Diễn Đàn SEO - vnseo.edu.vn - Các nhà nghiên cứu đã phát hiện lỗ hổng chưa được vá trong lõi WordPress, điều này có thể cho phép người dùng có đặc quyền thấp chiếm đoạt toàn bộ trang web và thực thi mã tùy ý trên máy chủ. Được phát hiện bởi các nhà nghiên cứu tại RIPS Technologies GmbH, lỗ hổng “xóa tập tin tùy ý đã được xác thực” được báo cáo cách đây 7 tháng cho nhóm bảo mật WordPress nhưng vẫn chưa được vá và ảnh hưởng đến tất cả các phiên bản của WordPress, bao gồm cả phiên bản 4.9.6 hiện tại. Lỗ hổng này nằm trong một trong các chức năng chính của WordPress chạy trong nền khi người dùng xóa vĩnh viễn hình thu nhỏ của hình ảnh đã tải lên. Các nhà nghiên cứu nhận thấy rằng chức năng xóa hình thu nhỏ chấp nhận user input không an toàn, có thể cho phép người dùng có quyền hạn chế ít nhất một tác giả xóa bất kỳ tệp nào khỏi lưu trữ web. Với yêu cầu là hacker phải có ít nhất một account làm giảm đi mức độ nghiêm trọng của lỗ hổng, những người đóng góp nội dung hoặc hacker bằng cách nào đó có được tài khoản đăng nhập. Các nhà nghiên cứu nói rằng, bằng cách sử dụng lỗ hổng này, kẻ tấn công có thể xóa bất kỳ tệp quan trọng nào như “.htaccess” từ máy chủ, thường chứa các cấu hình liên quan đến bảo mật, trong nỗ lực vô hiệu hóa tính năng bảo vệ. Bên cạnh đó, xóa tệp “wp-config.php” – một trong những tệp cấu hình quan trọng nhất trong cài đặt WordPress có chứa thông tin kết nối cơ sở dữ liệu – có thể buộc toàn bộ trang web quay lại màn hình cài đặt, cho phép kẻ tấn công cấu hình lại trang web từ trình duyệt và kiểm soát hoàn toàn quyền kiểm soát của nó. Cần lưu ý là tin tặc không thể trực tiếp đọc từ file wp-config.php để biết được database name, mysql username hay mật khẩu mà chỉ có thể cài đặt lại trang được nhắm đến bằng máy chủ từ xa. Việc xóa toàn bộ cài đặt WordPress sẽ để lại hậu quả nghiêm trọng nếu không sao lưu kịp thời. Tin tặc còn có thể lợi dụng khả năng xóa file để phá vỡ hàng rào bảo mật và chạy code tùy ý trên website. Rất may cho các quản trị web là các nhà nghiên cứu đã đưa ra một phương án hotfix có thể tạm thời vá lỗ hổng wordpress này. Cách khắc phục: Thiết lập khóa trang web và cấm người dùng: – Bạn có thể cài đặt plugin bảo mật iThemes (một trong những plugin giúp bảo mật wordpress tốt nhất hiện nay) để tăng tính bảo mật trong trang login. Việc thiết lập tính năng khóa trang web và cấm người dùng không truy cập được nữa sẽ bảo mật tuyệt đối website wordpress của bạn. – Plugin iThemes này cho phép chặn, cấm người dùng nếu có 1 ai đó cố gắng đăng nhập, thử nhiều mật khẩu. Và khi có hành động bất thường này xảy ra lập tức người quản trị web wordpress đó sẽ nhận được thông báo qua email. – Điều hay ho bạn có thể hoàn toàn tự set up chế độ bảo mật riêng – tức là tự cài đặt hạn chế số lần người dùng login ví dụ như 3,4 lần và nếu cố đăng nhập lần thứ 5 thì sẽ bị cấm địa chỉ IP đang cố tình đó. – ĐÁNG CHÚ Ý: việc quản lý file wp-config.php trong wordpress là việc quan trọng nhất trong wordpress. Không quên xác thực 2 lớp – 2 factor authentication – Hầu hết những diễn đàn, website bảo mật cao và wordpress đều yêu cầu xác thực 2 lớp khi bạn đăng ký làm thành viên và có thể là đăng nhập. Admin wordpress có thể tăng tính bảo mật cho website của mình bằng cách đưa ra những câu hỏi bí mật hoặc bắt người dùng nhấp vào những hình ảnh đúng yêu cầu, giải phép tính, nhập mã bí mật… Login bằng Email giúp tăng cường bảo mật cho web – Theo mặc định, bạn sẽ đăng nhập bằng tên của mình hoặc số điện thoại. Nhưng việc sử dụng một Email ID thay vì một cái tên thông thường sẽ bảo mật an toàn hơn rất nhiều khi login website. – Tại sao sử dụng email đăng nhập an toàn hơn ? Lý do đơn giản là tên người dùng, số điện thoại dễ đoán và mò được, còn với email ID thì không. Hơn nữa, bất kỳ tài khoản người dùng nào trong wordpress cũng được tạo từ một địa chỉ email DUY NHẤT. Điều này giúp bảo mật thông tin người dùng, website 1 cách tuyệt đối – plugin WP Email Login sẽ hoạt động ngay sau khi kích hoạt và bạn không cần phải cấu hình gì cả. Cách kiếm tra: Bạn chỉ cần đăng xuất khỏi trang web, sau đó đăng nhập lại, nhưng lần này hãy nhớ sử dụng email mà bạn đã tạo để login Đổi URL đăng nhập – Một trong các cách bảo mật website wordpress mà người dùng ít biết chính là đổi địa chỉ url đăng nhập. Theo mặc định, trang login wordpress có thể truy cập dễ dàng qua địa chỉ: wp-login.php hoặc wp-admin + URL chính của trang web. ví dụ như: securitybox.vn/wp-admin/ chẳng hạn. – Hacker phản ứng sau khi nhìn thấy địa chỉ login này: Nếu nhìn thấy url đăng nhập dạng như trên, hacker có thể đăng nhập vào GWDb (Guess Work Database, ví dụ: tên người dùng: admin và mật khẩu: P @ ssword …) – Giải pháp: Để nâng cấp bảo mật wordpress toàn tập (to secure website wordpress), bạn cần phải thay đổi địa chỉ URL đăng nhập ngay. – Plugin hỗ trợ: iThems Security sẽ giúp bạn loại bỏ tới 99% các cuộc tấn công của tin tặc + Ví dụ cách thay đổi địa chỉ URL trong phần login như sau: – Thay đổi wp-login.php thành một cái gì đó độc đáo. Chẳng hạn: My_new_login ; / wp-admin / thành My_new_admin ; /wp-login.php?action=register thành My_new_registeration Nguồn: SecurityBox
