Lỗ hổng WordPress ảnh hưởng hơn 400.000 websites trên thế giới

Thứ sáu - 12/09/2014 01:06
Như SecurityDaily đã đưa tin ngày 03/09/2014, lỗ hổng nguy hiểm trong WordPress đang ảnh hưởng tới nhiều website của Việt Nam và rất nhiều các website của các tổ chức quan trọng trên thế giới. SecurityDaily đã thực hiện điều tra và phát hiện hơn 400.000 websites trên thế giới tồn tại lỗ hổng nguy hiểm này.

Kết quả quét và thống kê từ công cụ quét lỗ hổng tự động của SecurityDaily cho thấy, hiện có 400.000 websites trên thế giới đang tồn tại lỗ hổng nguy hiểm. Một số lượng lớn các websites quan trọng của Anh, Mỹ, Brasil… đang có nguy cơ bị tấn công chiếm quyền điều khiển dựa trên việc khai thác lỗ hổng trong WordPress.

Website của chính phủ Anh đang tồn tại lỗ hổng
Kết quả kiểm tra một website của chính phủ Anh Quốc

Lỗ hổng cho phép hacker có thể tải về toàn bộ mã nguồn websites, đọc tập tin cấu hình hệ thống và truy cập thẳng đến cơ sở dữ liệu của website, chiếm quyền điều khiển toàn bộ website.

Một số website của chính phủ các nước đang tồn tại lỗ hổng đã bị tin tặc tấn công và thay đổi giao diện

Website betania.pe.gov.br bị hack
Giao diện một website của chính phủ Brasil bị tin tặc thay đổi.

Rất nhiều trường đại học danh tiếng của Mỹ: Đại học Harvard, University of Florida, USG… cũng đang tồn tại lỗ hổng này:

Lỗ hổng WordPress ảnh hưởng hơn 400.000 websites trên thế giới

Hiện tại, SecurityDaily đã gửi cảnh báo tới các website chính phủ, các trường đại học lớn về việc tồn tại lỗ hổng nguy hiểm này.

Một lần nữa, SecurityDaily khuyến cáo quản trị các website đang sử dụng wordpress nên thực hiện ngay các phương án sau để đảm bảo an ninh và khắc phục lỗ hổng:

  1. Kiểm tra website với công cụ kiểm tra tự động: tools.mvs.vn
  2. Cập nhật lên phiên bản mới nhất của WordPress.
  3. Tạm dừng các plugin, theme sau (tồn tại lỗ hổng) nếu đang sử dụng, bao gồm:
    • Revolution Slider Plugin
    • CuckooTap Theme
    • IncredibleWP Theme
    • WordPress Ultimatum Theme
    • WordPress Ultimatum Theme
    • WordPress Ultimatum Theme
    • WordPress Avada Theme
    • WordPress Striking Theme & E-Commerce
    • WordPress Striking Theme & E-Commerce
  4. Rà soát lại toàn bộ các thư mục và tập tin trên website tránh việc website đã bị hacker khai thác và cài đặt backdoors lên hệ thống để tiếp tục xâm nhập.

Các nhà phát triển website wordpress có thể vá trực tiếp lỗ hổng này bằng việc thêm add_action để kiểm tra kỹ biến GET["img"] trước khi xử lý, cụ thể như sau:

function fixRevsliderExploit(){        if(substr_compare($_GET["img"], ".php", -4, 4) === 0){                die("Not found! ");        }}add_action('wp_ajax_revslider_show_image', fixRevsliderExploit(), -1);// Chi tiết: http://pastebin.com/k07msTHw

Nguồn tin: securitydaily.net

Tổng số điểm của bài viết là: 5 trong 1 đánh giá

Xếp hạng: 5 - 1 phiếu bầu
Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Logo và tên gọi NukeViet

Tên gọi: NukeViet phát âm là [Nu-Ke-Việt], đây là cách đọc riêng, không phải là cách phát âm chuẩn của tiếng Anh. Ý nghĩa: NukeViet là từ ghép từ chữ Nuke và Việt Nam. Sở dĩ có tên gọi này là vì phiên bản 1.0 và 2.0 của NukeViet được phát triển từ mã nguồn mở PHP-Nuke. Mặc dù từ phiên bản 3.0,...

