Khẩn cấp: Cách phản hồi khi một lỗ hổng liên quan đến đăng nhập WordPress được báo cáo (và trang báo cáo không thể truy cập)

Tác giả: Nhóm bảo mật WP-Firewall
Ngày: 2026-03-27

Ghi chú: Một trang báo cáo lỗ hổng công khai liên kết từ một nguồn đã trả về “404 Không tìm thấy” khi chúng tôi cố gắng truy cập. Bất kể tính khả dụng của báo cáo gốc, cảnh báo này hướng dẫn bạn qua một phản ứng ngay lập tức, thực tiễn và chuyên gia đối với bất kỳ lỗ hổng liên quan đến đăng nhập nào được báo cáo hoặc nghi ngờ ảnh hưởng đến các trang WordPress. Hãy coi đây là một hướng dẫn hoạt động cho việc phân loại, giảm thiểu và tăng cường lâu dài.

Tóm tắt điều hành

Một lỗ hổng liên quan đến đăng nhập ảnh hưởng đến lõi WordPress, một chủ đề hoặc một plugin có thể bị khai thác để vượt qua xác thực, nâng cao quyền hạn hoặc chiếm quyền tài khoản quản trị viên. Ngay cả khi báo cáo công khai gốc tạm thời không khả dụng (404), rủi ro vẫn còn: kẻ tấn công thường tìm hiểu về các lỗi và khai thác chúng nhanh chóng. Là một nhà cung cấp bảo mật WordPress, chúng tôi khuyến nghị hành động ngay lập tức: giả định rằng lỗ hổng là có thật cho đến khi được chứng minh ngược lại, và thực hiện các biện pháp phòng thủ nhiều lớp — phát hiện, kiểm soát, giảm thiểu và khắc phục — trong khi bạn chờ đợi một bản vá chính thức.

Bài viết này phác thảo:

• Các loại lỗ hổng liên quan đến đăng nhập điển hình và cách chúng bị khai thác.
• Cách xác định xem trang web của bạn có bị ảnh hưởng hay không.
• Các biện pháp giảm thiểu ngay lập tức để giảm rủi ro trước khi có bản vá.
• Tăng cường lâu dài, giám sát và các thực tiễn phản ứng sự cố tốt nhất.
• Cách WP-Firewall có thể giúp — bao gồm chi tiết về kế hoạch miễn phí của chúng tôi và các cấp độ cao hơn.

Đọc điều này như một cuốn sách hướng dẫn thực tiễn mà bạn có thể thực hiện ngay lập tức, với các lệnh, danh sách và ý tưởng quy tắc WAF mẫu mà bạn có thể sử dụng để tăng cường trang web của mình.

Tại sao mã 404 trên báo cáo gốc lại quan trọng — và tại sao bạn không nên chờ đợi

Đôi khi một trang công bố lỗ hổng trở nên tạm thời không khả dụng (404), bị xóa hoặc bị giới hạn tần suất. Điều đó không có nghĩa là lỗ hổng đã biến mất. Có ba kịch bản chính:

1. Báo cáo đã được công bố và nhanh chóng bị gỡ xuống (có thể do quy trình công bố có trách nhiệm).
2. Dịch vụ báo cáo đang gặp sự cố hoặc chặn truy cập.
3. Báo cáo chưa hoàn thành việc công bố, nhưng các nguồn khác có thể đã nắm bắt được chi tiết.

Kẻ tấn công không cần báo cáo công khai để bắt đầu quét và khai thác các cài đặt dễ bị tổn thương — các công cụ quét tự động và botnet liên tục tìm kiếm các điểm cuối dễ bị tổn thương. Do đó, hãy coi bất kỳ báo cáo đáng tin cậy nào là thông tin tình báo mối đe dọa có thể hành động ngay cả khi trang nguồn tạm thời không thể truy cập.

