Truy vấn yêu cầu chéo trang web (được gọi là CSRF hoặc XSRF) là một trong những cách hack nghiêm trọng nhất mà các trang web WordPress phải đối mặt. Vụ hack này diễn ra do các lỗ hổng trong các plugin WordPress được cài đặt trên trang web.
Tại đây, tin tặc lừa người dùng trang web thực hiện các hành động độc hại có hại cho cả chủ sở hữu trang web và người dùng. Các cuộc tấn công CSRF có thể gây ra hậu quả nghiêm trọng cho cả hai bên và cần phải được ngăn chặn ngay từ đầu!
Sử dụng CSRF, tin tặc có thể giành toàn quyền kiểm soát trang web của bạn và sử dụng nó để thực hiện bất kỳ loại hoạt động độc hại nào họ muốn. Họ có thể chuyển hướng khách truy cập của bạn đến các trang web độc hại khác hoặc lừa họ tải xuống phần mềm độc hại. Họ cũng có thể ăn cắp tiền từ bạn và khách hàng của bạn!
Không chỉ co điêu đo. Mọi thứ có thể rơi xuống thêm nữa và Google có thể đưa trang web của bạn vào danh sách đen và nhà cung cấp dịch vụ lưu trữ của bạn có thể tạm ngưng trang web của bạn.
Nếu bạn là nạn nhân của cuộc tấn công này hoặc muốn ngăn chặn nó, chúng tôi sẽ hỗ trợ bạn. Trong bài viết này, chúng tôi sẽ chỉ cho bạn cách khắc phục một cuộc tấn công CSRF và cách ngăn chặn nó.
TL; DR: Nếu trang web của bạn đã bị tấn công, bạn cần phải khắc phục nó ngay lập tức. Chúng tôi khuyên bạn nên tải xuống và cài đặt Trình cắm loại bỏ cuộc tấn công CSRF trên trang web của bạn để quét sâu trang web của bạn và làm sạch nó ngay lập tức. Sau khi trang web của bạn sạch sẽ, plugin sẽ bảo vệ trang web của bạn khỏi các nỗ lực tấn công trong tương lai.
Mục lục
→ Tấn công CSRF (Truy vấn yêu cầu chéo trang web) là gì?
→ Lỗ hổng CSRF WordPress đã xảy ra trên trang web của bạn như thế nào?
→ Làm thế nào để ngăn chặn một cuộc tấn công CSRF vào một trang web WordPress?
→ Các biện pháp phòng ngừa CSRF dành cho nhà phát triển plugin
→ Các biện pháp phòng ngừa CSRF cho chủ sở hữu trang web WordPress
Tấn công CSRF là gì ( Yêu cầu trên nhiều trang web giả mạo )?
Cuộc tấn công CSRF WordPress hơi phức tạp để hiểu nhưng chúng tôi sẽ chia nhỏ nó nhiều nhất có thể.
Trên một trang web có đăng ký người dùng, thành viên hoặc thông tin đăng nhập, mỗi người dùng có quyền truy cập đặc quyền vào tài khoản của họ trên trang web. Ví dụ:tài khoản Amazon, tài khoản Gmail hoặc thậm chí là tài khoản ngân hàng trực tuyến.
Một trang web như vậy cung cấp cho người dùng thông tin đăng nhập - tên người dùng và mật khẩu. Điều này được thực hiện để xác thực người dùng. Vì vậy, khi người dùng muốn đăng nhập, họ nhập tên người dùng và mật khẩu để tự xác minh. Bằng cách này, trang web có thể thiết lập lòng tin với người dùng và trình duyệt của họ.
Trong một cuộc tấn công CSRF, tin tặc đánh lừa người dùng đã xác thực này thực hiện các hành động độc hại.
1. Hiểu về 'Trang web chéo'
Để giải thích điều này xảy ra như thế nào, hãy sử dụng một ví dụ. Giả sử, người dùng đã đăng nhập vào Trang web A và để mở trang này trên một tab trong trình duyệt. (Hãy nhớ rằng Trang web A này đã được đăng nhập - điều quan trọng.)
Bây giờ, giả sử tin tặc có địa chỉ email của người dùng. Họ gửi email cho người dùng về các chương trình giảm giá đáng kinh ngạc sẽ hết hạn trong vài giờ tới. Người dùng bị lừa khi nhấp vào liên kết trong email. Điều này sẽ mở ra một trang web có tên là Site B (do tin tặc điều hành).
