Lỗ hổng WordPress ảnh hưởng hơn 400.000 websites trên thế giới

Thứ sáu - 12/09/2014 01:06
Như SecurityDaily đã đưa tin ngày 03/09/2014, lỗ hổng nguy hiểm trong WordPress đang ảnh hưởng tới nhiều website của Việt Nam và rất nhiều các website của các tổ chức quan trọng trên thế giới. SecurityDaily đã thực hiện điều tra và phát hiện hơn 400.000 websites trên thế giới tồn tại lỗ hổng nguy hiểm này.

Kết quả quét và thống kê từ công cụ quét lỗ hổng tự động của SecurityDaily cho thấy, hiện có 400.000 websites trên thế giới đang tồn tại lỗ hổng nguy hiểm. Một số lượng lớn các websites quan trọng của Anh, Mỹ, Brasil… đang có nguy cơ bị tấn công chiếm quyền điều khiển dựa trên việc khai thác lỗ hổng trong WordPress.

Website của chính phủ Anh đang tồn tại lỗ hổng
Kết quả kiểm tra một website của chính phủ Anh Quốc

Lỗ hổng cho phép hacker có thể tải về toàn bộ mã nguồn websites, đọc tập tin cấu hình hệ thống và truy cập thẳng đến cơ sở dữ liệu của website, chiếm quyền điều khiển toàn bộ website.

Một số website của chính phủ các nước đang tồn tại lỗ hổng đã bị tin tặc tấn công và thay đổi giao diện

Website betania.pe.gov.br bị hack
Giao diện một website của chính phủ Brasil bị tin tặc thay đổi.

Rất nhiều trường đại học danh tiếng của Mỹ: Đại học Harvard, University of Florida, USG… cũng đang tồn tại lỗ hổng này:

Lỗ hổng WordPress ảnh hưởng hơn 400.000 websites trên thế giới

Hiện tại, SecurityDaily đã gửi cảnh báo tới các website chính phủ, các trường đại học lớn về việc tồn tại lỗ hổng nguy hiểm này.

Một lần nữa, SecurityDaily khuyến cáo quản trị các website đang sử dụng wordpress nên thực hiện ngay các phương án sau để đảm bảo an ninh và khắc phục lỗ hổng:

  1. Kiểm tra website với công cụ kiểm tra tự động: tools.mvs.vn
  2. Cập nhật lên phiên bản mới nhất của WordPress.
  3. Tạm dừng các plugin, theme sau (tồn tại lỗ hổng) nếu đang sử dụng, bao gồm:
    • Revolution Slider Plugin
    • CuckooTap Theme
    • IncredibleWP Theme
    • WordPress Ultimatum Theme
    • WordPress Ultimatum Theme
    • WordPress Ultimatum Theme
    • WordPress Avada Theme
    • WordPress Striking Theme & E-Commerce
    • WordPress Striking Theme & E-Commerce
  4. Rà soát lại toàn bộ các thư mục và tập tin trên website tránh việc website đã bị hacker khai thác và cài đặt backdoors lên hệ thống để tiếp tục xâm nhập.

Các nhà phát triển website wordpress có thể vá trực tiếp lỗ hổng này bằng việc thêm add_action để kiểm tra kỹ biến GET["img"] trước khi xử lý, cụ thể như sau:

function fixRevsliderExploit(){        if(substr_compare($_GET["img"], ".php", -4, 4) === 0){                die("Not found! ");        }}add_action('wp_ajax_revslider_show_image', fixRevsliderExploit(), -1);// Chi tiết: http://pastebin.com/k07msTHw

Nguồn tin: securitydaily.net

Tổng số điểm của bài viết là: 5 trong 1 đánh giá

Xếp hạng: 5 - 1 phiếu bầu
Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Giới thiệu về Công ty cổ phần phát triển nguồn mở Việt Nam

Công ty cổ phần phát triển nguồn mở Việt Nam (VINADES.,JSC) là công ty mã nguồn mở đầu tiên của Việt Nam sở hữu riêng một mã nguồn mở nổi tiếng và đang được sử dụng ở hàng ngàn website lớn nhỏ trong mọi lĩnh vực. Wbsite đang hoạt động chính thức: http://vinades.vn/ Ra đời từ hoạt động của tổ chức...