Các lỗ hổng liên quan đến đăng nhập và mẫu tấn công điển hình

Dưới đây là các loại lỗ hổng đăng nhập/xác thực phổ biến nhất ảnh hưởng đến môi trường WordPress:

• Vượt qua xác thực: Các lỗi trong mã plugin hoặc chủ đề cho phép kẻ tấn công truy cập chức năng quản trị mà không cần thông tin xác thực hợp lệ (thiếu kiểm tra khả năng, kiểm tra nonce có thể bị vượt qua).
• Tấn công credential stuffing / brute force: Các nỗ lực tự động sử dụng các cặp tên người dùng/mật khẩu bị rò rỉ hoặc đoán mật khẩu hàng loạt.
• Đặt lại mật khẩu yếu hoặc xử lý token: Các token đặt lại có thể đoán trước, không hết hạn, hoặc được lưu trữ không an toàn cho phép chiếm đoạt tài khoản.
• CSRF trên các hành động liên quan đến đăng nhập: Tấn công giả mạo yêu cầu giữa các trang cho phép thay đổi mật khẩu cưỡng bức, hoặc kích hoạt các tính năng quản trị khi người dùng đã đăng nhập truy cập một trang độc hại.
• Liệt kê người dùng không bị hạn chế: Kẻ tấn công phát hiện tên người dùng thông qua các thông báo lỗi có thể đoán trước, lưu trữ tác giả, hoặc API, cho phép tấn công credential stuffing có mục tiêu.
• Tấn công cố định phiên / đánh cắp phiên: Sử dụng lại ID phiên hoặc cờ cookie không an toàn (không HttpOnly, không Secure) dẫn đến việc đánh cắp phiên.
• Lạm dụng XML-RPC / REST API: Các điểm cuối cho phép bỏ qua xác thực hoặc tiết lộ các hành động thay đổi người dùng, khi không được bảo vệ đầy đủ.
• Manipulation đối tượng/tham số trực tiếp: Cập nhật hoặc tạo vai trò người dùng hoặc siêu dữ liệu thông qua các yêu cầu được xác thực kém.
• Tấn công SQL Injection và các vector Injection trên các biểu mẫu đăng nhập: Tiêm vào quy trình đăng nhập/xác thực cho phép bỏ qua các kiểm tra hoặc nâng cao quyền hạn.

Kẻ tấn công thường kết hợp các vấn đề này: đầu tiên liệt kê tên người dùng, sau đó cố gắng thực hiện credential stuffing; nếu thất bại, họ tìm kiếm các lỗi plugin cho phép bỏ qua hoặc thay đổi vai trò.

Các chỉ số của sự xâm phạm (IoCs) cần tìm ngay bây giờ

Nếu một lỗ hổng liên quan đến đăng nhập có thể ảnh hưởng đến bạn, hãy tìm kiếm những dấu hiệu này trong nhật ký máy chủ và WordPress:

• Tăng đột biến đột ngột trong các yêu cầu POST đến /wp-login.php, /wp-admin/admin-ajax.php, /xmlrpc.php, hoặc các điểm cuối REST.
• Khối lượng lớn các nỗ lực đăng nhập thất bại tiếp theo là các lần đăng nhập thành công của quản trị viên từ các địa chỉ IP không bình thường.
• Tạo tài khoản quản trị viên hoặc biên tập viên mới mà bạn không tạo ra.
• Những thay đổi bất ngờ đối với các chủ đề, plugin, hoặc tải lên các tệp có tên nghi ngờ (ví dụ: tệp php trong thư mục tải lên).
• Các tác vụ đã lên lịch mới (cron) mà bạn không tạo ra.
• Kết nối ra ngoài từ trang web đến các IP hoặc miền không quen thuộc.
• Các tệp lõi đã được sửa đổi hoặc sự hiện diện của web shells (tải trọng mã hóa base64, eval, các cuộc gọi thực thi hệ thống).
• Truy cập vào wp-login.php với các tác nhân người dùng không bình thường (trình duyệt không giao diện hoặc các tác nhân quét phổ biến).
• Nhiều yêu cầu đặt lại mật khẩu và các thay đổi mật khẩu tiếp theo.
• Những thay đổi quyền hạn không bình thường trong wp_usermeta (cờ chức năng, khả năng).

Thu thập và bảo tồn nhật ký ngay lập tức. Nếu bạn phát hiện những IoCs này, hãy coi trang web là bị xâm phạm và làm theo các bước kiểm soát bên dưới.

Các bước giảm thiểu ngay lập tức, thực tiễn (thực hiện ngay lập tức)

Nếu bạn nghi ngờ một lỗ hổng liên quan đến đăng nhập hoặc thấy hoạt động nghi ngờ, hãy thực hiện các hành động sau ngay lập tức. Thực hiện các bước song song khi có thể.

