Trang chủ

Sử dụng PHP class để xác định địa điểm ( use PHP class to detect client location)

October 22, 2019 by Nguyễn Duy Nhân

Không biết các dev khác thế nào nhưng vói mình thì việc cần xác định quốc gia của người dùng thông qua địa chỉ IP là cực kì quan trọng. Mục đích có thể là để tìm kiếm ngôn ngữ phù hợp nhất, tìm cửa hàng gần vị trí của người dùng trên quốc gia (thông qua kinh độ, vĩ độ), xác định giới hạn phục vụ/ngăn chặn những quốc gia bạn không muốn website mình phục vụ hay đơn giản hoá thao tác nhập liệu của người dùng như tự động lựa chọn quốc gia, vùng miền tương ứng…
[Read more…]

Làm nút loading bằng CCS

October 15, 2019 by Nguyễn Duy Nhân

Một nút thông báo mỗi khi website bạn đang tải hẳn là rất cần thiết và dễ làm với một hình ảnh phải không. Nhưng nếu bạn có thể xây dựng nó bằng một class thì nó sẽ linh động hơn rất nhiều và dễ sử dụng hơn kha khá đó. [Read more…]

Site WordPress dính backdoor, khắc phục như thế nào ?

July 20, 2019 by Nguyễn Duy Nhân

Những bạn nào đã từng sử dụng WordPress chắc không lạ gì câu chuyện website của bạn bị mấy anh “hác cờ” ở tận trời nao đính kèm cho ít bài viết có chèn backlink. Đa phần các trường hợp bạn tự dọn dẹp những bài viết thừa thải, thay đổi mật khẩu và sau đó mọi thứ lại như cũ.

Thông thường, kèm với việc hack, hacker sẽ khuyến mãi thêm một backdoor để có thể quay lại và phá hoại dài lâu hơn. Trong bài viết này, mình sẽ hướng dẫn các bạn dọn dẹp lại hệ thống sau những biến cố như vậy.

Backdoor là gì ?

Backdoor (nôm na là “cửa sau”) là một phương pháp vượt qua những chứng thực, xác thực bảo mật thông thường giúp người khác có khả năng truy cập vào hệ thống của bạn từ xa. Bằng cách này, họ có thể xây nhập vào website của bạn ngay cả khi bạn đã xóa plugin có chứa lỗi. Vì vậy, trang web của bạn chỉ thực sự được an toàn sau khi bạn dọn dẹp xong mớ backdoor này luôn chứ không đơn giản là fix lỗi bằng cách update các plugin hoặc theme lỗi.

Có nhiều dạng backdoor khác nhau, một số chỉ đơn giản là tạo ra các user được phân quyền admin cho phép kẻ tấn công truy cập vào Dashboard với quyền cao nhất, số khác có khả năng thực thi các lệnh PHP từ đó khai thác và tấn công cao hơn, số khác nữa chỉ đơn giản là một zoombie cho phép gửi email từ máy chủ của bạn hoặc thực thi các lệnh SQL theo ý muốn kẻ tấn công.

Backdoor thường nằm ở đâu ?

Backdoor trong hệ thống WordPress thường được gửi tặng kèm ở những vị trí sau :

Theme: hầu hết người dùng đều có nhu cầu thay đổi theme website theo sở thích của mình, vì vậy theme là một nơi tuyệt vời để đính kèm backdoor và đưa vào hệ thống của bạn. Đây cũng là nơi mà bạn rất ít khi thực hiện việc cập nhật vì sợ sẽ mất đi những thay đổi của riêng bạn khi cập nhật. Trong đa phần các trường hợp, lời khuyên của tôi là bạn nên xóa tất cả các theme nào không sử dụng nữa đi.
Plugin: đây cũng là một nơi rất tuyệt vời để chứa mã độc bởi 3 lý do sau: Thứ nhất, người dùng đa phần không thể đọc được chúng vì phải am hiểu mã lập trình PHP. Thứ hai, mọi người không thường xuyên nâng cấp plugin, vì vậy chúng vẫn sẽ tồn tại trong quá trình bạn nâng cấp WordPress. Thứ ba, có rất nhiều plugin chứa lỗ hổng mà hacker có thể dễ dàng khai thác.
Thư mục Uploads: là một blogger viết bài thường xuyên, nhưng bạn sẽ rất ít khi chú ý đến thư mục upload hình ảnh của mình – bởi vì với bạn đơn giản là bạn chỉ tải lên hình ảnh mà thôi. Ngoài ra, thư mục upload chứa hàng ngàn hình ảnh nên việc kiểm tra nó chưa bao giờ dễ dàng. Thư mục Upload lại là một nơi được phân quyền cho phép ghi, vì vậy nó trở thành chỗ rất tuyệt để hacker tải backdoor lên mà bạn không để ý hoặc dọn dẹp.
wp-config.php: vị trí này thì không cần phải nói nhiều nữa.
Thư mục wp-includes/: đây là một trong những thư mục mà mình thường tìm kiếm sau khi đã xóa backdoor ở những vị trí trên. Một hacker không bao giờ chỉ để lại một con backdoor vì chúng muốn đảm bảo quyền truy cập cho mình sau khi đã có thể tấn công được vào hệ thống của bạn. Vì vậy, chúng sẽ tải lên thêm một vài bản sao ở một vài vị trí khác.

Và trong hầu hết các trường hợp mà mình đã gặp phải, ngoài một số tên lạ mà bạn có thể dễ dàng nhận ra “kẻ không mời”, một số hacker cũng cố gắng đặt tên file sao cho trùng hoặc gần giống với các tên file trong hệ thống WordPress nhằm qua mặt bạn. Ví dụ như WP có wp-includes/user.php nhưng sẽ không có wp-includes/wp-user.php – đừng để bị chúng nó đánh lừa.

Nó cũng có thể là một tên nào đó khiến bạn nhầm lẫn về phiên bản như wp-content.old.tmp, data.php, php5.php… hoặc bất kỳ tên nào khác có thể khiến bạn hiểu nhầm về tác dụng.

Giờ có thể bạn sẽ cho rằng WordPress thật thiếu an toàn – bạn đã sai. Nên nhớ rằng backdoor chỉ là bước thứ hai trong hành trình hack website của bạn. Bước đầu tiên sẽ là khai thác các lỗ hổng bảo mật, sai sót của bạn hoặc từ bên thứ ba (như download theme, plugin từ các nguồn không đảm bảo), nâng cấp đặc quyền và chiếm quyền truy cập. Sau đó mới đến việc upload backdoor để giữ quyền truy cập dài lâu.

Trong phiên bản WordPress mới nhất, chúng ta chưa phát hiện bất kỳ vấn đề bảo mật nào đáng lưu tâm cả. Vì vậy, hãy cẩn thận với những gì bạn tải lên từ bên thứ ba thay vì WordPress.

Dọn dẹp Backdoor như thế nào ?

Giờ bạn đã biết backdoor là gì ? thì việc tiếp theo mà chúng ta cần làm sau khi chiếm lại quyền điều khiển website đó là dọn dẹp backdoor. Nhưng sự thật là không dễ dàng gì dọn sạch chúng – phần khó khăn nhất là tìm ra chúng.

Một cách an toàn và tiết kiệm nhất là mình khuyên bạn hãy sử dụng plugin Sucuri Security. Nó có bản trả phí nhưng thôi xài tạm miễn phí đi cho lành và bớt tốn kém.

Tính năng hữu ích của plugin này là kiểm tra xem những file nào trên hệ thống WordPress của bạn mới bị thay đổi trong thời gian gần đây. Điều này giúp bạn dễ dàng tìm kiếm những vị trí hoặc file có khả năng là backdoor.

