Mới đây nhà cung cấp Plugin bảo mật wordpress Wordfence vừa công bố lỗ hổng bảo mật có thể cho phép kẻ tấn công sử dụng chức năng tự động cập nhật WordPress được bật theo mặc định để triển khai phần mềm độc hại. Lỗ hổng này đã được Automattic khắc phục vào ngày 7/9/2016 nhưng cảnh tỉnh chúng ta khi sử dụng Plugin và Themes không rõ nguồn gốc gây tác hại khủng khiếp như thế nào.
Lựa chọn mục tiêu dễ gây tổn hại nhất để tấn công
api.wordpress.org (hoặc máy chủ) có vai trò quan trọng trong hệ thống WordPress: Nó cho phép wordpress có thể tự động cập nhật. Mỗi giờ, nó sẽ gửi thông tin về máy chủ để kiểm tra xem các plugin hay theme của bạn có bản cập nhật mới không và các phản hồi từ máy chủ sẽ chứa thông tin về các phiên bản mới hơn nếu có. Nó cũng kèm theo một URL để tải về cài đặt các phần mềm được cập nhật.
Bạn dễ dàng thấy được nếu hacker tác động vào tập tin “File update” từ server dowload thì sẽ dễ dàng khiến bại tự cài phần mềm độc hại vào website mà không thể dự đoán được. (có thể thay đổi url tới file phần mềm riêng hacker). Dễ hiểu nguyên nhân vì WordPress không có chữ ký xác nhận của các phần mềm đang được cài đặt. Nó sẽ tin tưởng bất kỳ URL và bất kỳ gói cài đặt được cung cấp bởi api.wordpress.org.
Thật khủng khiếp vì wordpress chiếm tới 27% quyền trên website/blog của bạn và rất mừng vì lỗi này đã được vá bởi nhà phát hành.