1. Đặt một hạn chế truy cập khẩn cấp trên wp-admin và wp-login.php
   • Sử dụng xác thực cơ bản trên /wp-admin và /wp-login.php (htpasswd).
   • Hạn chế truy cập theo IP ở cấp máy chủ web hoặc CDN (chỉ cho phép các IP đáng tin cậy tạm thời).
2. Kích hoạt một tường lửa quản lý / vá ảo WAF
   • Áp dụng giới hạn tỷ lệ cho các POST đến wp-login.php và XML-RPC.
   • Chặn hoặc thách thức các tác nhân người dùng nghi ngờ và các chữ ký bot đã biết.
   • Tạo một quy tắc để từ chối các yêu cầu POST chứa payload giống như SQLi hoặc các mẫu đáng ngờ nhắm vào xác thực.
3. Buộc đặt lại mật khẩu cho người dùng quản trị
   • Đặt lại mật khẩu cho tất cả các tài khoản quản trị viên và bất kỳ tài khoản nào có quyền nâng cao.
   • Buộc đăng xuất tất cả người dùng (vô hiệu hóa phiên), sử dụng WP-CLI hoặc bằng cách thay đổi muối trong wp-config.php tạm thời.
4. Vô hiệu hóa XML-RPC nếu không cần thiết.
   • XML-RPC là một vector phổ biến cho tấn công brute-force và xác thực từ xa. Vô hiệu hóa hoặc hạn chế nó.
5. Tạm thời vô hiệu hóa các plugin/theme dễ bị tổn thương.
   • Nếu bạn biết hoặc nghi ngờ một plugin hoặc theme cụ thể dễ bị tổn thương, hãy vô hiệu hóa nó ngay lập tức.
   • Nếu bạn không chắc chắn, hãy ưu tiên các plugin có rủi ro cao quản lý xác thực, trang đăng nhập tùy chỉnh hoặc vai trò.
6. Bật xác thực hai yếu tố (2FA).
   • Yêu cầu 2FA cho tất cả các tài khoản quản trị viên. Nếu bạn không thể bật ngay lập tức cho toàn bộ trang, hãy thực thi nó cho các tài khoản quản trị viên cụ thể.
7. Chặn các dải IP và vị trí địa lý độc hại nếu cần thiết.
   • Sử dụng các kiểm soát truy cập trong bảng điều khiển hosting, CDN hoặc tường lửa của bạn để chặn các dải nghi ngờ.
8. Lấy một bản sao lưu (snapshot) ngay lập tức.
   • Tạo một bản snapshot đầy đủ về tệp và cơ sở dữ liệu để phân tích pháp y trước khi thực hiện thay đổi.
9. Quét tìm phần mềm độc hại và lỗ hổng bảo mật
   • Sử dụng các công cụ quét phía máy chủ và kiểm tra tính toàn vẹn để tìm các tệp và shell đã bị sửa đổi.
10. Kiểm tra và thu hồi các khóa API và thông tin xác thực tích hợp đáng ngờ.
    • Kiểm tra bất kỳ tích hợp bên thứ ba nào (thanh toán, REST API, mã thông báo OAuth) và thay đổi thông tin xác thực nếu cần thiết.
11. Thông báo cho các bên liên quan và chuẩn bị một kế hoạch phản ứng sự cố.
    • Thông báo cho chủ sở hữu trang web, người bảo trì và các liên hệ của nhà cung cấp hosting. Chuẩn bị để quay lại một bản sao lưu sạch nếu có xác nhận bị xâm phạm.

Ví dụ về các lệnh WP-CLI (chạy từ một shell với quyền thích hợp):

Danh sách người dùng quản trị viên
  

Các quy tắc WAF mẫu và ý tưởng giới hạn tỷ lệ mà bạn có thể áp dụng ngay bây giờ

Dưới đây là các quy tắc khái niệm mà bạn có thể chuyển đổi thành quy tắc tường lửa hoặc động cơ CDN của bạn. Điều chỉnh cú pháp cho nền tảng của bạn.

