WooCommerce Payments có lỗ hổng cực nghiêm trọng, update ngay!

WCPay là plugin chính chủ của WordPress cho phép tích hợp thanh toán bằng Thẻ Debit và Credits và trực tiếp quản lý thanh toán ngay trên WordPress.

WC Pay đang được hơn nửa triệu Website WordPress sử dụng trên toàn thế giới, đặc biệt số lượng người dùng tăng nhanh sau khi Automattic mua lại WooCommerce để đưa nó về mái nhà chung với những WPVIP, Pressable, Jetpack, VaultPress, Atavist, Tumblr.

Lỗ hổng WC Pay cho phép chiếm quyền Admin

Ngày 23/3/2023, trưởng phòng kỹ thuật của WooCommerce, Beau Lebens đăng thông báo khuyến cáo về một lỗ hổng bảo mật nghiêm trọng trên plugin WooCommerce Payments (WC Pay), cho phép dễ dàng chiếm quyền điều khiển cửa hàng trên website.

Chi tiết hơn về lỗ hổng này:

Cho phép một người dùng khi đã login vào WordPress, với bất kỳ quyền nào, kể cả quyền nhỏ nhất là Subscriber hay Customer, cũng có thể thay đổi User ID của họ thành bất kỳ User ID nào khác – kể cả Administrator.

Nên nhớ, WooCommerce có tính năng cho phép bất kỳ ai cũng có thể đăng ký thành viên với user role là Customer khi đặt hàng, chỉ cần nhập và xác thực email là được.

Rất nhiều shop bán hàng mở tính năng này, do đó, nếu lỗ hổng vẫn còn, bất kỳ customer nào cũng có thể khai thác để chuyển sang user-role lớn hơn, mà lớn nhất là quyền quản trị Administrator.

Một khi lỗ hổng được hacker hay những người có ý đồ xấu biết đến (đã biết rồi), thì nguy cơ bị chiếm quyền quản trị của hơn nửa triệu website đang dùng WC Pay là rất lớn.

Tín hiệu tích cực là lỗ hổng này không phải Zero-Day, mà được phát hiện bởi hacker mũ trắng Michael Mazzolini thuộc GoldNetwork, công ty là đối tác của WordPress trong chương trình HackerOne – chương trình hỗ trợ tìm và báo cáo lỗi bảo mật trên WordPress.

Không phải lỗ hổng Zero-Day nên những hậu quả nếu có của lỗ hổng đến websites của người dùng, đến lúc này vẫn chưa được phát hiện hay xác nhận, có khả năng hacker mũ đen cũng chưa biết đến lỗi này.

Vì đây là lỗ hổng rất nghiêm trọng – cho phép chiếm quyền quản trị  WordPress dễ dàng, nên bắt buộc Automattic phải có trách nhiệm thông báo cho người dùng.

Một khi hacker khai thác được lỗ hổng này, không chỉ các website bị thiệt hại do bị chiếm quyền quản trị, mà hậu quả lớn hơn là bị lộ dữ liệu của số lượng lớn khách hàng.

Sau khi nhận được báo cáo từ HackerOne, Automattic đã lập tức tạm thời ngừng kích hoạt WC Pay trên các dịch vụ managed hosting lớn của họ, bao gồm WordPress.com, WPVIP và Pressable. Đồng thời tạm ngưng chương trình trải nghiệm beta của WooPay – cổng thanh toán đầy tham vọng cho thị trường WordPress websites.

Hiện tại, WooCommerce đã tung ra phiên bản mới để fix lỗi bảo mật này, người dùng có thể nâng cấp tự động ngay trên WordPess, hoặc tải về bản mới nhất WC Pay tại đây.

Tuy nhiên:

Việc WooCommerce thông báo công khai cho người dùng cũng chính là báo tin vui cho tin tặc, bất kỳ một hacker cò con nào cũng có khả năng so sánh code của bản cũ với bản mới nhất để phát hiện lỗ hỗng nằm ở đâu.

100% khả năng sẽ có đợt tấn công tự động hàng loạt vào các website WordPress có dùng WC Pay trong thời gian tới.

