Video: [GUIDE] Google Tag Manager for WordPress Plugin (GTM4WP) (Tháng mười một 2024)
Nếu bạn sở hữu một trang web WordPress, hãy đảm bảo rằng bạn đang đứng đầu trong các bản cập nhật, không chỉ cho nền tảng cốt lõi, mà còn cho tất cả các chủ đề và plugin.
WordPress cung cấp hơn 70 triệu trang web trên toàn thế giới, khiến nó trở thành mục tiêu hấp dẫn của tội phạm mạng. Những kẻ tấn công thường xuyên chiếm quyền điều khiển các cài đặt WordPress dễ bị tổn thương để lưu trữ các trang spam và nội dung độc hại khác.
Các nhà nghiên cứu đã phát hiện ra một số lỗ hổng nghiêm trọng trong các plugin WordPress phổ biến này trong vài tuần qua. Kiểm tra bảng điều khiển quản trị viên của bạn và đảm bảo bạn đã cài đặt các phiên bản mới nhất.
1. MailPoet v2.6.7 Có sẵn
Các nhà nghiên cứu từ công ty bảo mật Web Sucuri đã tìm thấy lỗ hổng tải lên tệp từ xa trong MailPoet, một plugin cho phép người dùng WordPress tạo bản tin, đăng thông báo và tạo phản hồi tự động. Trước đây được gọi là wysija-newsletters, plugin đã được tải xuống hơn 1, 7 triệu lần. Các nhà phát triển đã vá lỗ hổng trong phiên bản 2.6.7. Các phiên bản trước đều dễ bị tấn công.
"Lỗi này cần được thực hiện nghiêm túc; nó mang lại cho kẻ xâm nhập tiềm năng sức mạnh để làm bất cứ điều gì anh ta muốn trên trang web của nạn nhân", Daniel Cid, giám đốc công nghệ của Sucuri, cho biết trong một bài đăng trên blog hôm thứ ba. "Nó cho phép mọi tệp PHP được tải lên. Điều này có thể cho phép kẻ tấn công sử dụng trang web của bạn để lừa đảo, gửi SPAM, lưu trữ phần mềm độc hại, lây nhiễm cho các khách hàng khác (trên máy chủ dùng chung), v.v."
Lỗ hổng giả định bất kỳ ai thực hiện cuộc gọi cụ thể để tải tệp lên là quản trị viên, mà không thực sự xác minh rằng người dùng đã được xác thực, Sucuri tìm thấy. "Đó là một sai lầm dễ mắc phải, " Cid nói.
2. TimThumb v2.8.14 Có sẵn
Tuần trước, một nhà nghiên cứu đã công bố chi tiết về lỗ hổng nghiêm trọng trong TimThumb v2.8.13, một plugin cho phép người dùng cắt, thu phóng và thay đổi kích thước hình ảnh tự động. Nhà phát triển đằng sau TimThumb, Ben Gillbanks, đã sửa lỗi này trong phiên bản 2.8, 14, hiện đã có trên Google Code.
Lỗ hổng nằm ở chức năng WebShot của TimThumb và cho phép kẻ tấn công (không xác thực) xóa trang từ xa và sửa đổi nội dung bằng cách tiêm mã độc vào các trang web dễ bị tổn thương, theo phân tích của Sucuri. WebShot cho phép người dùng lấy các trang Web từ xa và chuyển đổi chúng thành ảnh chụp màn hình.
"Với một lệnh đơn giản, kẻ tấn công có thể tạo, xóa và sửa đổi bất kỳ tệp nào trên máy chủ của bạn", Cid viết.
Vì WebShot không được bật theo mặc định, hầu hết người dùng TimThumb sẽ không bị ảnh hưởng. Tuy nhiên, rủi ro cho các cuộc tấn công thực thi mã từ xa vẫn còn do các chủ đề, plugin và các thành phần bên thứ ba khác sử dụng TimThumb. Trên thực tế, nhà nghiên cứu Pichaya Morimoto, người đã tiết lộ lỗ hổng trong danh sách Tiết lộ đầy đủ, WordThumb 1.07, Plugin WordPress Gallery và IGIT Post Slider Widget có thể dễ bị tổn thương, cũng như các chủ đề từ trang web themify.me.
Nếu bạn đã bật WebShot, bạn nên vô hiệu hóa nó bằng cách mở tệp thời gian của chủ đề hoặc plugin và đặt giá trị của WEBSHOT_ENABLED thành false, khuyến nghị Sucuri.
Trên thực tế, nếu bạn vẫn sử dụng TimThumb, đã đến lúc xem xét loại bỏ dần. Một phân tích gần đây của Incapsula cho thấy 58 phần trăm của tất cả các cuộc tấn công bao gồm tệp từ xa chống lại các trang web WordPress có liên quan đến TimThumb. Gillbanks đã không duy trì TimThumb kể từ năm 2011 (để sửa lỗi 0 ngày) vì nền tảng WordPress cốt lõi hiện hỗ trợ hình thu nhỏ của bài đăng.