• Chặn các nỗ lực đăng nhập thất bại quá mức:
  • Nếu một IP kích hoạt > 5 POST thất bại đến /wp-login.php trong 5 phút, chặn hoặc thách thức trong 1 giờ.
• Giới hạn tỷ lệ bất kỳ POST nào đến các điểm cuối đăng nhập:
  • Giới hạn 10 POST mỗi phút cho mỗi IP đến /wp-login.php hoặc /xmlrpc.php.
• Chặn các yêu cầu chứa các mẫu tiêm SQL:
  • Từ chối các yêu cầu có payload chứa các thuật ngữ SQLi điển hình trong các tham số đăng nhập (ví dụ: ‘ OR ‘1’=’1, UNION SELECT).
• Chặn các yêu cầu cố gắng truy cập các tệp nhạy cảm trong uploads:
  • Từ chối bất kỳ truy cập trực tiếp nào đến các tệp .php trong /wp-content/uploads.
• Thực thi xác thực referrer / CSRF đã biết tốt:
  • Đối với các POST liên quan đến đăng nhập, yêu cầu nonce hiện có và hợp lệ hoặc chặn.

Ví dụ quy tắc giả ModSecurity (khái niệm):

# Từ chối đăng nhập sau quá nhiều nỗ lực thất bại (khái niệm)"
  

Nếu bạn có một WAF được quản lý, hãy làm việc với nhà cung cấp của bạn để chuyển đổi những khái niệm này thành các quy tắc an toàn cho sản xuất.

Cách xác định xem một plugin hoặc chủ đề cụ thể có bị ảnh hưởng hay không

• Kiểm tra nhật ký thay đổi của plugin hoặc chủ đề và các thông báo từ nhà cung cấp về bất kỳ bản phát hành bảo mật gần đây nào liên quan đến xác thực, xử lý phiên hoặc leo thang đặc quyền.
• Tìm kiếm trang web của bạn cho các shortcode, điểm cuối hoặc trình xử lý đăng nhập tùy chỉnh được giới thiệu bởi các plugin (tìm kiếm các URL đăng nhập tùy chỉnh, các điểm cuối REST tùy chỉnh).
• Chạy một môi trường thử nghiệm cục bộ có kiểm soát: sao chép trang web và áp dụng các bài kiểm tra nhắm mục tiêu vào các luồng xác thực (không thử nghiệm trên sản xuất mà không có bản sao lưu).
• Sử dụng các kênh hỗ trợ của plugin/theme một cách có trách nhiệm: hỏi xem họ có biết về một lỗ hổng không nếu bạn có lý do để nghi ngờ.

Nếu bạn phát hiện một thành phần dễ bị tổn thương, hãy ngay lập tức cập nhật nó lên phiên bản đã được vá. Nếu bản vá chưa có sẵn, hãy cách ly hoặc vô hiệu hóa thành phần và áp dụng các biện pháp kiểm soát bù đắp (quy tắc WAF, hạn chế truy cập).

Nếu trang web có thể đã bị xâm phạm: danh sách kiểm tra phản ứng sự cố

1. Cách ly trang web: hạn chế truy cập vào và vô hiệu hóa các điểm cuối dễ bị tổn thương.
2. Bảo tồn chứng cứ: sao lưu đầy đủ (tệp + DB) và xuất nhật ký đến một vị trí an toàn.
3. Xác định phạm vi: liệt kê các tệp đã sửa đổi, người dùng mới, các tác vụ đã lên lịch mới và các kết nối ra ngoài.
4. Loại bỏ cửa hậu: tìm kiếm các web shell và xóa các tệp PHP nghi ngờ (không chỉ đơn giản là xóa các tệp hệ thống — hãy xác minh).
5. Thay đổi tất cả các bí mật: thay đổi mật khẩu quản trị, mật khẩu cơ sở dữ liệu, khóa API và mã thông báo tích hợp.
6. Cài đặt lại các tệp lõi WordPress, chủ đề và plugin bị ảnh hưởng từ các nguồn đã biết là tốt.
7. Khôi phục từ một bản sao lưu sạch nếu không thể xác lập tính toàn vẹn.
8. Giám sát trang web để phát hiện tái nhiễm trong 30–90 ngày tới với việc ghi nhật ký và cảnh báo bổ sung.
9. Thực hiện đánh giá sau sự cố: kẻ tấn công đã truy cập như thế nào? Sửa chữa nguyên nhân gốc rễ và cải thiện các biện pháp kiểm soát.

Nếu bạn không tự tin thực hiện các bước này, hãy tìm sự trợ giúp từ những người có kinh nghiệm trong phản ứng sự cố. Hành động kịp thời giảm thiểu khoảng thời gian tiếp xúc và thiệt hại tiềm tàng.