Bạn cũng có thể sử dụng Exploit Scanner, tuy nhiên bạn phải biết rằng plugin có sử dụng base64 và eval() nên đôi khi nó trả về những lỗi khá ngớ ngẩn. Nếu bạn không phải là nhà phát triển web, thật sự rất khó cho bạn phân biệt được những đoạn mã ẩn chứa nguy hiểm giữa hàng ngàn mã lệnh.

Điều tốt nhất và nên làm nhất là bạn nên xóa toàn bộ thư mục plugins/ và tiến hành cài đặt lại những gì cần thiết. Đây là cách tốt nhất và là cách tiết kiệm thời gian nhất để dọn dẹp.

Tìm kiếm và dọn dẹp thư mục uploads/

Có một số plugin cho phép bạn tim kiếm các tệp tin backdoor trong thư mục upload, nhưng mình thường sử dụng SSH vì mình đã quen với nó:

find uploads -name "*.php" -print

Lệnh trên sẽ tìm kiếm tất cả các tệp tin có đuôi .php trong thư mục upload – không có bất kỳ một lý do nào để một tệp tin thực thi php tồn tại trong thư mục mà đáng ra bạn sử dụng để upload hình ảnh lên website. Vì vậy, nếu có tồn tại bất kỳ tệp tin nào như vậy, nó cần phải bị xóa bỏ ngay lập tức.

Xóa tất cả các theme không sử dụng đến

Rất nhiều theme không sử dụng đến có thể chứa lỗi bảo mật, hoặc bị chèn backdoor sau khi bị tấn công. Hãy xóa chúng đi, ngay cả các theme mặc định của WordPress. Đơn giản là nó giúp bạn tiết kiệm được khối thời gian kiểm tra và đồng thời loại bỏ luôn nguy cơ tiềm ẩn mà không mất quá nhiều thời gian. Đằng nào thì bạn cũng không có ý định sử dụng chúng nữa.

Tệp tin .htaccess

Đôi lúc hacker sẽ chèn một số mã chuyển hướng vào file .htaccess để điều hướng website hoặc một vài đường link nào đó theo ý đồ của chúng. Hãy xóa bỏ chúng hoặc đơn giản hơn là bạn vào Setting > Permalink và tiến hành save lại để WordPress tự tạo ra file .htaccess mới.

wp-config.php

So sánh file wp-config.php của bạn với file wp-config-sample.php. Nếu bạn phát hiện ra thứ gì đó sai hoặc đặt không đúng chỗ, hãy loại bỏ chúng hoặc update lại file này dựa trên file wp-config-sample.php

Kiểm tra Database

Một hacker thông minh sẽ không bao giờ tạo ra chỉ một hoặc một vài điểm mà chúng có thể truy cập. Bạn cần kiểm tra database (cơ sở dữ liệu) của mình để chắn chắn rằng mình an toàn. Tin tặc có thể sẽ tạo ra một tài khoản quản trị mới, chèn các liên kết vào bài viết hay chèn nhiều bài viết chứa liên kết trong database. Nếu kiểm tra database mà bạn thấy nhiều hơn số user bạn đã tạo, có thể bạn đã bị hack.

Việc này có thể không dễ dàng với một số bạn, thật may là có một vài plugin cho phép bạn quét và kiểm tra database như Exploit Scanner hay Sucuri(bản có trả phí) – hãy tận dụng những tính năng có sẵn đó nếu bạn không thể tự mình thực hiện.

Kiểm tra lại lần nữa

Bạn nghĩ rằng đã dọn dẹp sạch sẽ ?

Hãy thử mở trình duyệt ẩn danh (chưa đăng nhập, không cache, không cookie…). Có thể mục tiêu của hacker không phải là bạn mà là công cụ tìm kiếm. Nếu kiểm tra lại mà vẫn không thấy gì khả nghi nữa, bạn có thể an tâm.

Upgrade PHP với DirectAdmin – Cập nhật phiên bản PHP

June 21, 2019 by Nguyễn Duy Nhân

Đến thời điểm này, PHP đã update phiên bản lên PHP 7.4. Việc nâng cấp lên PHP phiên bản mới là việc cần thiết để tận dụng triệt để những thứ hay ho mà PHP 7 cung cấp cho bạn. Bài viết này sẽ giúp bạn nâng cấp lên PHP một cách dễ dàng với các bạn sử dụng Direct Admin.

Vậy PHP 7.4 có gì hay ? Hãy xem một vài thứ PHP 7.4 có gì mới cho chúng ta:

Tốc độ PHP7 nhanh gấp hai lần
Chỉ rõ kiểu dữ liệu cho biến
Xác định kiểu trả về cho hàm
Có nhiều toán tử mới
Bổ sung Anonymous Class
Xóa đi một số extension:

Về chi tiết, bạn có thể đọc bài viết của freetuts.net tại đây.

Cách thay đổi phiên bản PHP trong DirectAdmin nên 5.5 hoặc PHP 7

Chúng ta sử dụng Putty hoặc bất kỳ trình kết nối nào có thể SSH được:

cd /usr/local/directadmin/custombuild
./build set php1_release 5.5
./build update
./build php n
./build rewrite_confs //Viết lại conf

Tương tự, chúng ta có thể lên PHP bằng cách sử dụng custombuild 2.0 như sau

cd /usr/local/directadmin/custombuild
./build set custombuild 2.0
./build set php1_release 7.0
./build set apache_ver 2.4
./build update
./build php d 
./build rewrite_confs //Viết lại conf

Seedcom có “luộc” database của khách hàng hay không ?

April 8, 2017 by Nguyễn Duy Nhân

Tôi định không viết, không nói về những vấn đề nóng nữa nhưng cảm thấy khó chịu trong người đồng thời cũng muốn chia sẻ ít nhiều về chuyện này nên tôi viết bài viết này. Tất cả những gì tôi viết ngay sau đây xin nói rõ là ý kiến cá nhân của tôi, không đại diện cho bất kỳ ai, bất kỳ tổ chức nào. Tôi cũng không có bất kỳ liên hệ nào với Seedcom và cả Dân Trí Soft, hoặc các cá nhân liên quan đến các doanh nghiệp này. [Read more…]

Công cụ thiết kế quảng cáo FaceBook Ads tuyệt vời với 20% Text

January 14, 2017 by Nguyễn Duy Nhân

Tất cả chúng ta đều biết FaceBook có một quy định dành cho hình ảnh khi chạy quảng cáo: nội dung chữ chỉ được chiếm không quá 20% diện tích ảnh quảng cáo. Quy định này là ép buộc nhà quảng cáo phải tập trung nhiều hơn vào hình ảnh quảng cáo để tạo sự quan tâm thay vì tập trung nội dung chữ. Hình ảnh của bạn có thể không đạt chuẩn này: không sao, nhưng quảng cáo của bạn sẽ bị giới hạn tiếp cận. [Read more…]

SỐC: NHỮNG GÌ TECH NÓI VỀ MARKETING ĐỀU SAI BÉT ! – PHẦN 3

November 15, 2016 by Nguyễn Duy Nhân

Chúng ta đã nói về những điều sai – đúng trong tiếp thị trực tuyến và lý do các digital marketer nghĩ sai về thế giới tiếp thị. Trong phần này chúng ta rút ra bài học cần thiết và làm thế nào để phát triển bản thân nếu bạn là mọt digital marketer. Câu chuyện dưới đây cũng là một kinh nghiệm cho những người làm startup. [Read more…]

SỐC: NHỮNG GÌ TECH NÓI VỀ MARKETING ĐỀU SAI BÉT ! – PHẦN 2

November 11, 2016 by Nguyễn Duy Nhân

Chúng ta tiếp tục nói về Content Marketing và để bắt đầu cho phần này, tôi trích dẫn lại đoạn cuối của phần trước Content marketing đã được sinh ra và đến ngay sau khi các Online Marketer thốt lên một câu nói ngu ngốc nhất từng tồn tại trong suốt lịch sử ngành tiếp thị:

“Nội dung là vua !!!”

