Mới đây, các nhà nghiên cứu bảo mật đã phát hiện ra lỗ hổng WordPress vừa mới đc công bố cho phép tin tặc kiểm soát toàn trang và có thể tùy ý chạy các mã độc hại trên Website.

Lỗ hổng WordPress này cho phép xóa tệp tin bất kì trên website. Lỗ hổng đã được báo cáo cho đội an ninh mạng của WordPress này từ 7 tháng trước nhưng các chuyên gia có vẻ vẫn đang phải loay hoay và tạo ra nhiều rủi ro cho các website đang chạy wordpress.

Lỗ hổng đang ảnh hưởng tới tất cả các phiên bản của WordPress, bao gồm cả bản mới nhất là 4.9.6. Lỗ hổng wordpress này nằm ở một trong những chức năng chính khi người dùng xóa các hình ảnh trên website.

Chức năng xóa ảnh cho phép gửi đến website các dữ liệu không được kiểm duyệt. Điều này cho phép người dùng hoặc hay là các tin tặc được xóa bất cứ file nào trên trang chủ, đây là điều mà đáng ra chỉ admin trang web và máy chủ làm được.

Qua lỗi bảo mật này, tin tặc có thể xóa cả những file quan trọng như file “.htaccess” từ máy chủ, đó là file thường bao gồm cấu trúc liên quan đến bảo mật, để vô hiệu hóa hàng rào bảo vệ người dùng.

Bên cạnh đó, việc xóa tệp “wp-config.php” – một trong những tệp quan trọng nhất khi cài đặt WordPress, có chứa database kết nối của người dùng – sẽ khiến cho toàn bộ website trở về màn hình chính lúc mới cài đặt. Điều này sẽ cho phép tin tặc tái tạo lại trang web trong trình duyệt và toàn quyền kiểm soát nó.

Cần lưu ý là tin tặc không thể trực tiếp đọc từ file wp-config.php để biết được database name, mysql username hay mật khẩu mà chỉ có thể cài đặt lại trang được nhắm đến bằng máy chủ từ xa. Việc xóa toàn bộ cài đặt WordPress sẽ để lại hậu quả nghiêm trọng nếu không sao lưu kịp thời. Tin tặc còn có thể lợi dụng khả năng xóa file để phá vỡ hàng rào bảo mật và chạy code tùy ý trên website.

Rất may cho các quản trị web là các nhà nghiên cứu đã đưa ra một phương án hotfix có thể tạm thời vá lỗ hổng wordpress này.