Danh sách kiểm tra tăng cường lâu dài (phòng ngừa)

• Thực thi các chính sách và lưu trữ mật khẩu mạnh (bcrypt/argon2 qua WP core).
• Triển khai và yêu cầu xác thực hai yếu tố cho tất cả các tài khoản nâng cao.
• Giới hạn số lượng tài khoản quản trị viên và sử dụng nguyên tắc quyền tối thiểu.
• Vô hiệu hóa hoặc hạn chế XML-RPC và các điểm cuối REST không sử dụng.
• Sử dụng WAF được quản lý với khả năng vá ảo cho bảo vệ zero-day.
• Giữ cho lõi, chủ đề và plugin được cập nhật. Xóa các plugin và chủ đề không sử dụng.
• Hạn chế truy cập vào /wp-admin và /wp-login.php theo IP khi có thể thực hiện.
• Giám sát các nỗ lực đăng nhập và thiết lập cảnh báo cho các mẫu đáng ngờ.
• Thực hiện giới hạn tần suất và chặn IP tự động đối với các lần đăng nhập thất bại lặp lại.
• Sử dụng giao thức an toàn (HTTPS) trên toàn bộ trang web; thiết lập cờ cookie an toàn.
• Thường xuyên quét mã độc và thực hiện giám sát tính toàn vẹn của tệp.
• Duy trì sao lưu thường xuyên và thực hành khôi phục thường xuyên.
• Tách biệt các môi trường (tách biệt môi trường thử nghiệm khỏi sản xuất; ngăn chặn việc đẩy mã bị xâm phạm).
• Sử dụng đánh giá mã và phân tích tĩnh cho các chủ đề và plugin tùy chỉnh.
• Đăng ký và giám sát việc lộ dữ liệu (danh sách thông tin đăng nhập, trang dán, v.v.).

Hướng dẫn cho nhà phát triển để tránh các lỗ hổng xác thực.

• Sử dụng API của WordPress cho xác thực và kiểm tra khả năng (đừng tự phát triển).
• Xác thực và làm sạch tất cả đầu vào; sử dụng câu lệnh đã chuẩn bị cho các truy vấn DB.
• Luôn kiểm tra khả năng của người dùng với current_user_can() trước các thao tác nhạy cảm.
• Sử dụng nonces để bảo vệ các yêu cầu thay đổi trạng thái và xác minh chúng ở phía máy chủ.
• Thực hiện mã thông báo đặt lại mật khẩu an toàn (sử dụng một lần, ngẫu nhiên, hết hạn ngắn).
• Tránh tiết lộ tên người dùng — không tiết lộ liệu một email hoặc tên người dùng có tồn tại trong các quy trình đặt lại mật khẩu hay không.
• Thoát đầu ra và tránh eval() hoặc thực thi động nguy hiểm.
• Ghi lại các sự kiện xác thực (thành công/thất bại) với ngữ cảnh đủ cho nhu cầu pháp y.
• Triển khai các bài kiểm tra cho logic ủy quyền — bài kiểm tra đơn vị và bài kiểm tra tích hợp cố gắng nâng cao quyền hạn.

WP-Firewall giúp bạn phản hồi và duy trì bảo vệ như thế nào.

Tại WP-Firewall, chúng tôi xây dựng các lớp phòng thủ mà bạn cần khi một lỗ hổng liên quan đến đăng nhập được công bố hoặc nghi ngờ:

• Quy tắc quản lý và vá ảo: Chúng tôi đẩy các quy tắc khẩn cấp để chặn các nỗ lực khai thác cho các lỗ hổng đã biết, bảo vệ các trang web cho đến khi các bản vá chính thức được áp dụng.
• Tăng cường đăng nhập: Giới hạn tỷ lệ, bảo vệ chống tấn công brute-force và các quy tắc chuyên biệt cho wp-login.php, XML-RPC và các điểm cuối REST.
• Quét và giảm thiểu phần mềm độc hại: Quét tự động cho các webshell và các tải lên đáng ngờ, với hướng dẫn để loại bỏ và dọn dẹp.
• Quản lý phiên và buộc đăng xuất: Công cụ để vô hiệu hóa các phiên và buộc đặt lại mật khẩu cho tất cả người dùng.
• Giám sát và cảnh báo: Phát hiện sự gia tăng trong các lần đăng nhập thất bại và các mẫu truy cập quản trị đáng ngờ.
• Các cấp độ hỗ trợ: Từ kế hoạch bảo vệ cơ bản miễn phí đến các kế hoạch nâng cao cung cấp loại bỏ tự động, báo cáo hàng tháng và một quản lý tài khoản chuyên dụng cho khách hàng muốn khắc phục trực tiếp và giám sát liên tục.