Bất kỳ ai bị thuyết phục bởi tuyên bố này đều chứng tỏ một điều: họ không làm việc trong ngành tiếp thị.

Content is King

Nội dung luôn luôn và chắc chắn là rất quan trọng. Đó có thể là một mẫu quảng cáo beer trên TV, một đoạn video gây sốc của một diễn viên(được thuê) lan truyền trên FaceBook, có thể là một nội dung được viết và biên tập tỉ mĩ hoặc một hình ảnh hay và ý nghĩa có khả năng tồn tại hàng chục năm trên Instagram mà vẫn được chia sẻ.

Nếu ngành công nghiệp beer không đi xuống(hoặc lên), điều đó liên quan gì đến quảng cáo? Nếu diễn viên đã nói ở trên không công khai video hoặc video không thu hút được người xem – chẳng có gì để nói. Và nếu như ảnh của bạn không đủ “like”, “share”, “comment” – chúng ta thật sự không có gì để bàn nhiều đến câu chuyện Marketing.

Marketing gắn liền với sự sáng tạo thông điệp, chèn thông điệp vào các đoạn nội dung và truyền tải nó đến người dùng là một nỗ lực xây dựng thương hiệu, tạo ra nhu cầu và đưa người dùng tiếp cận phễu bán hàng, các kênh phân phối. Điều này tới ngày nay vẫn đúng, chỉ có một sự khác biệt duy nhất là chúng ta có những công cụ tiếp cận mới, các kênh truyền thông sẵn có như Internet và cả thiết bị di động.

Trong những năm 1950, một nhà tiếp thị có thể nghĩ ra thông điệp, đưa nó vào một mẫu quảng cáo và truyền tải nó đến người dùng thông qua một tờ báo giấy. Ngày nay, một nhà tiếp thị cũng nghĩ ra thông điệp về một sản phẩm, đưa thông điệp đó vào một đoạn video và upload nó lên YouTube.

Các kênh truyền thông có thể thay đổi nhưng quá trình vẫn giữ nguyên. Những việc mà đội “Content marketer” đang làm thật sự chẳng khác gì với các đội sáng tạo nội dung đã và đang làm suốt mấy thập kỷ gần đây. Trong một cộng đồng SEO, hiện có nhiều công cụ và phần mềm online marketing, digital marketing đã ra đời. Nhiều Agency đã bắt đầu cảm nhận được các tác động tiêu cực của các thuật ngữ mới và như bạn thấy thời gian gần đây: họ tìm cách định vị lại thương hiệu, tách mình từ SEO chuyển sang hướng markerting.

Nếu các nhà tiếp thị không thay đổi suy nghĩ của họ, họ sẽ tiếp tục tạo ra thứ gọi là content như một sản phẩm phụ trong môi trường kinh doanh và spam đầy rác trên môi trường internet với những nội dung tào lao. Mục tiêu là cố gắng sản xuất càng nhiều nội dung càng tốt với chi phí thấp hơn và số lượng nhiều hơn. Nhưng nội dung không phải thứ hàng hóa. Sáng tạo không phải là thứ có thể định giá. Greg Satell đã viết trong Harvard Business Review như sau:

Chúng ta chẳng bao giờ nghe ai nói tốt về cái gọi là nội dung. Chúng ta chẳng bao giờ thấy ai bước ra khỏi rạp phim sau khi xem bộ phim mà họ yêu thích và nói “Wow! What great content!”, chẳng ai nghe “content” vào mỗi buổi sáng. Bạn cũng chẳng bao giờ nghe người ta gọi nhà văn Ernest Hemingway là một content creator. Nếu có người gọi như vậy, tôi dự đoán là anh ta sẽ bị đấm vỡ mũi.

