Cảnh Báo Về Lỗ Hổng Bảo Mật XSS Cực Kỳ Nguy Hiểm Trong WordPress

Ngày đăng: 06/02/2023
Tác giả: Hostingviet
Lượt xem: 34
Theo dõi:

Theo nguồn tin cảnh báo từ group HVA thì WordPress đang dính lỗ hổng bảo mật Stored XSS cực kỳ nghiêm trọng tại phần bình luận và bài viết (cụ thể là ở tiêu đề của bài viết). Hosting Việt đã xác nhận lại bằng cách kiểm thử với phiên bản WordPress 4.6.1 trên Localhost.

 

wordpress-security-xss-vulnerability
 

Lỗ hổng ảnh hưởng tới các phiên bản từ 4.6.1 trở xuống (tức là bao gồm cả phiên bản mới nhất). Hiện tại phía WordPress chưa có bản cập nhật nào.
Với hai lỗ hổng XSS này, hacker hoàn toàn có thể tải web-shell lên trang web của bạn. Xem video demo trong bài viết này để hình dung được mức độ nguy hiểm.
Để khắc phục lỗ hổng. Các bạn có thể vô hiệu hóa bình luận bằng cách truy cập Discussion Settings:
http://your-site.com/wp-admin/options-discussion.php
Và bỏ đánh dấu ở ô "Allow people to post comments on new articles" (Cho phép mọi người đăng bình luận...)

wordpress-security-xss-vulnerability
 

Tuy nhiên chỉ chặn được việc tấn công từ bình luận. Còn phần tiêu đề bài viết thì do Admin và cộng tác viên mới có quyền đăng bài nên không lo lắm. Nhưng có thể trường hợp một số cộng tác viên xấu muốn chiếm quyền lên làm Admin thì...

Plugin giúp bảo vệ trang WordPress của bạn

Vì những lý do trên, tớ đã tạo ra một bản vá lỗi tạm thời trong khi chờ WordPress Team cập nhật: https://github.com/J2TeaM/wordpress-xss-patch

Plugin này sẽ hook vào phần bình luận và đăng bài viết để lọc dữ liệu trước khi lưu vào Database cũng như khi in bình luận ra trang bài viết. Điều đó giúp mã độc do hacker chèn vào không thể thực thi được.

Các bạn chỉ việc tải về, truy cập vào trang cài đặt plugin mới: http://your-site.com/wp-admin/plugin-install.php

wordpress-security-xss-vulnerability
 


Nhấn vào nút Upload Plugin và duyệt tới file .zip mà các bạn đã tải về.
Sau khi tải lên, đừng quên Activate (kích hoạt) plugin để bản vá có hiệu lực nhé! ;)
Hãy chia sẻ với bạn bè của bạn - những ai mà đang sử dụng WordPress!

  • Nhà cung cấp Tên Miền - Hostsing - VPS tốt nhất Việt Nam

    Là đơn vị thuộc top 3 lĩnh vực dịch vụ lưu trữ website tại Việt Nam, Hostsing Việt được đánh giá là nhà cung cấp tên miền giá rẻ và Hostsing giá rẻ cũng như luôn nhận được nhiều lời giới thiệu từ diễn đàn tin học về nơi mua Hosts ở đâu tốt . Chỉ từ 50.000đ/tháng, người dùng đã có ngay cho mình một Hosts để thỏa sức học tập, nghiên cứu hoặc chạy demo website… Bên cạnh đó, Hostsing Việt còn là đơn vị luôn tiên phong trong công nghệ điện toán đám mây (cloud Hostsing),gói thuê server với băng thông khủng không giới hạn.
    Hostsing Việt có đa dạng gói dịch vụ, bên cạnh những gói giá siêu rẻ 50.000đ/tháng, nhà cung cấp còn có những vps giá rẻ chất lượng dành cho nhiều nhóm doanh nghiệp khác nhau. Các gói này luôn đáp ứng đủ nhu cầu lưu trữ, truy cập hàng chục nghìn người mỗi ngày.
    Ngoài ra, với dịch vụ chăm sóc khách hàng chuyên nghiệp, đội ngũ kỹ thuật viên có chuyên môn cao sẽ nhanh chóng hỗ trợ, xử lý các vấn đề phát sinh. Từ đó, giúp người dùng có được sự trải nghiệp mượt mà, thú vị.


    Qua bài viết trên Hostsing Việt đã giúp bạn có thêm nhiều thông tin bổ ích! Hi vọng bạn sẽ có thể trang bị thêm thật nhiều kiến thức khác mà chúng tôi đã chia sẻ! Nếu thấy bài viết này hữu ích hãy subscribe để theo dõi những thông tin mới nhất từ Hostsing Việt nhé. Chúc các bạn thành công!

 

nguồn: junookyo.blogspot.com

Bài viết liên quan
 
 
2023/08/29

Tìm hiểu về Private Cloud và ứng dụng trong doanh nghiệp

I. Giới thiệu về Private Cloud Khái niệm Private Cloud: Private cloud là mô hình điện toán đám mây trong đó...
Tác giả:
Đọc thêm
 
 
2023/08/29

Hướng dẫn tổng quan về iDrac 8 - tổng quan các tính năng iDrac

Nó chủ yếu sử dụng các tài nguyên riêng biệt cho tài nguyên máy chủ chính và cung cấp giao diện d&...
Tác giả:
Đọc thêm
 
 
2023/08/29

3 cách tạo Email doanh nghiệp miễn phí cực đơn giản, nhanh chóng

Trong thời đại kỹ thuật số phát triển mạnh mẽ như hiện nay, email là một phương tiện truyền thông không thể thiếu trong hoạt động kinh doanh của mọi doanh nghiệp. Nế...
Tác giả:
Đọc thêm
 
 
2023/08/29

Cách Giảm Dung Lượng File Excel, Nén File Excel Nhanh Và Đơn Giản

Cách giảm dung lượng File Excel Sử dụng phần mềm Winrar hay Zip-7 cũng là cách nén file excel để gửi mail. Ngoài ra, c&ograv...
Tác giả:
Đọc thêm
 
 
2023/08/29

Ghosting là gì? Giải đáp thuật ngữ đang thịnh hành trong tình yêu

Ghosting là gì? Ghosting trong tình yêu có thể ảnh hưởng đến niềm tin và sự tự tin trong các mối quan hệ. Nhiều người...
Tác giả:
Đọc thêm
 
 
2023/08/29

Firmware là gì? Đặc điểm và ứng dụng cơ bản của firmware

Firmware đóng vai trò cực kỳ quan trọng trong hoạt động của những thiết bị điện tử. Đây được coi là một thuật ngữ phổ biến trong ngà...
Tác giả:
Đọc thêm