Hiện nay có rất nhiều plugin của wordpress dính lỗi bảo mật. Theo thông báo của Sucuri cảnh báo rằng một số plugin đình đám hiện nay như SEO by Yoast,Jetpack, All in One SEO Pack, WPTouch, Updraft Plus, iThemes Exchange,…vừa tung ra một bản cập nhật khẩn cấp để vá lỗi bảo mật mà hacker có thể khai thác để tấn công bằng kỹ thuật XSS (Cross Site Scripting) và đây vốn là một kỹ thuật tấn công phổ biến chỉ đứng sau SQL Injection. Dưới đây là một số nguyên nhân gây ra lỗi:
Nhiều plugin của WordPress dính lỗi bảo mật
Nguyên nhân dẫn đến nhiều plugin của WordPress dính lỗi bảo mật
Lỗi này ban đầu được Yoast de Valk đề cập với Sucuri khi Johannes Schmittcủa Scrutinizer CI phản hồi với anh ta rằng plugin SEO by Yoast và Google Analytics by Yoast có một lỗ hổng do sử dụng sai cách hàm add_query_arg() và remove_query_arg() vốn được sử dụng vào mục đích truyền tham số được xác định trên URL vào truy vấn rồi gửi yêu cầu về database để lấy dữ liệu. Lý do được Joost mô tả rằng việc copy ví dụ của hai hàm này trên WordPress Codex và WordPress Development vô tình tạo ra một lỗ hổng vì nội dung ví dụ vốn có sẵn lỗ hổng đó (hiện đã được sửa).
Ngoài ra, Joost de Valk còn phát hiện rằng rất nhiều plugin (mà toàn plugin phổ biến) đều đang dính lỗi này nên có thể trong hôm qua hoặc hôm nay bạn sẽ nhận được nhiều yêu cầu cập nhật plugin, đây là lý do.
Nếu bạn là lập trình viên, mình khuyến khích bạn đọc bài viết của Sucuri để hiểu hơn về lỗi này.
Làm sao để cập nhật?
>>> Xem tin liên quan: Hướng dẫn bảo mật Website WordPress
Đơn giản là bạn sẽ thấy thông báo cập nhật khi vào trang Dashboard của WordPress hoặc truy cập vào http://domain.com/wp-admin/update-core.php và ấn nút Check Update để xem có yêu cầu cập nhật nào mới không, nếu có thì nên cập nhật toàn bộ plugin của bạn.
Danh sách các plugin có lỗi này
Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms
Với lỗi bảo mật của wordpress, dichvuthietkewebwordpress mong rằng các bạn sẽ có thêm kiến thức và sử dụng tốt wordpress. Chúc các bạn thành công
Nguồn: Tổng hợp
>>> Tham khảo: Thiết kế website giới thiệu công ty
