Bảo mật Wordpress, Wordpress

Cảnh báo về lỗ hổng bảo mật XSS trên WordPress từ phiên bản 4.6.1

Cảnh báo về lỗ hổng bảo mật XSS trên WordPress từ phiên bản 4.6.1
5 (100%) 2 votes

Theo cảnh báo từ thành viên group HVA các phiên bản WordPress ( tính từ phiên bản mới nhất hiện nay là 4.6.1 ) đang dính lỗ hổng bảo mật Stored XSS cực kỳ nghiêm trọng trong phần bình luận và bài viết (trong phần tiêu đề bài viết cảm nhận). chúng tôi đã xác nhận lại bằng cách kiểm thử với phiên bản WordPress 4.6.1 được cài mới trên gói WordPress hosting.

Lỗ hổng ảnh hưởng tới các phiên bản từ 4.6.1 trở xuống (tức là bao gồm cả phiên bản mới nhất). Hiện tại phía WordPress chưa có bản cập nhật nào.

Để khắc phục lỗ hổng. Các bạn có thể vô hiệu hóa bình luận bằng cách truy cập Discussion Settings:

http://website-cua-ban.com/wp-admin/options-discussion.php

Và bỏ đánh dấu ở ô “Allow people to post comments on new articles” (Cho phép mọi người đăng bình luận…)

canh-bao-ve-lo-hong-bao-mat-xss-tren-wordpress-tu-phien-ban-4-6-1

Tuy nhiên chỉ chặn được việc tấn công từ bình luận. Còn phần tiêu đề bài viết thì do Admin và cộng tác viên mới có quyền đăng bài nên không lo lắm. Nhưng có thể trường hợp một số cộng tác viên xấu muốn chiếm quyền lên làm Admin thì…

Cài Plugin này để bảo vệ WordPress của bạn tránh gặp lỗi này tạm thời

https://github.com/J2TeaM/wordpress-xss-patch

Plugin này sẽ hook vào phần bình luận và đăng bài viết để lọc dữ liệu trước khi lưu vào Database cũng như khi in bình luận ra trang bài viết. Điều đó giúp mã độc do hacker chèn vào không thể thực thi được.

Các bạn chỉ việc tải về, truy cập vào trang cài đặt plugin mới: http://website-cua-ban.com/wp-admin/plugin-install.php

Sau khi tải lên, đừng quên Activate (kích hoạt) plugin để bản vá có hiệu lực.

Hãy chia sẽ bài viết này tới bạn bè của bạn đang sử dụng WordPress để mọi người biết lỗ hổng này và có hướng khắc phục.

 

Previous Post Next Post

You Might Also Like

No Comments

Leave a Reply