"Tôi đã không sử dụng TimThumb trong một chủ đề WordPress kể từ trước khi khai thác bảo mật TimThumb trước đó vào năm 2011, " Gillbanks nói.
3. Gói SEO tất cả trong một v2.1.6
Đầu tháng 6, các nhà nghiên cứu Sucuri đã tiết lộ một lỗ hổng leo thang đặc quyền trong All in ONE SEO Pack. Plugin tối ưu hóa các trang web WordPress cho công cụ tìm kiếm và lỗ hổng sẽ cho phép người dùng sửa đổi tiêu đề, mô tả và thẻ meta ngay cả khi không có đặc quyền của quản trị viên. Lỗi này có thể bị xiềng xích với lỗ hổng leo thang đặc quyền thứ hai (cũng đã được sửa) để tiêm mã JavaScript độc hại vào các trang của trang web và "làm những việc như thay đổi mật khẩu tài khoản của quản trị viên để để lại một số backlink trong các tệp webiste của bạn", Sucuri nói.
Theo một số ước tính, khoảng 15 triệu trang web WordPress sử dụng Gói SEO All in One. Semper Fi, công ty quản lý plugin, đã đưa ra một bản sửa lỗi trong 2.1.6 vào tháng trước.
4. Đăng nhập Rebuilder v1.2.3 Có sẵn
Tuần trước Bản tin bảo mật mạng US-CERT bao gồm hai lỗ hổng ảnh hưởng đến các plugin WordPress. Đầu tiên là một lỗ hổng giả mạo yêu cầu trên nhiều trang web trong plugin Đăng nhập Rebuilder, cho phép kẻ tấn công chiếm quyền xác thực của người dùng tùy ý. Về cơ bản, nếu người dùng đã xem một trang độc hại trong khi đăng nhập vào trang web WordPress, những kẻ tấn công sẽ có thể chiếm quyền điều khiển phiên này. Cuộc tấn công, không yêu cầu xác thực, có thể dẫn đến tiết lộ trái phép thông tin, sửa đổi và làm gián đoạn trang web, theo Cơ sở dữ liệu dễ bị tổn thương quốc gia.
Phiên bản 1.2.0 trở về trước dễ bị tấn công. Nhà phát triển 12net đã phát hành phiên bản mới 1.2.3 vào tuần trước.
5. JW Player v2.1.4 Có sẵn
Vấn đề thứ hai có trong bản tin US-CERT là lỗ hổng giả mạo yêu cầu trên nhiều trang web trong plugin JW Player. Plugin cho phép người dùng nhúng các đoạn video và video Flash và HTML5, cũng như các phiên YouTube, trên trang web WordPress. Những kẻ tấn công sẽ có thể chiếm quyền điều khiển từ xa xác thực các quản trị viên bị lừa truy cập vào một trang web độc hại và xóa các trình phát video khỏi trang web.
Phiên bản 2.1.3 trở về trước dễ bị tấn công. Nhà phát triển đã sửa lỗi này trong phiên bản 2.1.4 tuần trước.
Cập nhật thường xuyên là quan trọng
Năm ngoái, Checkmarx đã phân tích 50 plugin được tải xuống nhiều nhất và 10 plugin thương mại điện tử hàng đầu cho WordPress và tìm thấy các vấn đề bảo mật phổ biến như SQL SQL, kịch bản chéo trang và giả mạo yêu cầu chéo trang trong 20% plugin.
Sucuri tuần trước đã cảnh báo rằng "hàng ngàn" trang web WordPress đã bị hack và các trang spam được thêm vào thư mục lõi bao gồm wp trên máy chủ. "Các trang SPAM được ẩn bên trong một thư mục ngẫu nhiên bên trong wp-gộp, " Cid cảnh báo. Các trang có thể được tìm thấy trong / wp-gộp / tài chính / paydayloan, ví dụ.
Mặc dù Sucuri không có "bằng chứng dứt khoát" về việc các trang web này bị xâm phạm như thế nào, "trong hầu hết mọi trường hợp, các trang web đang chạy các bản cài đặt WordPress hoặc cPanel đã lỗi thời", Cid viết.
WordPress có một quá trình cập nhật khá đau đớn cho các plugin cũng như các tệp cốt lõi của nó. Chủ sở hữu trang web cần thường xuyên kiểm tra và cài đặt các bản cập nhật cho tất cả các bản cập nhật. Cũng đáng kiểm tra thông qua tất cả các thư mục, chẳng hạn như bao gồm wp, để đảm bảo các tệp không xác định chưa được lưu trú.
"Điều cuối cùng mà bất kỳ chủ sở hữu trang web nào cũng muốn tìm hiểu sau đó là tài nguyên hệ thống và thương hiệu của họ đã được sử dụng cho các hành động bất chính, " Cid nói.