Trên Trang web B, họ được yêu cầu điền vào biểu mẫu hoặc nhập địa chỉ email của họ để yêu cầu chiết khấu. Người dùng nhấp vào một nút dường như bình thường để 'gửi' biểu mẫu.
Nhưng đằng sau hậu trường của nút ‘gửi’ này trên Trang web B, một tin tặc đã chèn các tập lệnh độc hại của họ.
Bây giờ hãy nhớ Trang web A đang mở trên một tab khác. Tập lệnh này gửi một yêu cầu đến Trang web A và thực hiện các hành động độc hại trên đó. Đây là lý do tại sao nó được gọi là 'cross-site'.
2. Hiểu yêu cầu
Tập lệnh tin tặc thay mặt người dùng gửi yêu cầu từ Trang B đến Trang A. Hành động độc hại không mong muốn có thể là bất cứ điều gì, từ việc thay đổi mật khẩu quản trị đến thậm chí chuyển tiền ra khỏi tài khoản ngân hàng!
3. Hiểu về ‘Forgery’
Cuối cùng, bởi vì tin tặc sử dụng xác thực của người dùng để đánh lừa Trang web A, đó là "giả mạo". Do đó, tên là 'Truy vấn yêu cầu trên nhiều trang web'.
Tóm lại, tin tặc làm cho Trang web A nghĩ rằng hướng dẫn độc hại của họ là một yêu cầu hợp pháp được gửi từ người dùng đã xác thực. Nhưng làm thế nào để Trang web B có thể gửi yêu cầu đến Trang web A? Chúng ta sẽ đi sâu hơn vào cách điều này xảy ra trong phần tiếp theo.
Lưu ý: Phần này là kỹ thuật và phục vụ cho người dùng hoặc nhà phát triển WordPress dày dạn kinh nghiệm. Nếu bạn muốn bỏ qua nó và chuyển trực tiếp đến việc ngăn chặn các cuộc tấn công CSRF trên trang web của mình, hãy chuyển sang Các biện pháp phòng ngừa CSRF dành cho chủ sở hữu trang web WordPress.
[Quay lại đầu trang ↑]
Lỗ hổng bảo mật WordPress CSRF đã xảy ra trên trang web của bạn như thế nào?
Để giải thích cách thức hoạt động của lỗ hổng bảo mật, chúng tôi cần hiểu cách trình duyệt của người dùng và một trang web giao tiếp.
1. Hiểu yêu cầu trình duyệt
Ở đây, chúng ta sẽ thảo luận về hai loại yêu cầu HTTP và cookie trình duyệt:
i. Yêu cầu HTTP GET
Khi bạn truy cập một trang web, bạn gửi một yêu cầu HTTP GET đến máy chủ của trang web đó. Yêu cầu này sẽ yêu cầu dữ liệu cần thiết để hiển thị giao diện người dùng của trang web. Máy chủ web sẽ phản hồi và gửi dữ liệu được yêu cầu. Sau đó, nội dung của trang web sẽ tải trên trình duyệt của bạn.
Khi một người không đăng nhập vào một trang web, họ là người dùng chưa được xác thực. Vì vậy, khi các yêu cầu GET và POST được gửi đi, không có cookie nào được sử dụng. Không có vấn đề bảo mật nào trong trường hợp này. Nhưng khi người dùng đã đăng nhập, họ hiện là người dùng đã được xác thực.
Trang web sử dụng cookie để nhận dạng và phục vụ cho người dùng này. Nó có thể sử dụng các cookie này để tạo dữ liệu chỉ liên quan đến ID duy nhất đó. Nó giúp họ đăng nhập vào người dùng dễ dàng, hiển thị quảng cáo phù hợp với sở thích của người dùng hoặc hiển thị các sản phẩm mà người dùng thích, v.v.
ii. Quy trình CSRF
Bây giờ quay lại cách lỗ hổng CSRF xảy ra. Để cuộc tấn công này có hiệu quả, tin tặc cần sử dụng người dùng đã xác thực sử dụng cookie.
Chúng tôi sẽ giải thích điều này bằng một ví dụ. Tại đây, chúng tôi sẽ chỉ cho bạn cách tin tặc có thể kiểm soát tài khoản của người dùng và sau đó sử dụng tài khoản đó để tấn công trang web của bạn bằng cách sử dụng lỗ hổng CSRF.
→ Điều gì xảy ra ở phía người dùng?
- Một người dùng đã đăng nhập vào targetwebsite.com trên trình duyệt của họ.
- Tiếp theo, tin tặc dụ người dùng này nhấp vào trickwebsite.com bằng cách gửi cho họ một email yêu cầu họ truy cập trang web này và đăng ký để nhận $ 50 trong tài khoản của họ. (Các liên kết này cũng có thể được chèn trên chính targetwebsite.com bằng cách sử dụng các lỗ hổng khác)
- Chúng tôi sẽ giả định rằng nạn nhân nghĩ rằng trang web lừa này là hợp pháp và rơi vào tình trạng lừa đảo . Tại đây, họ điền thông tin chi tiết vào biểu mẫu và nhấp vào "Gửi".
- Trên trickwebsite.com , tin tặc đã đặt mã HTML đằng sau nút "Gửi" này. Khi được nhấp vào, nó sẽ gửi yêu cầu ĐĂNG đến targetwebsite.com (nơi người dùng đã đăng nhập) thay mặt cho người dùng này.
→ Điều gì xảy ra trên trang web?
- Sử dụng cookie, targetwebsite.com xác minh người dùng (và trình duyệt) và cho phép yêu cầu . Yêu cầu này trông sẽ hợp pháp vì nó đến từ người dùng đã xác thực.
- Nhưng yêu cầu ĐĂNG được gửi có chứa tập lệnh độc hại có thể gây hại cho trang web. Ví dụ:tập lệnh có thể chứa lệnh để thay đổi mật khẩu tài khoản hiện tại thành “newpassword123” .
- Khi yêu cầu được chấp nhận bởi targetwebsite.com , mã sẽ chạy và thay đổi mật khẩu. Sau đó, tin tặc sẽ có thể đăng nhập vào tài khoản sử dụng mật khẩu mới và có toàn quyền kiểm soát.
- Tiếp theo, tin tặc hiện có thể tiến hành các cuộc tấn công tiếp theo vào trang web. Tùy thuộc vào các đặc quyền được cấp cho người dùng này, họ có thể truy cập vào targetwebsite.com’s cơ sở dữ liệu và kiểm soát chức năng nữa.
Đây chỉ là một ví dụ về những gì một hacker có thể làm khi sử dụng các cuộc tấn công CSRF. Có rất nhiều kịch bản khác có thể diễn ra. Nhưng cả người dùng và trang web sẽ bị ảnh hưởng bởi vụ hack này.
[Quay lại đầu trang ↑]
Cách ngăn CSRF Tấn công vào một trang web WordPress?
Các trang web WordPress trở nên dễ bị tấn công CSRF vì các plugin có lỗ hổng cho phép điều đó xảy ra.
Theo một báo cáo tiết lộ đầy đủ của PluginVulnerabilities.com, nhiều plugin phổ biến mà họ đã kiểm tra có vấn đề bảo mật khiến các trang web dễ bị tấn công CSRF. Để ngăn chặn các vụ hack CSRF, các nhà phát triển plugin cần thực hiện các biện pháp bảo mật nhất định. Chúng tôi sẽ xem xét các biện pháp này một cách ngắn gọn và sau đó cho bạn biết bạn, với tư cách là chủ sở hữu trang web WordPress, có thể làm gì để ngăn chặn các cuộc tấn công CSRF.
- Các biện pháp phòng ngừa CSRF dành cho nhà phát triển plugin
- Các Biện pháp Phòng ngừa CSRF dành cho Chủ sở hữu Trang web WordPress
i. Các biện pháp phòng ngừa CSRF dành cho nhà phát triển plugin
Nếu bạn là nhà phát triển plugin, đây là một số biện pháp bạn có thể thực hiện để giúp ngăn chặn các cuộc tấn công CSRF:
1. Mã thông báo chống CSRF
Mã thông báo chống CSRF là một giá trị ẩn được gửi cùng với yêu cầu và cookie của người dùng cụ thể. Đây là cách nó hoạt động:
- Máy chủ web tạo mã thông báo này và được đặt làm trường ẩn trên biểu mẫu.
- Khi người dùng điền và gửi biểu mẫu, mã thông báo được bao gồm trong yêu cầu ĐĂNG .
- Máy chủ sẽ so sánh mã thông báo được tạo và mã thông báo do người dùng gửi.
Nếu khớp, yêu cầu sẽ có hiệu lực. Nếu không khớp, yêu cầu được coi là không hợp lệ. Điều này ngăn các cuộc tấn công CSRF diễn ra.
Nhà phát triển có thể thêm các mã thông báo này trong khi tạo hoặc cập nhật plugin của họ.
2. Sử dụng Nonces
Mặc dù được sử dụng thay thế cho nhau, Anti-CSRF Tokens và Nonces là khác nhau. Giá trị nonce (các số được sử dụng một lần) giống như mật khẩu dùng một lần được tạo cho yêu cầu.
Khi một yêu cầu HTTP được gửi, nonce được tạo để xác minh yêu cầu. Nhưng sau khi được sử dụng, nonce sẽ bị vô hiệu và người dùng không thể gửi lại biểu mẫu bằng cách sử dụng cùng một giá trị nonce.
3. Cookie trên cùng một trang web
Các cuộc tấn công CSRF có thể xảy ra do các yêu cầu trên nhiều trang web được thực hiện bằng cách sử dụng cùng một cookie. Cookie trên cùng một trang web có nghĩa là một cookie chỉ có thể được gửi đi nếu yêu cầu được thực hiện từ chính trang web mà cookie đã được tạo.
Vấn đề với phương pháp này là Chrome và Firefox và một số trình duyệt khác, không phải tất cả các trình duyệt đều hỗ trợ cookie trên cùng một trang web.
Lớp này có thể được sử dụng như một lớp bảo vệ bổ sung nhưng không nên được sử dụng một mình để ngăn các cuộc tấn công CSRF.
Chúng tôi sẽ không đi sâu chi tiết hơn về các biện pháp ngăn chặn này vì ngày nay hầu như tất cả chúng đều có thể bị tin tặc bỏ qua. Tin tặc ngày càng trở nên thông minh hơn và phát triển các kỹ thuật mới để vượt qua các biện pháp ngăn chặn mà chúng tôi thực hiện.
Chúng tôi sẽ chuyển sang các biện pháp chủ động và phản ứng mà bạn có thể thực hiện với tư cách là chủ sở hữu trang web WordPress để tự bảo vệ mình trước các cuộc tấn công CSRF này.
[Quay lại đầu trang ↑]
ii. Các biện pháp phòng ngừa CSRF dành cho chủ sở hữu trang web WordPress
Như chúng tôi đã đề cập ở trên, người tạo plugin nên thực hiện các biện pháp để làm cho ứng dụng của họ an toàn. Nhưng nếu họ không làm như vậy thì sao? Làm cách nào để bạn biết plugin nào đã triển khai các biện pháp chống CSRF?
WordPress hiếm khi tự đứng vững. Plugin đóng một vai trò quan trọng trong chức năng và thiết kế của một trang web. Vì vậy, trong khi các trang web WordPress cần các plugin, bạn có tin tưởng một cách mù quáng rằng các plugin này đã thực hiện các biện pháp bảo mật thích hợp không?
Không! Chủ sở hữu trang web cần phải đề phòng và thực hiện các biện pháp bảo mật của riêng họ ngay cả khi các nhà phát triển plugin không làm như vậy.
Dưới đây là những gì bạn có thể làm để bảo vệ mình khỏi các cuộc tấn công CSRF:
1. Sử dụng Plugin chống CSRF
Không có nhiều plugin có sẵn trong kho lưu trữ WordPress dành riêng cho các cuộc tấn công CSRF. Đây là hai điều chúng tôi tìm thấy:
(A) Bảo vệ CSRF của biểu mẫu nhận xét - Plugin WordPress này thêm mã thông báo chống CSRF vào các biểu mẫu nhận xét của bạn. Mã thông báo có một giá trị duy nhất được giữ bí mật và không thực tế để đoán. Vì vậy, nếu người dùng gửi biểu mẫu, mã thông báo bí mật sẽ được gửi cùng với biểu mẫu đó. Chỉ khi nó phù hợp, yêu cầu gửi biểu mẫu sẽ được chấp nhận.
(B) Cookie trên cùng một trang web - Plugin này hoạt động trên các trình duyệt được hỗ trợ bao gồm Chrome, Firefox, IE và Edge. Nó đảm bảo rằng khi các yêu cầu HTTP được gửi, các cookie được gửi là từ cùng một trang web. Điều này chặn mọi yêu cầu trên nhiều trang web và do đó, chặn tất cả các cuộc tấn công CSRF.
2. Cài đặt một Plugin bảo mật toàn diện cho WordPress
Có rất nhiều plugin bảo mật có sẵn cho các trang web WordPress. Các plugin này có thể giữ cho trang web của bạn an toàn khỏi tất cả các loại tin tặc, bao gồm cả loại CSRF. Nhưng không phải tất cả các plugin bảo mật đều cung cấp cho bạn mức độ bảo mật như nhau.
Thêm vào đó, cuộc tấn công CSRF rất khó tìm. Tin tặc ngụy trang nó tốt từ chủ sở hữu trang web và người dùng, vì vậy nó không được chú ý. Bạn cần một plugin có thể phát hiện ra phần mềm độc hại trá hình như vậy.
Trong khi chọn một plugin bảo mật, bạn cần đảm bảo nó thực hiện những điều sau để luôn được bảo vệ trước các cuộc tấn công CSRF:
- Quét thường xuyên trang web của bạn cho bất kỳ tập lệnh độc hại nào.
- Lược qua tất cả các tệp và cơ sở dữ liệu của trang web của bạn.
- Có khả năng phát hiện bất kỳ loại phần mềm độc hại nào - bao gồm cả mới, ẩn hoặc ngụy trang. (Một số plugin chỉ tìm kiếm phần mềm độc hại đã được phát hiện.)
- Thông báo cho bạn nếu có bất kỳ hoạt động đáng ngờ nào trên trang web của bạn.
- Cung cấp cho bạn trang tổng quan độc lập để bạn có thể dọn dẹp trang web của mình ngay cả khi tin tặc khóa bạn khỏi tài khoản quản trị viên của chính mình.
Một plugin cung cấp cho bạn sự bảo vệ và các tính năng như vậy là MalCare. Khi bạn cài đặt plugin trên trang web WordPress của mình, nó sẽ cho phép bạn thoát khỏi bất kỳ cuộc tấn công CSRF nào. Nó cũng sẽ loại bỏ phần mềm độc hại WordPress một tin tặc có thể đã thêm vào trang web của bạn trong quá trình tấn công.
Trang web của bạn sẽ được bảo vệ bằng một tường lửa chủ động chặn các địa chỉ IP độc hại và bot xấu truy cập vào trang web của bạn.
Nếu một hacker quản lý để tấn công trang web của bạn bằng cách sử dụng một yêu cầu trên nhiều trang web độc hại, thì plugin bảo mật WordPress này sẽ cảnh báo cho bạn ngay lập tức. Sau đó, bạn có thể thực hiện hành động ngay lập tức bằng cách sử dụng cùng một plugin.
3. Quản lý trang web của bạn
WordPress khuyên bạn nên thực hiện các biện pháp nhất định để tăng cường trang web của mình. Điều này sẽ khiến tin tặc vô cùng khó xâm nhập. Chúng tôi đã trình bày tóm tắt một số biện pháp nhưng chúng tôi khuyên bạn nên đọc hướng dẫn mở rộng của chúng tôi về Làm cứng WordPress .
Vì nhiều điểm trong số này có một chút kỹ thuật, hướng dẫn chi tiết sẽ giúp bạn hiểu rõ hơn về nó. Dưới đây là một số biện pháp cứng rắn để ngăn chặn hoặc giảm thiệt hại do các cuộc tấn công CSRF gây ra bao gồm:
a. Sử dụng xác thực hai yếu tố
Có xác thực hai yếu tố bổ sung thêm một lớp xác minh người dùng. Người dùng sẽ phải nhập thông tin đăng nhập của họ, sau đó mật khẩu thứ hai sẽ được yêu cầu. Đây có thể là mật khẩu dùng một lần được gửi đến email hoặc số điện thoại đã đăng ký của người dùng. Nó cũng có thể là số xác thực được tạo bởi một ứng dụng như Google Authenticator.
