How to disable wordpress 2 step verification manually

I saw several question on support page that you are locked out from your site because lost all the keys. So I make this post.

There are only 2 ways to recover access without disable/remove plugin, of course remove plugin will unlock you from your site, but if you install plugin again, you still will be locked Continue reading

WordPress 2-Step Verification

Sau vụ bị đột nhập vào admin wordpress và bị up shell, mình nghĩ phải có cách nào đó để tăng bảo mật. Thấy google có cái Xác minh 2 bước rất hay, và thế là từ ý tưởng đó xây dựng plugin Xác minh 2 bước cho WordPress(WordPress 2-Step Verification)

Plugin này sử dụng ứng dụng cài trên smart-phone của google luôn :d , ngoài việc dùng ứng dụng thì người dùng có thể dùng email để lấy mã xác minh :-)

Thôi, không vòng vèo nữa, làm vài cái screenshot đã :d

Overview [wordpress 2-step verification]
Trang tổng quan của wordpress 2-step verification
App config [wordpress 2-step verification]
Cấu hình ứng dụng di động cho wordpress 2-step verification
Enter code [wordpress 2-step verification]
Nhập mã xác minh [wordpress 2-step verification]
Các bạn có thể tải plugin này tại http://wordpress.org/extend/plugins/wordpress-2-step-verification

Cài đặt và sử dụng

Cài đặt

  1. Tải về, giải nén rồi upload vào thư mục plugins của wordpress. Hoặc cài đặt trực tiếp từ wordpress admin, search với từ khóa ‘wordpress 2-step verification’
  2. Kích hoạt plugin

Sử dụng

  1. Vào menu Users->2-step verification(nếu bạn là admin) hoặc Profile -> 2-step verification(nếu bạn là user) – Đây chính là trang tổng quan
  2. Từ trang tổng quan chọn Turn on 2 step verification. Rồi làm tiếp theo từng bước trong trang cấu hình này :-)

 

Một con C99 trên blog của mình

Cách đây khoảng 1 tuần, tự nhiên 1 buổi sáng đẹp trời thấy 1 đống email thông báo comment trên blog, toàn email spam. Log vào admin thì không thấy cái plugin akismet đâu, tưởng nó bị lỗi sau lần nâng cấp trước đó, chuyển qua install để cài thì lại thấy “Đã cài đặt:-| lạ quá, mở FTP ra thì thấy vẫn còn thư mục akismet ở đó, quyết định del đi và cài lại… Vô tình phát hiện trong thư mục plugin xuất hiện một thư mục con với cái tên rất lạ “zrooioiutou:-s mở ra thấy có 1 file gsm.php download luôn file đó về xem nó là cái gì, MSE báo đỏ lòm C99. Có vấn đề lớn rồi đây :-? Hack local hay là lộ password, không nghĩ nhiều về việc lộ password lắm, thiên về local hơn vì trên cùng tài khoản hosting này mình còn up khá nhiều thứ linh tinh để test mà quên chưa xóa đi, có thể 1 trong số thứ đó có những cái bảo mật kém hoặc có chứa shell cũng nên :-? Lúc đó đang khá bận nên bỏ qua vụ này :-W

Hôm qua thằng bạn vào kêu cũng bị mất pass khá nhiều site, kêu mình down access log về tra. Thực tình thì cái Direct Admin cũng ko thích dùng lắm, nên chả mò nghịch nhiều => chả biết nó có cho down access log và nếu có thì nằm ở đâu. Lục lọi một hồi cùng tìm được cài access log. Hơi bất ngờ

193.111.9.98 – – [17/Jul/2012:13:23:34 +0700] “POST /blog/wp-login.php HTTP/1.1” 302 1245 “http://as247.vui360.com/blog/wp-login.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:35 +0700] “GET /blog/wp-admin/ HTTP/1.1” 200 15643 “http://as247.vui360.com/blog/wp-admin/” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:42 +0700] “GET /blog/wp-admin/plugin-install.php?tab=upload HTTP/1.1” 200 7738 “http://as247.vui360.com/blog/wp-admin/plugin-install.php?tab=upload” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:54 +0700] “GET /blog/wp-content/plugins/zrooioiutou/gsm.php HTTP/1.1” 404 10420 “http://as247.vui360.com/blog/wp-content/plugins/zrooioiutou/gsm.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:56 +0700] “GET /blog/wp-admin/plugin-editor.php HTTP/1.1” 200 10195 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:02 +0700] “GET /blog/wp-admin/plugin-editor.php HTTP/1.1” 200 10195 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:44 +0700] “POST /blog/wp-admin/update.php?action=upload-plugin HTTP/1.1” 200 7571 “http://as247.vui360.com/blog/wp-admin/plugin-install.php?tab=upload” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:04 +0700] “GET /blog/wp-admin/plugin-editor.php?file=ajax-login-widget/ajax-login-widget.php   HTTP/1.1” 200 10224 “ajax-login-widget/ajax-login-widget.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:06 +0700] “GET /blog/wp-admin/plugin-editor.php?file=akismet/akismet.php HTTP/1.1” 200 16034 “akismet/akismet.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:08 +0700] “POST /blog/wp-admin/plugin-editor.php HTTP/1.1” 302 701 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:14 +0700] “GET /blog/wp-admin/plugin-editor.php?file=akismet%2Fakismet.php&liveupdate=1&scrollto=0&networkwide&_wpnonce=c271068043 HTTP/1.1” 302 9325 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:16 +0700] “GET /blog/wp-admin/plugin-editor.php?file=akismet%2Fakismet.php&phperror=1&_error_nonce=903fb3da33 HTTP/1.1” 200 59164 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:20 +0700] “GET /blog/wp-content/plugins/akismet/akismet.php HTTP/1.1” 200 5601 “http://as247.vui360.com/blog/wp-content/plugins/akismet/akismet.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”

Thủ phạm đã login được vào wordpress admin, upload lên plugin zrooioiutou/gsm.php, chỉnh sửa akismet plugin, chỉnh sửa ajax-login-widget plugin :-s

Vấn đề trở nên phức tạp rồi đây, wordpress có lỗi bảo mật hay mình bị lộ password. Trước giờ vẫn rất tin tưởng wordpress, với lại wordpress lỗi thì đã bị phát hiện và khai thác từ lâu rồi :)) . Chỉ còn khả năng máy mình có keylogger, và nếu thế thì thật nguy hiểm, bởi MSE ko phát hiện ra, hôm qua download cả cái Anti-Malware về cũng ko phát hiện ra gì cả :-s

Giá mà log đc thủ phạm POST gì để login vào được thì sẽ sáng tỏ vấn đề ngay :d

Yahoo Status

Mới viết đc cái plugin này :d Viết chơi thôi :d Chức năng của nó là cập nhật status từ nick yahoo lên widget(cập nhật toàn bộ, cả busy, idle, và cả dòng text chứ không phải chỉ có online hay offline đâu nhé) :">

Yahoo status
Yahoo status
Yahoo status admin
Yahoo status admin

Tải plugin tại đây.

Cài đặt và sử dụng:

1. Cài đặt: cái này chắc ai cũng biết :"> Tải về, giải nén, upload vào thư mục wp-content/plugins rồi kích hoạt.

2. Sử dụng: Continue reading

Sự cố nhỏ với Wp Smiley 1.4.1

Hôm qua mình sửa lại cái plugin Wp Smiley 1 chút. Fix lỗi khi sử dụng tag trên nhiều dòng, đồng thời chữa luôn tí lỗi không convert smiley ở comment với theme thesis. Thực ra thì cũng không hẳn, vì phần comment của thesis sử dụng trực tiếp hàm convert_smilies() của wordpress nên nếu không bật tính năng convert smilies của wordpress thì sẽ bị lỗi ở phần comment. Lúc cập nhật lên repo mình chỉ cập nhật lại mỗi file php, vì chỉ thay đổi mỗi file đó thôi mà :"> Nhưng chẳng biết cái bản development táy máy sửa mất cái file “tinymce/editor_plugin.js” từ bao giờ =)) Thế nên bản 1.4.1 bị sai mất file này :"> Mình vừa cập nhật lại file editor_plugin.js rồi. Cách khắc phục cho lỗi này là bạn cập nhật lại file “tinymce/editor_plugin.js” hoặc xóa plugin đi, download lại bản 1.4.1 về và up lên  :">

Hướng dẫn gỡ bỏ qTranslate plugin

qTranslate, một plugin khá hay để tạo giao diện đa ngôn ngữ cho wordpress. Mình cũng đã dùng 1 thời gian nhưng rồi càng ngày càng lười dịch bài viết :"> và đến giờ thì chả muốn dịch tí nào :-( cái plugin tự nhiên đâm ra thừa :-| muốn vứt nó đi nhưng mà disable đi thì thấy nó lỗi tùm lum hết cả :-s …. cũng lên forum support xem, nhưng làm theo cách trên đó thì phần sau “more” là bị mất :-( Hôm nay quyết định bỏ nó đi, đọc code 1 hồi cũng tìm ra cách để gỡ bỏ hoàn toàn plugin này: Continue reading

WP Smiley

Sự cố nhỏ với Wp Smiley 1.4.1

Wp smiley
Wp smiley

WordPress không hỗ trợ tùy chỉnh smilies :-| , các plugin dùng để tùy chỉnh smilies cho wp cũng khá nhiều, nhưng mình chưa thấy cái nào hoàn thiện cả. Không dùng đc smilies của yahoo vì nó có chứa các ký tự đặc biệt như “,\,<,>,’ :-| Cũng có những plugin, hỗ trợ các smilies của yahoo nhưng lại không cho phép tùy chỉnh các smilies khác…

Mình viết plugin này với khẩu hiệu “Define smilies as your way” :"&GT; Bạn có thể định nghĩa 1 smilies bằng bất kỳ ký tự nào :d . Bạn có thể dùng nhiều định nghĩa cho 1 smiley vì dụ “:)” “:-)” sẽ cùng đc thay bằng :-) Và chỉ cần 1 phát click chuột để định nghĩa tất cả các smilies của yahoo…

Wp Smiley - Quản lý smiles
Quản lý smiles

 

Khung nhập smiley cho comment
Khung nhập smiley cho comment

Bạn có thể tải plugin này tại http://wordpress.org/extend/plugins/wp-smiley/

Cài đặt và sử dụng: Continue reading

As***

:-| Hôm về quê cũng là hôm cái host die, chỉ kịp backup dữ liệu chứ cũng chẳng kịp up lại :-| tiền không có cứ đi xài free host nó khổ thế đấy. :-|   Lên HN từ hôm xưa, lên học lại quân sự, chán :-| … Sáng đi học chiều ở nhà chả biết làm gì thôi thì lại up cái blog lên :d để lúc nào buồn buồn hoặc lúc nào thấy ngứa ngáy chân tay thì lại post bài chơi :)) … Và giờ thì vẫn xài host free :"&GT; không biết bao giờ mới hết cảnh xài free host. :-| … Up lại cái blog thì thấy wp có bản 2.8.1 upgrade lên thì thấy cái mảng $wpsmiliestrans trước đây lại dùng ngon \\:d/ :))

WordPress 2.8

Thấy bản 2.8 beta có từ khá lâu rồi, bận thi cử cũng chả để ý là bản chính thức có từ bao giờ :-| . Mới upgrade lên 2.8 cách đây vài ngày, nhưng cái custom smile bị lỗi :-( giờ chưa tìm được cái nào thay thế :-| nhìn cái smile mặc định của wp chán quá :-| thôi thì nao thi xong tìm sau vậy :d

Đổi tên miền cho wordpress

WordPress, một mã nguồn mở để làm blog, có thể nói là tuyệt vời, nhưng mình cảm thấy hơi khó chịu với việc sau khi cài đặt nó chỉ dùng được với một tên miền cố định :-| . Tất nhiên khi đã đi vào hoạt động ổn định thì việc đổi tên miền là hi hữu. Nhưng cũng có khá nhiều lúc cần đổi tên miền, ví dụ như là đưa về localhost để test chẳng hạn, hoặc bạn làm 1 site trên localhost rồi và giờ muốn đưa nó lên host….

Có nhiều cách để đổi tên miền cho wordpress, nhưng mình xin giới thiệu cách mà mình vẫn làm :d và mình cho rằng đây là cách làm đơn giản nhất, ít lỗi nhất, và có lẽ là nhanh nhất :d

Bước 1: Backup toàn bộ các file về và up lên host mới, chỉnh sửa lại file config cho phù hợp (nếu bạn thay đổi cả hosting, nếu không thì bỏ qua bước này). Continue reading

Trang 1 trên 212
© 2010-2013 As247 Blog. All Rights Reserved. 0,604