13 6 phút đọc

SQL Injection (SQLi) vẫn là một trong những lỗ hổng nguy hiểm nhất trên ứng dụng web: kẻ tấn công có thể truy xuất, thay đổi, hoặc xóa dữ liệu nhạy cảm nếu kiểm soát...

Ảnh minh họa: Nonce trong WordPress: Khi nào cần,

Nonce trong WordPress: Khi nào cần, khi nào không?

25/08/2025 0 11 5 phút đọc

Trong thế giới WordPress, nonce (Number used ONCE) là một cơ chế bảo mật nhỏ nhưng cực kỳ quan trọng. Nó giúp ngăn chặn Cross-Site Request Forgery (CSRF) – các cuộc tấn công mà kẻ...

Ảnh minh họa: Cảnh báo sớm: log nào quan

Cảnh báo sớm: log nào quan trọng nhất trong WordPress + server

01/09/2025 0 5 3 phút đọc

Trong vận hành WordPress, log là công cụ quan trọng để phát hiện sự cố trước khi site sập. Tuy nhiên, không phải log nào cũng cần giám sát liên tục. Quá nhiều log chỉ...

Ảnh minh họa: Cloudflare Rate Limiting: bảo vệ WordPress

Cloudflare Rate Limiting: bảo vệ WordPress login và REST API trước brute force

07/09/2025 0 15 3 phút đọc

Một trong những kiểu tấn công phổ biến nhất vào WordPress là brute force – hacker gửi hàng ngàn request đến trang đăng nhập hoặc REST API để dò mật khẩu và tìm lỗ hổng....

Ảnh minh họa: IDOR trong WordPress plugin/theme: Lỗ hổng

IDOR trong WordPress plugin/theme: Lỗ hổng “ngầm” nhưng cực nguy hiểm

12/09/2025 0 18 5 phút đọc

IDOR là gì? IDOR (Insecure Direct Object Reference) xảy ra khi ứng dụng cho phép truy cập trực tiếp đến một tài nguyên (ví dụ: post ID, file ID, user ID) chỉ dựa vào tham...

Ảnh minh họa: Cách WordPress bị tấn công và

Cách WordPress bị tấn công và cách phòng thủ thực tế trong production

04/10/2025 0 8 7 phút đọc

WordPress là nền tảng CMS phổ biến nhất thế giới, chiếm hơn 40% số website toàn cầu. Chính vì mức độ phổ biến này, nó cũng trở thành mục tiêu hàng đầu của các cuộc...

Ảnh minh họa: Authy: Giải pháp 2FA miễn phí,

Authy: Giải pháp 2FA miễn phí, tiện lợi và an toàn cho người dùng hiện đại

08/10/2025 0 11 8 phút đọc

Authy là ứng dụng tạo mã xác thực hai lớp (2FA) giúp bảo vệ tài khoản trực tuyến trước rủi ro đánh cắp mật khẩu. Nhờ đồng bộ đa thiết bị và sao lưu đám...

Ảnh minh họa: Hướng dẫn chặn đăng ký Username

Hướng dẫn chặn đăng ký Username không hợp lệ trong WordPress và WooCommerce

10/10/2025 0 19 4 phút đọc

Trong quá trình quản lý website WordPress, việc người dùng cố tình đăng ký tài khoản với những tên nhạy cảm như admin, support hoặc webmaster có thể gây rủi ro về bảo mật và...

Ảnh minh họa: Tạo middleware chống CSRF và XSS

Tạo middleware chống CSRF và XSS từ zero (PHP thuần, có ví dụ đầy đủ)

15/10/2025 0 8 9 phút đọc

Bài này hướng dẫn bạn tự viết middleware chống CSRF và XSS cho ứng dụng PHP thuần, không phụ thuộc framework. Ta sẽ dựng kiến trúc tối giản gồm router, middleware, và các helper: sinh...

Ảnh minh họa: Tích hợp Cloudflare Turnstile trong PHP:

Tích hợp Cloudflare Turnstile trong PHP: Một hàm xác thực dùng ngay

25/10/2025 0 8 7 phút đọc

Bạn muốn chặn bot đăng ký nhưng không dùng WordPress hay framework? Bài viết này cung cấp một hàm PHP thuần để xác thực Cloudflare Turnstile kèm ví dụ form HTML + JS. Chỉ cần...

Ảnh minh họa: Cloudflare WAF cho WordPress tại Việt

Cloudflare WAF cho WordPress tại Việt Nam: chặn POST tới wp-login.php & XML-RPC từ ngoài VN

27/10/2025 0 26 6 phút đọc

Bài viết này giới thiệu một quy tắc Cloudflare WAF đơn giản mà “đánh trúng” hai bề mặt tấn công phổ biến nhất của WordPress: wp-login.php và xmlrpc.php. Chiến lược: chỉ cho phép yêu cầu...

Ảnh minh họa: Zero Trust WordPress: bảo vệ trang

Zero Trust WordPress: bảo vệ trang quản trị bằng Cloudflare Access

27/10/2025 0 29 6 phút đọc

Trang quản trị /wp-admin và /wp-login.php luôn là mục tiêu tấn công hàng đầu của WordPress. Hàng nghìn bot tự động liên tục thử đăng nhập, dò mật khẩu hoặc khai thác lỗ hổng plugin....

Bảo mật WordPress

Init Toolbox

Đăng nhập