Tháng 5 vừa rồi cộng đồng WordPress rầm rộ kỷ niệm sinh nhật lần thứ 20 của mã nguồn mở số 1 thế giới – WordPress 20th Anniversary,
Nhân cơ hội này tin tặc cũng tổng tấn công, dẫn đến tình trạng WordPress bị hack trên diện rộng.
Có nhiều chiến dịch tấn công gây thiệt hại nặng cho hàng triệu websites bằng việc khai thác các lỗ hổng bảo mật đã được công bố của mã nguồn WordPress, theme và plugin trong thời gian vừa qua.
Tiêu biểu như:
- Lỗ hổng trên Elementor Pro Woo Module
- Các lỗ hổng Zero – Day trên mã nguồn WordPress
- Lỗ hổng đặc biệt lớn trên WooPay extension
- Lỗ hổng nghiêm trọng trên cPanel
Bạn có thể xem danh sách các plugin, theme có lỗ hổng bảo mật trong tháng 5 tại đây, trong đó cấp độ Critical là nguy cấp, High là nguy cơ cao, còn Medium thì chỉ khuyến cáo – nguy cơ bị lợi dụng ít hơn.
Nguy cơ lớn nhất là các websites không được cập nhật mã nguồn, theme và plugin thường xuyên và không thực hiện các cấu hình bảo mật đầy đủ để phòng chống các hình thức tấn công WordPress phổ biến.
Trong đợt này, số websites sử dụng các dịch vụ shared hosting bị ảnh hưởng nhiều nhất. Nguyên nhân vì khi một website bị hack, tin tặc có thể cài các đoạn mã độc để tấn công các website khác trên cùng gói hosting của người dùng.
Đã có nhiều báo cáo thiệt hại khiến nhiều dịch vụ hosting phải thông báo khẩn cho người dùng update.
AZDIGI – dịch vụ hosting WordPress uy tín nhất VN hiện nay, cũng vừa gởi hàng loạt cảnh bảo đến khách hàng:
Một khi website đã bị hack thì nhiều khả năng tin tặc tiếp tục cài mã độc, link xấu và backdoor vào code nên việc xử lý hậu quả cực kỳ mất thời gian và tốn kém.
Do đó, cách tốt nhất là bạn nên thường xuyên kiểm tra để update mã nguồn WordPress, theme và plugin, hoặc bật chế độ tự động update.
Cũng cần thận trọng khi dùng các sản phẩm không rõ nguồn gốc, kể cả các theme và plugin trên WP Repository nhưng ít người dùng:
Đặc biệt, hãy cài một trong 2 plugin bảo mật tốt nhất là iThemes Security hoặc WordFence, sau đó thực hiện các cấu hình bảo mật cần thiết để ngăn chặn hầu hết các cuộc tấn công phổ biến trên WordPress, cũng như nhận báo cáo kịp thời khi có những thay đổi đáng ngờ trên website.
Tham khảo:
iThemes Security – Plugin bảo mật số 1 cho WordPress
Việc WordPress bị hack không có gì lạ vì nó là mã nguồn web số 1 – chiếm tới 43% tổng số website toàn cầu, tuy nhiên, theo thống kê từ các tổ chức bảo mật uy tín thì hầu hết nạn nhân đều mắc các lỗi bảo mật sơ đẳng như không update mã nguồn – theme/ plugin, dùng mật khẩu yếu hoặc sử dụng theme, plugin kém an toàn.
Vì vậy, bạn hoàn toàn có thể bảo vệ website của mình nếu tránh các lỗi kể trên.
Chúc thành công!