Nếu những gì bạn đang làm viết quảng cáo – chúng không được gọi là content. Bạn có thể tự hào rằng bạn đang làm thương hiệu cho một công ty hoặc một khách hàng và bạn đang khiến cho người đọc nhớ đến công ty, thương hiệu đó trong tương lai, có thể là năm sau hoặc rất lâu sau đó nữa.

Các “huyền thoại” trong inbound marketing

Quá trình xử lý marketing tôi mô tả dưới đây trong vòng một hoặc nhiều hơn 5 áp lực cạnh tranh trong một promotion mix: direct marketing, advertising, personal selling, sales promotion và publicity (promotion mix là một trong 4P: product, price, place và promotion)

Nguồn: Moz

Tôi không giải thich 4P, promotion mix, chiến lược marketing… ở đây nên chúng ta chỉ tổng hợp lại những gì cần thiết:

Direct marketing: gửi một danh sách các sản phẩm(hoặc giới thiệu) đến những người cụ thể và nhận được phản hồi ngay lập tức, trực tiếp. Bao gồm: gửi thư tay, email, quảng cáo trên internet, di động và các kênh truyền thông xã hội.
Advertising là thuê các vị trí bằng phương thức truyền thông đại chúng (media outlet) và các kênh để nâng cao nhận thức về thương hiệu và tạo ra liên kết đến thương hiệu với đại chúng.
Personal selling là sử dụng nhân viên bán hàng. Thường là các chiến lược được lựa chọn bởi các công ty B2C, B2B, sản phẩm đắt tiền và các chiến lược bán hàng dài hạn.
Sales promotion là việc sử dụng các khuyến mãi ngắn hạn để khuyến khích việc mua hàng, hoặc bán một sản phẩm, một dịch vụ thông qua phiếu ưu đãi, phiếu giảm giá
Publicity là tăng khả năng hiển thị công cộng và nhận thức thông qua phương tiện truyền thông.

Tôi không liệt kê inbound marketing hoặc content marketing hoặc social media marketing bởi vì nó không phải là thành phần của một promotion mix, cũng chẳng phải nền tảng của marketing. Bất kỳ một ví dụ nào mà bạn có thể đưa ra thuộc 3 thứ trên cũng chỉ là một chức năng của một thành phần thuộc promotion mix được biểu hiện với một tên gọi khác:

Video vui nhộn của Dollar Shave Club không phải là “content marketing” – nó là một hình thức quảng cáo.
Cú nhảy từ không gian của Red Bull cũng không phải một “content marketing” – là một chiến dịch công khai(lan truyền qua mạng xã hội, YouTube và các tin tức).
Tweet nổi tiếng của Oreo’s famous Super Bowl không phải là một social media marketing– đây là một chiến dịch công khai (lan truyền qua Twitter)

Những ví dụ này cho thấy cách tiếp cận người tiêu dùng của những thương hiệu hàng đầu. Cực kì hiếm thấy các công ty công nghệ cao nào làm những điều tương tự. Đây là bản chất của ngành.

Nguồn: TechCrunch

Tác giả: Samuel Scott

Sốc: những gì tech nói về Marketing đều sai bét ! – Phần 1

November 10, 2016 by Nguyễn Duy Nhân

Vấn đề lớn của marketing trong thời đại công nghệ hiện nay là có quá nhiều dân làm marketing online nhưng lại chẳng hiểu, chẳng biết gì về những điều căn bản trong marketing (tiếp thị).

Digital marketer – ai là người được gọi như vậy? Nếu bạn cho mình xứng đáng với cái chức danh mĩ miều và đầy tính thời đại này thì hãy đọc kĩ những gì dưới đây, có lẽ sẽ khiến bạn bất ngờ… [Read more…]