[Cảnh báo] Lỗ hổng bảo mật mới nhất trên WordPress ngày 20/03/2019

Theo như mình theo dõi trên các cộng đồng các dev wordpress tham gia, đều bàn tán chuyện nhiều lỗ hổng bảo mật mới nhất trên WordPress website bị hacker tấn công hàng loạt. Hacker đã tạo 1 tài khoản Admin bên trong website để chiếm quyền quản trị của web. Sau đó chèn đoạn script hoặc thay đổi url web trong mục cài đặt nhằm mục đích chuyển hướng link sang một đường link khác.

Cách xem mình có bị tấn công hay không

Bạn hãy truy cập vào trang quản trị website của bạn vào mục Thành Viên nếu hiện tên người dùng lạ như hình ảnh ở trên tức là website của bạn đã bị hacker nhòm ngó rồi.

lo hong wordpress

Nguyên nhân và cách khắc phục lỗ hổng bảo mật mới nhất trên WordPress

Sau 1 khoảng thời gian ngắn xảy ra sự việc hack, 1 số dev đã phát hiện ra do từ plugin Easy WP SMTP , mình cũng cài plugin này nên cũng bị , nhưng tình trang mới bị 1 em, do mình sử dụng bản 1.3.9 nên sau khi phát hiện và khắc phục mình đã update lên bản 1.3.9.1 .

lo hong wordpress 1

Cách khắc phục sự cố

  1. 1. Bạn hãy vào xóa ngay user mà hacker đã tạo trong quản trị website của bạn. Nếu bạn không thể truy cập vào quản trị của website thì hãy vào phpmyadmin để xem có user lạ không. Có thì phải xóa ngay nhé.
  2. 2. Cập nhật Plugin Easy WP SMTP lên bản mới nhất 1.3.9.1 nên xóa bỏ thằng này cài thằng khác và các plugin khác ,giao diện và bản wordpress mới nhất bây giờ .
  3. 3. Tất cả mọi website cần có 1 bản backup hàng ngày hoặc hàng tuần để tránh sự việc hôm nay xảy ra. Vậy nên nếu bạn chưa có bản backup nào hãy lập tức backup toàn bộ website của mình xuống.
  4. 4. Bảo mật lại website của bạn. Đây cũng là lời cảnh tỉnh cho các bạn làm trên mã nguồn wordpress. Website luôn phải được cập nhật thường xuyên,  nên sử dụng các plugin bảo mật như Itheme Security hoặc 1 số plugin bảo mật khác. thay đổi đường dẫn đăng nhập, 404 về trang chủ, xóa các liên kết từ WP_head, cấm RSS feeds, cấm truy cập trang quản trị nếu không phải admin, cấm XMLRPC, xóa thông tin phiên bản, ẩn tất cả các comment, tắt chế độ cập nhật tự động wordpress và ngôn ngữ, Chmod file wp-config.php (400)  và ,.htaccess.

Mong rằng bài viết này giúp ích cho các bạn.

Nguồn: Internet

Đánh giá

DỊCH VỤ TUỆ LÂM SOFT ĐANG CUNG CẤP

THIẾT KẾ WEBSITE

Tuệ Lâm Soft Cung cấp giải pháp thiết kế website theo yêu cầu, thiết kế website trọn gói theo mẫu giá rẻ, nhiều mẫu giao diện đẹp, khả năng tùy biến cao, tối ưu hóa Onpage.

PHÒNG MARKETING THUÊ NGOÀI

Phòng Marketing Thuê Ngoài Tuệ Lâm Soft giúp doanh nghiệp làm Marketing bài bản. Tối ưu chi phí vận hành, tối đa hiệu quả công việc. Cam kết hiệu quả. Đội ngũ kinh nghiệm

THIẾT KẾ LOGO THƯƠNG HIỆU

Đội ngũ trẻ thiết kế logo nhận diện thương hiệu trẻ trung, sáng tạo, ấn tượng. Dịch vụ uy tín hàng đầu. Giá rẻ, tư vấn chuẩn xác. Quy trình bài bản. Đội ngũ nhiệt tình.

QUẢNG CÁO GOOGLE ADWORD

Tư vấn từ khóa hiệu quả, nhắm đúng khách hàng mục tiêu, theo dõi đấu giá từ khóa, tăng điểm chất lượng quảng cáo Google tối ưu chi phí tốt nhất.

DỊCH VỤ SEO

Dịch vụ SEO website chuyên nghiệp bền vững, gia tăng sự nhận diện thương hiệu của doanh nghiệp trên internet, tối đa hóa lợi nhuận với chi phí tối ưu nhất

EMAIL DOANH NGHIỆP

Email Doanh Nghiệp Mua 1 Lần Dùng Vĩnh Viễn‎ - Hệ thống Email theo tên miền góp phần gây dựng nên hình ảnh chuyên nghiệp nâng cao uy tín - khẳng định thương hiệu cho công ty bạn.