Ngày 03/09, SecurityDaily đã đưa ra cảnh báo về một lỗ hổng rất nghiêm trọng nằm trong nhân của wordpress cho phép hacker có thể tải về toàn bộ mã nguồn của website. SecurityDaily đã xây dựng công cụ kiểm tra trực tuyến tại Tools.mvs.vn để hỗ trợ các quản trị website kiểm tra nhanh hệ thống website mà mình đang sử dụng. Rất nhiều các website trong và ngoài nước đã được kiểm tra bằng công cụ của SecurityDaily.
Giao diện trang chủ của Tools.mvs.vn
Theo thống kê từ hệ thống kiểm tra lỗ hổng tự động Tools.mvs.vn, sau 3 ngày triển khai đã có tổng cộng 10.454 websites của các cá nhân, tổ chức trong và ngoài nước được kiểm tra. Trong số đó, hệ thống đã ghi nhận 2.932 websites tồn tại lỗ hổng. Để khắc phục lỗ hổng nằm trong WordPress, các quản trị website nên thực hiện các biện pháp sau
- Cập nhật WordPress lên phiên bản mới nhất.
- Loại bỏ các Theme, Plugin bị ảnh hưởng:
- Revolution Slider Plugin
- CuckooTap Theme
- IncredibleWP Theme
- WordPress Ultimatum Theme
- WordPress Ultimatum Theme
- WordPress Ultimatum Theme
- WordPress Avada Theme
- WordPress Striking Theme & E-Commerce
- WordPress Striking Theme & E-Commerce
- Rà soát thư mục web của mình để phát hiện sớm các backdoor có thể đã được cài đặt trên hệ thống.
Cách khắc phục thủ công
Ngoài ra các nhà phát triển website WordPress cũng có thể thực hiện vá trực tiếp lỗ hổng này bằng việc kiểm tra kỹ các giá trị của các biến đầu vào trước khi xử lý. Cụ thể, các nhà phát triển cần viết thêm một action đơn giản và đưa vào mã nguồn của theme wordpress. Chi tiết:
function fixRevsliderExploit(){
if(substr_compare($_GET["img"], ".php", -4, 4) === 0){
die("Not found! ");
}
}
add_action('wp_ajax_revslider_show_image', fixRevsliderExploit(), -1);
WordPress là một nền tảng mã nguồn mở miễn phí, một hệ thống quản trị nội dung với hơn 30.000 plugins cung cấp các chức năng tùy chỉnh và đầy đủ cho phép người dùng tùy biến trang web theo các yêu cầu cụ thể, rất dễ cài đặt và sử dụng. Hiện tại có gần 80 triệu trang web trên Internet được xây dựng từ WordPress.