Thăm dò ý kiến

Bạn biết gì về NukeViet 4?

Tin xem nhiều
Thống kê truy cập
  • Đang truy cập166
  • Máy chủ tìm kiếm13
  • Khách viếng thăm153
  • Hôm nay7,221
  • Tháng hiện tại322,344
  • Tổng lượt truy cập73,746,783
  • Tổng hợp những bài báo chí viết về NukeViet

    Ngay sau khi thành lập vào năm 2010, NukeViet đã phát triển theo mô hình chuyên nghiệp, đội ngũ quản trị đã thành lập doanh nghiệp chuyên quản và đạt được những thành quả vượt bậc như trở thành hệ quản trị nội dung nguồn mở duy nhất của Việt Nam được Bộ GD&ĐT khuyến khích sử dụng trong giáo dục (thông tư 08/2010/TT-BGDĐT), được trao giải Nhân Tài Đất Việt 2011,... Để thống kê đầy đủ các bài báo chí viết về NukeViet, mời quý độc giả có thể xem chi tiết qua các link bài viết dưới đây.
  • Thông báo đóng cửa diễn đàn NukeViet vì không có giấy phép Mạng xã hội

    Công ty cổ phần phát triển nguồn mở Việt Nam (VINADES) xin thông báo đến Cộng đồng NukeViet, chúng tôi sẽ đóng cửa diễn đàn NukeViet vì không có giấy phép Mạng xã hội.
  • NukeViet.vn thông báo lịch nghỉ tết Nguyên đán năm 2021

    NukeViet.vn xin thông báo lịch nghỉ tết Nguyên đán 2021 đến quý khách hàng, đối tác.
  • Cộng đồng NukeViet vinh dự có 1 đơn vị tập thể và 1 cá nhân nhận bằng khen của Hội tin học Việt Nam

    Ngày 10/01/2021, tại sự kiện mừng sinh nhật lần thứ 9 CLB Phần mềm tự do nguồn mở Việt Nam (VFOSSA), Cộng đồng NukeViet đã có 1 cá nhân và 1 đơn vị tập thể được Hội tin học Việt Nam (VAIP) trao tặng bằng khen. Đây là niềm vinh dự lớn khi những đóng góp xuất sắc của cá nhân và tập thể trong Cộng đồng NukeViet được ghi nhận và vinh danh.
  • Powtoon phần mềm tạo video sinh động, hấp dẫn

    Powtoon được biết đến là một trong số những công cụ tạo video sinh động, hấp dẫn được nhiều người dùng ưa chuộng. Với thư viện template đa dạng, sinh động giúp bạn tạo nên những video, slide chất lượng cho mình.
  • Chương trình đào tạo chuyên sâu lập trình viên NukeViet

    Với mục đích mở rộng cộng đồng lập trình yêu thích mã nguồn mở NukeViet. Công ty VINADES chủ quản phần mềm mã nguồn mở đã mở ra chương trình đào tạo lập trình viên online cho những ai yêu thích NukeViet
  • Olympic Tin học Sinh viên năm 2020 - hạng mục Phần mềm nguồn mở diễn ra thành công tốt đẹp

    Ngày 10/12/2020, Cuộc thi Olympic Tin học Sinh viên toàn quốc năm 2020 (OLP), hạng mục Phần mềm nguồn mở chính thức được diễn ra tại Đại học Cần Thơ. Mã nguồn mở NukeViet vinh dự được lựa chọn làm nội dung thi của hạng mục này. NukeViet Core Team cũng được lựa chọn làm Ban Giám khảo chấm thi.
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây