Tổng hợp kiến thức và công cụ bảo mật website WordPress: chống tấn công, bảo vệ tài khoản, hạn chế spam, sử dụng SSL, plugin bảo mật hiệu quả. Cập nhật liên tục, dễ áp dụng.
Privilege Escalation (Leo quyền) là một trong những kiểu tấn công nguy hiểm nhất trong WordPress. Hacker không cần phá mật khẩu admin, không cần hack server – chỉ cần một lỗ hổng nhỏ trong...
Clickjacking là một trong những kỹ thuật tấn công nguy hiểm và tinh vi nhất, cho phép hacker “đánh lừa” người dùng click vào những thứ họ không hề hay biết. Trong WordPress, clickjacking có...
File Upload Vulnerability là một trong những lỗ hổng nguy hiểm nhất trong WordPress vì nó có thể dẫn đến RCE (Remote Code Execution). Chỉ cần hacker upload được một file PHP lên server, game...
CSRF (Cross-Site Request Forgery) là một trong những lỗ hổng phổ biến và nguy hiểm nhất trong WordPress. Hacker có thể khiến người dùng – đặc biệt là admin – thực hiện các hành động...
Open Redirect là một trong những lỗ hổng thường bị xem nhẹ nhất nhưng lại cực kỳ nguy hiểm trong WordPress. Chỉ cần một đường dẫn redirect không được kiểm tra đúng cách, hacker có...
XSS (Cross-Site Scripting) là một trong những lỗ hổng phổ biến nhất trong plugin và theme WordPress. Ngay cả những developer giàu kinh nghiệm đôi khi cũng vô tình tạo ra XSS. Bài viết này...
Phần lớn server bị hack không phải vì hacker quá giỏi, mà vì SSH cấu hình mặc định: cổng 22 mở toang, root login bật, password dễ đoán. Những bot quét port trên internet chỉ...
Trang quản trị /wp-admin và /wp-login.php luôn là mục tiêu tấn công hàng đầu của WordPress. Hàng nghìn bot tự động liên tục thử đăng nhập, dò mật khẩu hoặc khai thác lỗ hổng plugin....
Bài viết này giới thiệu một quy tắc Cloudflare WAF đơn giản mà “đánh trúng” hai bề mặt tấn công phổ biến nhất của WordPress: wp-login.php và xmlrpc.php. Chiến lược: chỉ cho phép yêu cầu...
Bạn muốn chặn bot đăng ký nhưng không dùng WordPress hay framework? Bài viết này cung cấp một hàm PHP thuần để xác thực Cloudflare Turnstile kèm ví dụ form HTML + JS. Chỉ cần...
Bài này hướng dẫn bạn tự viết middleware chống CSRF và XSS cho ứng dụng PHP thuần, không phụ thuộc framework. Ta sẽ dựng kiến trúc tối giản gồm router, middleware, và các helper: sinh...
Gần đây, Init HTML ghi nhận nhiều trường hợp người dùng bị lừa đảo, mua phải “theme giả” hoặc bản phân phối không chính thức của Init Manga. Nhằm bảo vệ quyền lợi khách hàng...
Trong quá trình quản lý website WordPress, việc người dùng cố tình đăng ký tài khoản với những tên nhạy cảm như admin, support hoặc webmaster có thể gây rủi ro về bảo mật và...
Authy là ứng dụng tạo mã xác thực hai lớp (2FA) giúp bảo vệ tài khoản trực tuyến trước rủi ro đánh cắp mật khẩu. Nhờ đồng bộ đa thiết bị và sao lưu đám...
Nếu bạn đã chán việc Chrome ăn RAM như quái vật, Edge liên tục năn nỉ “hãy đặt tôi làm mặc định đi”, hay Safari khóa bạn trong hệ sinh thái của Apple… thì Brave...
WordPress là nền tảng CMS phổ biến nhất thế giới, chiếm hơn 40% số website toàn cầu. Chính vì mức độ phổ biến này, nó cũng trở thành mục tiêu hàng đầu của các cuộc...
Nhiều quản trị viên thường nghĩ rằng bật chế độ Under Attack trong Cloudflare là đủ để chống lại DDoS. Thực tế, đây chỉ là một lớp bảo vệ tạm thời bằng JS Challenge hoặc...
IDOR là gì? IDOR (Insecure Direct Object Reference) xảy ra khi ứng dụng cho phép truy cập trực tiếp đến một tài nguyên (ví dụ: post ID, file ID, user ID) chỉ dựa vào tham...
Cộng đồng UX/UI có một “từ điển ngầm” khá thú vị: những cụm từ châm biếm dùng để gọi tên các chiêu trò lừa hướng người dùng. Chúng giúp chúng ta nói thẳng điều khó...
Công cụ trực tuyến
Nhấn Ctrl + \ trên máy tính, hoặc vuốt sang trái ở bất kỳ đâu trên mobile.
