Cảnh Báo Về Lỗ Hổng Bảo Mật XSS Cực Kỳ Nguy Hiểm Trong WordPress

Theo nguồn tin cảnh báo từ group HVA thì WordPress đang dính lỗ hổng bảo mật Stored XSS cực kỳ nghiêm trọng tại phần bình luận và bài viết (cụ thể là ở tiêu đề của bài viết). Hosting Việt đã xác nhận lại bằng cách kiểm thử với phiên bản WordPress 4.6.1 trên Localhost.

wordpress-security-xss-vulnerability

Lỗ hổng ảnh hưởng tới các phiên bản từ 4.6.1 trở xuống (tức là bao gồm cả phiên bản mới nhất). Hiện tại phía WordPress chưa có bản cập nhật nào.
Với hai lỗ hổng XSS này, hacker hoàn toàn có thể tải web-shell lên trang web của bạn. Xem video demo trong bài viết này để hình dung được mức độ nguy hiểm.
Để khắc phục lỗ hổng. Các bạn có thể vô hiệu hóa bình luận bằng cách truy cập Discussion Settings:
http://your-site.com/wp-admin/options-discussion.php
Và bỏ đánh dấu ở ô "Allow people to post comments on new articles" (Cho phép mọi người đăng bình luận...)

wordpress-security-xss-vulnerability

Tuy nhiên chỉ chặn được việc tấn công từ bình luận. Còn phần tiêu đề bài viết thì do Admin và cộng tác viên mới có quyền đăng bài nên không lo lắm. Nhưng có thể trường hợp một số cộng tác viên xấu muốn chiếm quyền lên làm Admin thì...

Plugin giúp bảo vệ trang WordPress của bạn

Vì những lý do trên, tớ đã tạo ra một bản vá lỗi tạm thời trong khi chờ WordPress Team cập nhật: https://github.com/J2TeaM/wordpress-xss-patch

Plugin này sẽ hook vào phần bình luận và đăng bài viết để lọc dữ liệu trước khi lưu vào Database cũng như khi in bình luận ra trang bài viết. Điều đó giúp mã độc do hacker chèn vào không thể thực thi được.

Các bạn chỉ việc tải về, truy cập vào trang cài đặt plugin mới: http://your-site.com/wp-admin/plugin-install.php

wordpress-security-xss-vulnerability


Nhấn vào nút Upload Plugin và duyệt tới file .zip mà các bạn đã tải về.
Sau khi tải lên, đừng quên Activate (kích hoạt) plugin để bản vá có hiệu lực nhé! ;)
Hãy chia sẻ với bạn bè của bạn - những ai mà đang sử dụng WordPress!

  • Nhà cung cấp Tên Miền - Hostsing - VPS tốt nhất Việt Nam

    Là đơn vị thuộc top 3 lĩnh vực dịch vụ lưu trữ website tại Việt Nam, Hostsing Việt được đánh giá là nhà cung cấp tên miền giá rẻ và Hostsing giá rẻ cũng như luôn nhận được nhiều lời giới thiệu từ diễn đàn tin học về nơi mua Hosts ở đâu tốt . Chỉ từ 50.000đ/tháng, người dùng đã có ngay cho mình một Hosts để thỏa sức học tập, nghiên cứu hoặc chạy demo website… Bên cạnh đó, Hostsing Việt còn là đơn vị luôn tiên phong trong công nghệ điện toán đám mây (cloud Hostsing),gói thuê server với băng thông khủng không giới hạn.
    Hostsing Việt có đa dạng gói dịch vụ, bên cạnh những gói giá siêu rẻ 50.000đ/tháng, nhà cung cấp còn có những vps giá rẻ chất lượng dành cho nhiều nhóm doanh nghiệp khác nhau. Các gói này luôn đáp ứng đủ nhu cầu lưu trữ, truy cập hàng chục nghìn người mỗi ngày.
    Ngoài ra, với dịch vụ chăm sóc khách hàng chuyên nghiệp, đội ngũ kỹ thuật viên có chuyên môn cao sẽ nhanh chóng hỗ trợ, xử lý các vấn đề phát sinh. Từ đó, giúp người dùng có được sự trải nghiệp mượt mà, thú vị.


    Qua bài viết trên Hostsing Việt đã giúp bạn có thêm nhiều thông tin bổ ích! Hi vọng bạn sẽ có thể trang bị thêm thật nhiều kiến thức khác mà chúng tôi đã chia sẻ! Nếu thấy bài viết này hữu ích hãy subscribe để theo dõi những thông tin mới nhất từ Hostsing Việt nhé. Chúc các bạn thành công!

nguồn: junookyo.blogspot.com