Xử lý lỗ hổng WC Pay

Như mọi lỗ hổng bảo mật nghiêm trọng trên các nền tảng khác, trách nhiệm của WordPress làm bây giờ là tung khuyến cáo trên khắp cộng đồng công nghệ để người dùng biết.

Còn nhiệm vụ của người dùng WC Pay là:

• Login vào WordPress Dashboard để update ngay WC Pay lên bản mới nhất.
• Ngoài việc update WC Pay lên bản mới, để chắc ăn hơn, cũng cần đổi API Gateway của WooCommerce để tránh bị khai thác dữ liệu bằng API cũ.
• Người dùng WC Pay cũng cần rà soát các dấu hiệu bị tấn công trên WordPress, ví dụ như xuất hiện User quản trị mới hoặc có các bài đăng mới không phải của mình, nếu phát hiện, hãy xóa ngay User lạ, update mật khẩu của User quản trị, khuyến cáo mọi người dùng – khách hàng có trên website đổi mật khẩu.

Bây giờ:

Lỗi đã được WooCommerce công khai, tức quả bóng trách nhiệm giờ đây được đẩy sang người dùng WC Pay, và trở thành cuộc chiến riêng giữa người dùng WordPress và tin tặc.

Bạn có thể hình dung cảnh bot lục lọi khắp các ngõ ngách trên mạng, tìm các website dùng WooCommerce và WC Pay để thực hiện order và đăng ký trở thành customer – rồi sau đó …

Quản trị WordPress chạy bằng cơm, hacker thì tấn công bằng bot, trong cuộc chiến này, chậm chắc chắn chết, cần phải xử lý trước khi bot kịp mò tới website của bạn!

Cấu hình bảo mật – đảm bảo an toàn cho WordPress

Đây cũng là dịp người dùng WordPress nhìn lại về vai trò của các biện pháp bảo mật khi dùng mã nguồn này.

WordPress rất linh hoạt, dễ dùng, chi phí thấp và rất dễ SEO, nhưng cũng là mã nguồn mà hacker nhắm tới nhiều nhất, đơn giản bởi vì mức độ phổ biến của nó, cũng như lỗ hổng bảo mật không chỉ ở phía người dùng hay máy chủ mà cả phía các nhà phát triển theme, plugins nữa.

Xem thêm:

WordPress có an toàn? Những sự cố bảo mật nổi tiếng

Thực tế, ngay cả khi bạn có dùng WC Pay và chưa cập nhật bản vá bảo mật, bạn cũng có thể hạn chế hậu quả của hầu hết các cuộc tấn công dựa vào các lỗ hổng kiểu này, nếu sử dụng các phương pháp bảo mật tốt cho WordPress, cụ thể như:

• Tự động chặn bot của hacker dựa vào dãy IP của hacker thường dùng (được tổng hợp bởi các tổ chức bảo mật uy tín).
• Chặn bot tự động bằng cách tích hợp Google ReCaptcha.
• Ẩn đường dẫn login quản trị (Hide Back-end).
• Quét mã độc định kỳ.
• Báo cáo ngay khi có hành vi login từ IP lạ.
• Báo cáo khi có người dùng mới được tạo ra.
• Ghi lại mọi hành động của người dùng trên WordPress để có thể xử lý nếu bị tấn công.
• Đăng ký Nhận những tin tức mới nhất về bảo mật WordPress.

Khi dùng các kỹ thuật bảo mật trên, thì dù plugin hay theme, hoặc mã nguồn WordPress core có lỗ hổng, trong hầu hết các trường hợp, bot sẽ bị chặn trước khi tiếp cận để khai thác các lỗ hổng này.

Nếu chẳn may bị hack, bạn cũng nhận được thông báo sớm, cũng như nắm rõ các hành vi của kẻ xấu đã làm trên WordPress, qua đó khắc phục vấn đề một cách hiệu quả.
Những plugin bảo mật tốt nhất là WordFence và iThemes Security, trong đó iThemes được đánh giá nhỉnh hơn một xíu, bạn có thể tham khảo:

Tìm hiểu iThemes Security – Plugin bảo mật WordPress tốt nhất

Chúc thành công!

Copyright@WPVUI – Không cho phép copy dưới mọi hình thức.