WordPress hiện nay được hàng triệu người sử dụng bởi tính năng nguồn mở. Các Hacker không ngừng tìm cách khai thác các lỗ hổng từ Plugin và Themes để tấn công vào Website. Lần này là Live Chat with Facebook Messenger của Zotabox.

Plugin này có hơn 30.000 cài đặt theo thống kê từ thư viện WordPress. Theo WordPress.org, Plugin đã được cập nhật bản vá 1.4.9 vào ngày hôm qua. Nếu bạn nào đang sử dụng phiên bản cũ, hãy Update Plugin ngay lập tức nếu không muốn Website bị chuyển sang các trang quảng cáo độc hại. Lỗ hổng này cho phép Hacker thay đổi các thiết lập của plugins mà không cần phải đăng nhập vào wp-admin.

Plugin Live Chat with Facebook Messenger dính lỗ hổng bảo mật

Chi tiết về lỗ hổng XSS trong Live Chat with Facebook Messenger

Thông qua chức năng AJAX của WordPress, chịu trách nhiệm gửi dữ liệu tới tập lệnh và sau đó nhận lại dữ liệu mà không cần tải lại trang, tính năng update_zb_fbc_code này có thể bị truy cập mà không cần đăng nhập

Như bạn sẽ thấy trong các dòng mã sau đây wp_ajax_update_zb_fbc_code( đối với người dùng được xác thực) & wp_ajax_nopriv_update_zb_fbc_code (đối với người dùng không có đặc quyền). Cả hai đều sử dụng cùng một chức năng update_zb_fbc_code. Do đó, cho phép bất kỳ người dùng nào (đăng nhập hoặc không) có thể sửa đổi cài đặt plugin.

Cách bảo mật WordPress bởi các Plugin dính lỗ hổng bảo mật

Bạn nào đang dùng Plugin Live Chat with Facebook Messenger thì nhanh chóng update lên phiên bản 1.4.9 hoặc gỡ bỏ plugins này ra khỏi website để tránh nguy cơ bị khai thác.

Tiến hành cài các Plugin bảo mật như Wordfence Security, iThemes Security, Sucuri Security… sẽ giúp Website bạn an toàn hơn.  Các Plugin này sẽ tạo lớp tường Tường lửa giúp Website chống lại XSS, CSRF, các Bot xấu, SQLi và các cuộc tấn công có thể khác. Bên cạnh đó bạn hạn chế sử dụng các Plugin, theme không rõ nguồn gốc, nulled.

Chúc website của bạn luôn an toàn.

Theo: Hostvn

Chia sẻ những gì bạn biết, sẽ có người khác chia sẻ cho bạn nhiều hơn...