1. WP Security Scan

Đây là một plugin có thể quét và rà soát toàn bộ hệ thống blog của bạn để tìm ra những vấn đề liên quan đến bảo mật, sau đó plugin sẽ đưa ra những biện pháp cũng như lời khuyên để bạn tối ưu.

Download.

2. Bảo vệ thư mục plugins

Một hacker có thể dễ dàng đoạt quyền truy cập vào blog của bạn bằng cách lợi dụng những điểm yếu, lỗ hỏng của các plugin mà bạn đang dùng. Cách dễ nhất để hacker biết bạn đang dùng plugin gì là hacker sẽ truy cập vào thư mục http://ten-blog.com/wp-content/plugins/. Để ngăn chặn việc này, rất đơn giản, bạn chỉ việc đặt một file index.html trắng vào thư mục đó là xong.
Chú ý: từ WordPress 2.8 trở đi thì việc này đã được làm sẵn, bạn khỏi làm cũng được.

3. Nâng cấp WordPress

Cái này thì cực kỳ dễ làm nhưng đôi khi bạn cũng phải tỏ ra thận trọng, đắn đo trước khi bấm nút nâng cấp. Một lời khuyên là bạn đừng vội nâng cấp lên phiên bản mới ra lò (như WP 2.8) mà hãy kiên nhẫn chờ đợi đến bản fix lỗi kế tiếp (như WP 2.8.1) bởi vì những phiên bản đầu thường chưa ổn định mặc dù đã qua giai đoạn beta, tốt nhất là chờ cộng đồng người dùng phát hiện ra lỗi rồi hãy xài bản fix, bạn sẽ tránh được những phiền phức không đáng có.

4. Chọn một password "chất lượng"

Điều này thì tất nhiên, khỏi cần nói ai cũng biết, password càng dài càng phức tạp thì càng an toàn. Đừng nên dùng chung một password cho tất cả các tài khoản, bạn nên chọn password dễ nhớ nhưng không quá đơn giản, kết hợp chữ HOA - chữ thường với con số và các ký tự đặc biệt sẽ làm cho password của bạn trở nên mạnh hơn.

5. Đổi tên đăng nhập của Admin

Mặc định trong WordPress có một tài khoản đặc biệt (có toàn quyền quản trị) với tên đăng nhập là admin. Hầu hết người dùng đều để nguyên tên đó nhưng họ đâu biết rằng nếu để như vậy thì công việc còn lại của hacker chỉ là đoán password rồi xâm nhập vào blog của họ. Do đó, bạn nên thay đổi tên admin này thành tên khác để hacker nếu có dò password thì phải dò cả tên đăng nhập nữa. Tôi đã viết một bài về vụ này, bạn có thể xem tại đây.

6. Bảo vệ file wp-config.php

File wp-config.php ở thư mục gốc của WordPress chứa thông tin về database vì vậy nó cần được bảo vệ.
Bạn hãy thêm đoạn code sau vào file .htaccess để bảo vệ

# protect wpconfig.php
 
order allow,deny from all

Xem thêm - Nometech.com

7. Giấu phiên bản của WordPress

Đầu tiên, bạn mở file header.php trong thư mục chứa theme mà bạn đang dùng và xóa dòng meta (có dạng <meta name="generator"). Sau đó, bạn thêm dòng code sau vào file functions.php của theme nữa là xong:

<?php remove_action('wp_header', 'wp_generator'); ?>

Giải thích: bạn cần làm điều này để không cho người xem biết được bạn đang dùng phiên bản WordPress nào bởi vì hacker có thể lợi dụng thông tin này để tấn công blog của bạn.

Xem thêm - ProBlogDesign

8. Giới hạn số lần nhập password sai khi đăng nhập

Một biện pháp chống dò password là dùng plugin Login LockDown. Nó có nhiệm vụ khóa không cho bạn hay bất cứ ai nhập password sai quá số lần qui định. Bạn có thể chọn số lần nhập sai tối đa cho người dùng trước khi họ bị khóa trong trang tùy chọn của plugin.

Download

9. Lọc luồn truy cập WP-Admin bằng IP

Nếu bạn dùng nhiều máy tính khác nhau hoặc dùng IP động để quản lý blog thì bạn không nên dùng cách này bởi vì nó chỉ cho phép bạn đăng nhập khi bạn đến từ một IP hợp lệ, tuy nhiên nếu có điều kiện thì bạn nên dùng cách này bởi vì tính bảo mật của nó rất cao.
Cách làm như sau: bạn chỉ việc thêm đoạn code dưới đây vào file .htaccess ở thư mục gốc của WordPress

order deny, allow
allow from a.b.c.d. #your static ip
deny from all

Xem thêm - Nometech

10. Đăng nhập thông qua SSL

Nếu host của bạn có "SSL certificate" thì bạn có thể dùng thêm plugin dưới đây để đăng nhập bằng SSL, kể từ đó mọi thông tin trao đổi giữa máy tính với server của bạn sẽ được mã hóa, độ an toàn được tăng lên.

Download

Nguồn: catswhocode.com

Ngoài nhiệm vụ thể hiện cảm xúc, smilies còn làm tăng thêm tính sinh động, hài hước cho ý kiến của bạn, bởi thế nên smilies ngày càng phổ biến, bạn vào 10 blog thì hết 8 blog có sử dụng smilies, trong đó có blog của tôi.

Quay lại với WordPress của chúng ta, tuy được xếp hạng ở top đầu trong số các blog platform hiện nay nhưng WordPress lại có hệ thống smilies khá ít (khoảng 22 icon) và không cho phép người dùng mở rộng thêm. Nếu đem so sánh thì bạn sẽ thấy smilies của WordPress không sinh động và đẹp mắt bằng smilies của các ứng dụng chat (IM), trong khi người dùng thì lại rất hay sử dụng smilies của IM nên có thể nói đây là một yếu điểm của WordPress vì đã không cho phép người dùng tùy biến smilies.

Nhưng không sao, vẫn có cách các bạn ạ. Sau một thời gian nghiên cứu về cách hiển thị smilies trong WordPress, tôi đã tìm ra cách khắc phục nhược điểm trên, nói đúng hơn là cách tùy biến smilies theo ý riêng mà không cần dùng đến plugin \:D/ .

Cách làm rất đơn giản, đảm bảo bạn chỉ mất khoảng 15' là xong ngay. Còn bây giờ mời bạn sang trang 2 để cùng tôi tìm hiểu tiếp nhé!

Bản thân tôi trước đây cũng không quan tâm đến chuyện này, bởi dù có quan tâm hay không thì blog của mình vẫn chạy bình thường, đâu có bị trục trặc gì mà phải vọc phá chi cho tốn thời gian.

Nhưng tình cờ một hôm tôi vào phpMyAdmin để backup database cho blog thì tôi phát hiện ra rằng: có rất nhiều bài viết cùng 'post_title', 'post_content', 'post_author' nhưng lại khác 'ID', 'post_date' và 'post_type' trong table 'wp_posts'. Chỉ cần dùng một câu lệnh SQL đơn giản dưới đây là bạn sẽ thấy được ngay: (nhớ thay chữ 'Hello World!' bằng tên một bài viết nào đó trên blog của bạn)

1
2
3

SELECT ID, post_title, post_author, post_content, post_date, post_type
FROM wp_posts
WHERE post_title = 'Hello World!'

Xem qua một loạt các bài viết như vậy, tôi mới nhận thấy rằng: trong số những bài trùng lặp ấy, chỉ có một bài duy nhất có 'post_type' là 'post' (hoặc 'page' nếu đó là trang) là bài viết đang được publish, còn lại là attachment và revision <= cái mà chúng ta đang nói đến.

Vậy revision là gì và tại sao WordPress lại tạo ra chúng? Câu trả lời sẽ được giải đáp ở trang 2 của bài viết này.