Cảnh báo lỗ hổng bảo mật nguy hiểm trong nền tảng Wordpress
(THPL) - Một lỗ hổng nguy hiểm ở tất cả các phiên bản của Wordpress cho phép tin tặc xoá các tập tin trên máy chủ và chiếm quyền điều khiển website
Theo Công ty an ninh mạng CyStack, lỗ hổng này nằm trong chức năng xóa bài viết của Wordpress, tin tặc có thể lợi dụng việc gửi yêu cầu xóa lỗ hổng để chèn vào các đoạn mã độc, từ đó có thể xóa bất cứ tập tin nào trên máy chủ.
Cụ thể, khi thực hiện xóa bài, Wordpress sẽ thực hiện xóa cả tập tin thumb tương ứng với bài viết đó nếu tồn tại. Thông tin về tập tin thumb được gửi lên từ biến post trong gói tin HTTP.
Việc xóa tập tin này không thông qua các bước kiểm tra an ninh. Khi đó, hacker có thể thay đổi giá trị của biến thumb của bài viết để xóa bất cứ tập tin nào.
Chuyên gia Công ty CyStack cũng cho hay, các tệp tin bị xoá có thể là bất kỳ tập tin nào trên thư mực hosting của website. Bao gồm cả những tệp quan trọng như ".htaccess" (chứa một số thông số bảo mật), "index.php", "wp-config.php" (tệp tin cấu hình của website)...
“Việc này có thể gây ra những thiệt hại vô cùng lớn cho các website và có thể khiển chủ nhân website mất dữ liệu vĩnh viễn nếu các dữ liệu không được sao lưu. Khai thác lỗ hổng này tin tặc thực hiện thêm nhiều chiêu thức tấn công khác, kể cả tạo tài khoản quản trị mới để chiếm quyền điều hành”, đại diện CyStack nêu.
Các chuyên gia Công ty CyStack cho biết thêm, hiện tại, wordpress chưa tung ra bất cứ bản vá nào cho lỗ hổng này. Ngay phiên bản mới nhất của Wordpress là 4.9.6 cũng đang tồn tại lỗ hổng bảo mật nêu trên. Để tránh phải trở thành nạn nhân và thiệt hại cho các website, CyStack khuyến nghị quản trị viên của các trang web cần thực hiện nhưng biện pháp vá nóng cho lỗ hổng.
Hiện nay, chưa có cách khắc phục triệt để cho lỗ hổng này. Chuyên gia CyStack hướng dẫn quản trị viên các website có thể phòng tránh thiệt hại tạm thời bằng các phương án: Rà soát lại danh sách người dùng và các quản trị viên của website, đặc biệt là những người có chức năng đăng bài lên website; chỉ nên giữ lại các tài khoản thực sự tin tưởng;
Thực hiện backup toàn bộ dữ liệu của website để tránh trường hợp bị tin tặc tấn công, phá hoại; Áp dụng bản Hotfix đã được các nhà nghiên cứu đưa ra bằng việc lập trình thêm một hàm “filter hook” để ngăn chặn việc xóa tệp tin từ người dùng.
Tin khác
Bắt tạm giam Giám đốc và Tổng biên tập Nhà xuất bản Hội Nhà văn liên quan cuốn sách 'Chuyện với Thanh'
Khởi tố thêm hiệu trưởng trường Chuyên Tuyên Quang và 6 người có liên quan
Chính phủ đề xuất mô hình tập đoàn xuất bản - truyền thông
Tuyên Quang: Truy tìm đối tượng liên quan vụ xâm nhập mạng, mua bán 8,4 tỉ email
Niềm tin doanh nghiệp châu Âu vào Việt Nam tăng mạnh, tiệm cận mức cao nhất 7 năm
Vinmec Đà Nẵng mổ cấp cứu loại bỏ khối u buồng trứng khổng lồ cho bệnh nhân suy thận
Ngành VH-TT-DL chuyển tư duy "quản lý hành chính" sang "quản trị KPI"
(THPL) – Trong 6 tháng đầu năm 2026, ngành văn hóa, thể thao và du lịch đã ghi nhận những bước tiến toàn diện, đặc biệt là sự chuyển dịch...15/07/2026 15:57:34Bộ Y tế phát động Chiến dịch 100 ngày tạo lập Sổ sức khỏe trên VNeID
(THPL) – Ngày 15/7, Bộ Y tế tổ chức hội nghị triển khai Chiến dịch 90 ngày làm sạch, làm giàu, chuẩn hóa dữ liệu của 12 cơ sở dữ liệu...15/07/2026 16:14:51Vinmec Hải Phòng “hồi sinh” lồng ngực bị lõm cho cậu bé 13 tuổi bằng ca phẫu thuật tạo hình phức tạp
(THPL) - Nhiều năm qua, dị tật lõm lồng ngực bẩm sinh không chỉ khiến cậu bé 13 tuổi mệt mỏi, khó thở mỗi khi vận động mà còn sống trong...15/07/2026 14:53:41Khi AI thúc đẩy cuộc đua bán dẫn, Hàn Quốc tìm đến Việt Nam để hoàn thiện chuỗi cung ứng vonfram
(THPL) - Việc doanh nghiệp Hàn Quốc GB Innovation lựa chọn Masan High-Tech Materials (UPCoM: MSR) để chế biến vonfram cho thấy Việt Nam đang từng...15/07/2026 14:29:40
ĐỌC NHIỀU NHẤT
Quảng bá thương hiệu Việt
-
Tăng cường quảng bá sản phẩm, thương hiệu địa phương tại Hội chợ Mùa Xuân lần thứ nhất năm 2026
- Triển lãm “Đạo học ngàn năm” tôn vinh truyền thống hiếu học của dân...
- Tháo gỡ “điểm nghẽn” để ngành kim hoàn - đá quý Việt Nam cất cánh
- Vinh danh Nghệ nhân “Bàn tay vàng” và phong tặng Nghệ nhân Quốc gia