b. Chặn thực thi PHP trong thư mục không đáng tin cậy
Nếu một cuộc tấn công CSRF cho phép tin tặc truy cập vào các tệp trên trang web của bạn, chúng có thể thực thi các hàm PHP để thực hiện các tác vụ độc hại. (Hàm PHP là một khối mã được viết trong một chương trình). Bạn cũng có thể vô hiệu hóa các thực thi PHP ở những nơi không cần thiết.
c. Tắt trình chỉnh sửa tệp
Nếu một tin tặc có quyền truy cập vào tài khoản Quản trị viên WordPress của bạn, họ có thể kiểm soát toàn bộ trang web của bạn. Trên trang tổng quan, họ có thể truy cập “Trình chỉnh sửa” trong các plugin hoặc chủ đề của bạn. Tại đây, họ có thể chỉnh sửa hoặc tải lên các tập lệnh của riêng họ để hiển thị nội dung của họ, làm xấu mặt trang web của bạn, SEO spam người dùng của bạn, v.v.
d. Thay đổi khóa bảo mật
Bạn có thể nhận thấy rằng bạn không phải nhập thông tin đăng nhập của mình mỗi khi bạn muốn truy cập vào tài khoản WordPress của mình. Nó đã được điền vào các trường được chỉ định. Để đảm bảo thông tin này an toàn trước tin tặc, WordPress sử dụng các khóa bảo mật mã hóa và lưu trữ dữ liệu này. . Sau đó, họ có thể thay đổi nó thành một cái gì đó khác và sử dụng nó để tiếp tục đăng nhập vào tài khoản quản trị trang web của bạn khi họ muốn.
- Bạn có thể áp dụng các biện pháp làm cứng này theo cách thủ công như được giải thích trong hướng dẫn mà chúng tôi đề xuất. Hoặc bạn có thể sử dụng MalCare để triển khai chúng chỉ trong vài cú nhấp chuột.
4. Xóa tất cả các chủ đề &plugin không được sử dụng
Bạn càng cài đặt nhiều plugin và chủ đề trên trang web của mình, thì tin tặc càng có nhiều cơ hội khai thác. Tốt nhất là xóa mọi plugin và chủ đề không sử dụng và chỉ giữ lại những plugin và chủ đề bạn sử dụng.
Bên cạnh những biện pháp này, bạn cũng có thể thực hiện một số biện pháp bảo mật khác như chuyển trang web của mình từ HTTP sang HTTPS, cài đặt plugin bảo mật và bảo vệ trang đăng nhập.
[Quay lại đầu trang ↑]
Lời kết
Các cuộc tấn công CSRF gây ra hậu quả nghiêm trọng cho cả người dùng và trang web.
Nếu một tin tặc thành công trong việc chạy các tập lệnh của họ thông qua yêu cầu HTTP, họ có thể tiếp quản trang web của bạn. Sau đó, không ai biết họ có thể làm gì. Họ có thể làm xấu mặt trang web của bạn để hiển thị tuyên truyền của riêng họ hoặc bán các sản phẩm hoặc ma túy bất hợp pháp. Họ cũng có thể chuyển hướng khách truy cập trang web của bạn đến các trang web của riêng họ.
Các trang web này thường sẽ là các trang web dành cho người lớn, những trang bán các sản phẩm bất hợp pháp hoặc những trang đánh lừa khách truy cập tải xuống phần mềm độc hại.
- Là chủ sở hữu trang web, bạn cần thực hiện các biện pháp để đảm bảo bạn luôn an toàn trước các cuộc tấn công này. Chúng tôi khuyên bạn nên giữ một plugin bảo mật chẳng hạn như MalCare đang hoạt động trên trang web WordPress của bạn vì nó sẽ cung cấp cho bạn sự bảo vệ toàn diện.
- Chúng tôi khuyên bạn nên thực hiện các biện pháp củng cố trang web để khiến tin tặc khó đột nhập.
- Cuối cùng, hãy đề phòng khi sử dụng các plugin và chủ đề. Cài đặt các chủ đề và plugin đáng tin cậy từ kho lưu trữ WordPress hoặc các thị trường như ThemeForest và CodeCanyon.
Chúng tôi tin tưởng rằng khi bạn triển khai các biện pháp này trên trang web WordPress của mình, bạn sẽ an toàn trước tin tặc!
Bảo vệ trang web WordPress của bạn với MalCare!