logo
Menu
Bảo mật website cho hơn 400.000 trang web wordpress

Bảo mật website cho hơn 400.000 trang web wordpress

Các Plugin Wordpress như: InfiniteWP, WP Time Capsule và WP Database Reset được các chuyên gia an ninh mạng tìm thấy với những lỗ hổng cực lớn, có khả năng làm cho website doanh nghiệp bảo mật kém và dễ dàng bị tấn công bởi các Hacker hiện nay.
21 Tháng 5, 2020

Các Plugin Wordpress như: InfiniteWP, WP Time Capsule và WP Database Reset được các chuyên gia an ninh mạng tìm thấy với những lỗ hổng cực lớn, có khả năng làm cho website doanh nghiệp bảo mật kém và dễ dàng bị tấn công bởi các Hacker hiện nay.

Con số ước tính có khoảng hơn 400.000 website wordpress có cài đặt 3 loại Plugin này. Cụ thể như sau:

Lỗ hổng thứ 1: Plugin InfiniteWP Client 

Plugin InfiniteWP Client được cài đặt trên 300.000 website wordpress. Chúng cho phép người dùng quản lý số lượng trang web không giới hạn.

InfiniteWP có những đặc điểm chính như sau:

  • Hệ thống tự động lưu trữ và dễ dàng kiểm soát
  • Cập nhật website, plugin hoặc chủ đề website dễ dàng với 1 cú click chuột
  • Sao lưu tức thì và khôi phục toàn bộ trang web của bạn hoặc 1 phần cơ sở dữ liệu theo yêu cầu.
  • Truy cập bằng một cú nhấp chuột vào tất cả các bảng quản trị WP
  • Quản lý hàng loạt plugin & chủ đề: Kích hoạt & hủy kích hoạt nhiều plugin & chủ đề trên nhiều trang web cùng một lúc
  • Cài đặt hàng loạt plugin & chủ đề trong nhiều trang web cùng một lúc và hơn thế nữa…

Lỗ hổng từ Plugin InfiniteWP Client cho phép bất cứ ai cũng có thể đăng nhập quyền quản trị trên trang web. Kẻ tấn công có thể xóa nội dung website, hoặc thêm tài khoản quản trị mới và thực hiện vô số các hành vi tấn công website khác nhau.

Marc-Alexandre Montpas - một nhà nghiên cứu tại công ty bảo mật Website Sucuri (Mỹ) đã đưa tin: “Các lỗ hổng từ Plugin InfiniteWP Client có thể dẫn đến nhiều vấn đề nghiêm trọng đối với ứng dụng Web và thành phần bên trong cấu trúc Website.

Người dùng sử dụng Plugin InfiniteWP Client cho Wordprress với phiên bản 1.9.4.4 trở về trước cần cập nhật lên phiên bản 1.9.4.5 sớm nhất để có thể để ngăn chặn các tấn công có thể xảy đến với website của chính mình.

Bảo mật website cho hơn 400.000 trang web wordpress

Lỗ hổng thứ 2: Plugin WP Time Capsule

Plugin WP Time Capsule được cài đặt trên khoảng 20.000 website Wordpress, với chức năng chính là để sao lưu dữ liệu trang web dễ dàng và thuận tiện hơn.

WP Time Capsule độc đáo với những tính năng khác biệt sau:

1. Nó sao lưu và chỉ khôi phục các tệp & DB đã thay đổi và không phải toàn bộ trang web.

2. Các tệp & DB sẽ được lưu trữ trong ứng dụng lưu trữ đám mây như: Amazon S3, Wasabi, Dropbox hoặc Google Drive.

3. WP Time Capsule sử dụng hệ thống phiên bản tệp gốc của ứng dụng đám mây để phát hiện các thay đổi và duy trì các phiên bản tệp. Vì vậy, sao lưu và khôi phục là đáng tin cậy.

4. Quan trọng nhất, bạn có thể sao lưu trang web của mình theo thời gian thực, điều đó có nghĩa là bây giờ bạn sẽ có thể hoàn nguyên trang web của mình về cách thức chỉ một giờ trước. Ngoài ra, bạn có thể thay đổi khoảng thời gian sao lưu thành mỗi 6 giờ hoặc 12 giờ hoặc 24h mỗi ngày.

Lỗ hổng trong Plugin WP Time Capsule cũng dẫn đến những vẫn đề sai sót về chức năng xác thực người dùng đăng nhập quyền quản trị web giống như Plugin InfiniteWP Client.

Từ lỗ hổng này tin tặc có thể dễ dàng đăng nhập Website với vai trò quản trị viên mà không cần xác thực.

Lỗ hổng Plugin WP Time Capsule đã được vá với phiên bản 1.21.16. Các website cần cập nhật ngay phiên bản mới của plugin này.

Lỗ hổng thứ 3: Plugin WP Database Reset

Cho phép bạn đặt lại cơ sở dữ liệu (tất cả các bảng hoặc 1 bảng mà bạn chọn) trở về cài đặt mặc định mà không phải trải qua quá trình cài đặt WordPress 5 phút hoặc phải sửa đổi bất kỳ tệp nào.

Plugin WP Database Reset được cài đặt trên khoảng 80.000 website.

Lỗ hổng từ Plugin WP Database Reset cho phép tin tặc có thể reset lại bất kỳ bảng nào trong cơ sở dữ liệu về trạng thái WordPress ban đầu mà không cần xác thực.

Lỗ hổng Plugin WP Database Reset xảy ra do các chức năng thiết lập lại không được đảm bảo an toàn bởi các kiểm tra tiêu chuẩn hoặc các biện pháp bảo mật. Lỗ hổng này có thể dẫn đến việc mất hoàn toàn dữ liệu hoặc thiết lập lại website về cài đặt mặc định ban đầu của WordPress.

Ngoài ra, Plugin WP Database Reset còn có 1 lỗ hổng khác nữa đó là lỗ hổng leo thang đặc quyền, cho phép bất kỳ người dùng xác thực nào kể cả những người dùng có quyền hệ thống tối thiểu, giành được quyền quản trị và khóa tất cả người dùng khác.

Plugin WP Database Reset  hiện cũng đã có phiên bản mới là Plugin WP Database Reset  3.15 để vá cả 2 lỗ hổng lớn này.

Hiện vẫn chưa có thông tin nào được công bố từ các doanh nghiệp về việc website bị tấn công từ các lỗ hổng wordpress này. Thông tin có thể còn là những ẩn số bí mật mà các doanh nghiệp không muốn chia sẻ với cộng đồng.

Mỗi doanh nghiệp, khi sử dụng website wordpress cần có những biện pháp bảo mật website an toàn, để đảm bảo cho công việc kinh doanh được thuận lợi và tránh những rủi ro không đáng có.

Giải pháp bảo mật website với WAF – Tường lửa ứng dụng Web

Chống tấn công Ddos Website

Tăng tốc website với CDN Việt Nam và CDN Global

Enhance your website today

7-ngày dùng thử