Chúng tôi cung cấp các biện pháp phòng thủ thực tiễn, có thể hành động — các bản vá ảo ngay lập tức cộng với điều chỉnh lâu dài — để giảm cửa sổ tấn công và mua cho bạn thời gian để áp dụng các bản vá của nhà cung cấp một cách an toàn.

Bắt đầu với Bảo vệ Không Tốn Kém: Kế hoạch Miễn Phí của WP-Firewall

Bảo vệ trang WordPress của bạn ngay lập tức mà không tốn chi phí. Kế hoạch Cơ bản (Miễn phí) của chúng tôi bao gồm các biện pháp bảo vệ thiết yếu mà bạn cần khi một lỗ hổng liên quan đến đăng nhập xuất hiện: một tường lửa quản lý, băng thông không giới hạn, bảo vệ WAF, quét phần mềm độc hại tự động và giảm thiểu cho các rủi ro OWASP Top 10. Đây là cách dễ dàng để thêm một lớp phòng thủ mạnh mẽ trong khi bạn vá, điều tra và tăng cường.

Muốn có thêm các tính năng nâng cao? Chúng tôi cung cấp một kế hoạch Tiêu chuẩn ($50/năm) thêm vào việc loại bỏ phần mềm độc hại tự động và kiểm soát danh sách đen/trắng IP, và một kế hoạch Pro ($299/năm) bao gồm báo cáo bảo mật hàng tháng, vá ảo tự động cho lỗ hổng và truy cập vào các tiện ích mở rộng cao cấp như Quản lý Tài khoản Chuyên dụng và Dịch vụ Bảo mật Quản lý. Bắt đầu với kế hoạch miễn phí và nâng cấp khi bạn sẵn sàng: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Các kịch bản thực tiễn và hành động được khuyến nghị

• Kịch bản A — Plugin có lỗ hổng đã biết với khai thác công khai ngay lập tức:
  • Ngay lập tức vô hiệu hóa plugin và áp dụng các quy tắc WAF chặn mẫu khai thác. Nếu plugin là quan trọng cho hoạt động kinh doanh, hãy cô lập quyền truy cập của nó (giới hạn IP) và áp dụng vá ảo cho đến khi nhà cung cấp sửa chữa.
• Kịch bản B — Nghi ngờ tấn công nhồi nhét thông tin xác thực:
  • Thực thi khóa tài khoản, yêu cầu CAPTCHA/2FA, buộc đặt lại mật khẩu cho các tài khoản nâng cao và xem xét nhật ký cho các tài khoản bị xâm phạm.
• Kịch bản C — Bằng chứng về tài khoản quản trị bị xâm phạm:
  • Cô lập trang web, bảo tồn nhật ký, xoay mật khẩu và bí mật, xác định các cơ chế duy trì (cửa hậu), và thực hiện dọn dẹp hoàn toàn hoặc khôi phục từ một bản sao lưu đã biết là tốt.

Lời cuối từ đội ngũ bảo mật WP-Firewall

Các lỗ hổng trong quy trình xác thực là một trong những rủi ro có tác động cao nhất đối với các trang WordPress vì chúng có thể dẫn trực tiếp đến việc chiếm đoạt toàn bộ trang web. Dù thông báo ban đầu có hiển thị hay trả về 404, hãy giả định rằng các tác nhân đe dọa có thể đã đang dò tìm điểm yếu. Tư thế tốt nhất là phòng thủ theo lớp: kết hợp các biện pháp kỹ thuật ngay lập tức, điều tra cẩn thận nếu cần, và tăng cường lâu dài.

Nếu bạn cần giúp đỡ trong việc thực hiện bất kỳ bước nào ở trên, WP-Firewall có thể cung cấp mẫu quy tắc, vá ảo và giám sát để giảm thiểu thời gian tiếp xúc của bạn.

Giữ an toàn,
Nhóm bảo mật WP-Firewall