Cảnh báo lỗ hổng WordPress cho phép chiếm quyền điều khiển website

Một lỗ hổng wordpress vừa mới được công bố phép tin tặc kiểm soát toàn trang và tùy ý chạy các mã độc hại trên website.

Được phát hiện bởi các nhà nghiên cứu tại RIPS Technologies, lỗ hổng WordPress này cho phép xóa tệp tin bất kì trên website. Lỗ hổng đã được báo cáo cho đội an ninh mạng của WordPress này từ 7 tháng trước nhưng các chuyên gia có vẻ vẫn đang phải loay hoay và tạo ra nhiều rủi ro cho các website đang chạy wordpress.

Lỗ hổng đang ảnh hưởng tới tất cả các phiên bản của WordPress, bao gồm cả bản mới nhất là 4.9.6. Lỗ hổng wordpress này nằm ở một trong những chức năng chính khi người dùng xóa các hình ảnh trên website.



Chức năng xóa ảnh cho phép gửi đến website các dữ liệu không được kiểm duyệt. Điều này cho phép người dùng hoặc hay là các tin tặc được xóa bất cứ file nào trên trang chủ, đây là điều mà đáng ra chỉ admin trang web và máy chủ làm được.

Qua lỗi bảo mật này, tin tặc có thể xóa cả những file quan trọng như file “.htaccess” từ máy chủ, đó là file thường bao gồm cấu trúc liên quan đến bảo mật, để vô hiệu hóa hàng rào bảo vệ người dùng.

Bên cạnh đó, việc xóa tệp “wp-config.php” – một trong những tệp quan trọng nhất khi cài đặt WordPress, có chứa database kết nối của người dùng – sẽ khiến cho toàn bộ website trở về màn hình chính lúc mới cài đặt. Điều này sẽ cho phép tin tặc tái tạo lại trang web trong trình duyệt và toàn quyền kiểm soát nó.

Cần lưu ý là tin tặc không thể trực tiếp đọc từ file wp-config.php để biết được database name, mysql username hay mật khẩu mà chỉ có thể cài đặt lại trang được nhắm đến bằng máy chủ từ xa. Việc xóa toàn bộ cài đặt WordPress sẽ để lại hậu quả nghiêm trọng nếu không sao lưu kịp thời. Tin tặc còn có thể lợi dụng khả năng xóa file để phá vỡ hàng rào bảo mật và chạy code tùy ý trên website.

Rất may cho các quản trị web là các nhà nghiên cứu đã đưa ra một phương án hotfix có thể tạm thời vá lỗ hổng wordpress này.

THN​

 

Như vậy vẫn phải có quyền user và upload image lên được . Lỗ hổng chắc do ko check file để tạo thumb. Nếu disable user login thì ko lo

 

WP lâu lâu lại lòi ra bug. Đến khổ. Thôi anh em ráng tự code lấy web cho yên tâm. Tự code không chắc là không bị bug nhưng nếu có bug thì xử lý cũng đơn giản hơn.

 

auto thì lấy đâu ra user mà bị hack cơ chứ

 

Lỗ hổng này chắc chủ dành cho wp có nhiều user

 

Anh ko dùng WP nhưng ít nhất thì cũng phải có 1 user là admin chứ? Vậy kiểu gì cũng chết à?
Nếu web auto ko cần backend thì disable phần admin đi được không?

 

Em nghĩ là nên. 1 số ông setup xong xóa luôn cái file admin.php chừng nào xài mới up lên cho an toàn

 

xóa hoặc đổi tên wp-admin đi là ok mà

 

Chả có nhẽ user admin cũng bị hack?

 

Mấy năm trước wp có 1 bug hack user admin (hoặc bất kỳ user nào có id=1)

 

lạ nhỉ, sao em vẫn vô được nhỉ, bác báo lỗi gì thế ?

 

Theo lý thuyết cái file đó đâu có liên quan gì tới việc vô các post đâu ta.

 

À mới xem lại. Thím đừng có xóa thư mục wp-admin mà đổi tên cái file admin.php trong thư mục wp-admin thôi là dc

 

em vừa đổi lại, vẫn được mà nhỉ