Thăm dò ý kiến

Lợi ích của phần mềm nguồn mở là gì?

Thống kê truy cập
  • Đang truy cập289
  • Máy chủ tìm kiếm11
  • Khách viếng thăm278
  • Hôm nay55,722
  • Tháng hiện tại719,605
  • Tổng lượt truy cập38,796,217
  • Microsoft Edge chính thức chuyển sang nền tảng Chromium, sẽ ra mắt trong năm 2019

    Không còn là tin đồn nữa, Microsoft vừa qua đã chính thức xác nhận sẽ chuyển trình duyệt Edge sang nền tảng Chromiumtương tự như Chrome của Google. Sự chuyển đổi này sẽ được hoàn tất vào năm 2019 và hứa hẹn sẽ đem lại trải nghiệm tốt hơn cho người dùng.
  • FireFox ra mắt phiên bản 63 với tính năng Content blocking giúp chặn theo dõi toàn diện

    Trình duyệt Mozilla Firefox 63 được tung ra kèm với tính năng Enhanced Tracking Protection để chặn cookie của bên thứ 3. Đáng chú ý là tính năng này được kích hoạt mặc định và ngay lập tức tất cả các nút mạng xã hội tích hợp lên website, các mã quảng cáo, mã thống kê truy cập... đều bị chặn.
  • Hướng dẫn kích hoạt reCaptcha trên NukeViet

    reCAPTCHA là công cụ hữu ích phòng chống SPAM được cung cấp bởi google. Ngày nay, đã và rất nhiều website sử dụng reCAPTCHA, không nằm ngoài nhóm đối tượng đó, các nhà phát triển đã tích hợp reCAPTCHA kể tư phiên bản NukeViet 4.1.01
  • Thông báo phát hành NukeViet 4.3.04

    NukeViet 4.3.04 tiếp tục là bản tiếp theo của thế hệ NukeViet 4.3. Ngoài các cải tiến về hệ thống, phiên bản này còn là bản cập nhật quan trọng để sửa lỗi bảo mật của thế hệ NukeViet 4.x
  • Hướng dẫn Fix lỗi bảo mật của NukeViet 4.x

    Ban quản trị NukeViet thông báo: các phiên bản NukeViet 4 (< 4.3.04) hiện tại đang chứa lỗi bảo mật. Đề nghị các bạn thực hiện tải bản vá cho website của mình. Lỗi này được Zepto Team phát hiện, và bạn hungnguyenmz thông báo cho ban quản trị ngày 14/11/2018. Đội code NukeViet đã hoàn thành vá lỗi, bản vá được phát hành vào ngày 15/11/2018 cho tất cả các phiên bản chính thức của NukeViet 4.x
  • Hướng dẫn cài đặt NukeViet lên Hostinger

    NukeViet là một CMS mã nguồn mở được viết bằng PHP và sử dụng MySQL làm hệ quản trị cơ sở dữ liệu. Nukeviet được phát hành từ năm 2004 và vẫn giữ vững là một trong các CMS tốt nhất cho người Việt. NukeViet phù hợp cho việc tạo blog cá nhân, site tin tức, báo mạng, website giới thiệu doanh nghiệp.
  • NukeViet đồng hành cùng Hacktoberfest Hanoi

    NukeViet sẽ đồng bảo trợ cho sự kiện Hacktoberfest Hà Nội. Tuy nhiên tất cả các thành viên trong cộng đồng NukeViet ở khắp nơi trên thế giới đều có thể tham gia
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây