Mẹo Wordpress

Lỗ hổng bảo mật của WordPress.org và cách khắc phục

Shortlink: http://wp.me/p8gtr-ZG

090917_wordpress-hacks-tricksNếu bạn đang có một blog WordPress chạy trên host riêng và sử dụng phiên bản cũ thì khả năng blog của bạn bị hack là rất cao. Karl Gechlik (*) – Quản trị viên của trang AsktheAdmin – đã cảnh báo vấn đề này và chia sẻ cách khắc phục trên trang tin Makeuseof.com . M4Ps xin lược dịch lại bài viết nhằm chia sẻ cách khắc phục với những ai đang cài đặt WordPress trên host riêng.

Trước tiên, tôi (Karl Gechlik) xin thông báo rằng tài khoản quản trị của AsktheAdmin đã bị đánh cắp bởi 1 đoạn mã độc được chèn vào thư mục hosting của tôi trên máy chủ. Bộ phận quản lý máy chủ đã thông báo với tôi rằng 2 đoạn mã độc đã được tìm thấy trong blog của tôi , bao gồm:

http://asktheadmin.com/wp-includes/images/Luxury/pss.php

http://asktheadmin.com/_vti_doc/pss.php

Ngay tại thời điểm đó, tôi đã biết rằng blog WordPress của mình đã bị hack bởi một lỗ hổng bảo mật trong phiên bản cũ của WordPress. Ban đầu, tôi nghĩ rằng họ chỉ thay đổi các liên kết tĩnh trên blog của tôi, nhưng không, họ đã dùng phương cách khác để chiếm quyền điều khiển blog.

Ngay lập tức, tôi đã đăng nhập vào tài khoản ftp của mình và xóa bỏ 2 đoạn mã độc trên. Sau đó, tôi truy cập vào phần quản trị của WordPress và vào ngay phần quản lý thành viên (Users module)

wp1

Ôi chúa ơi!!! Không thể tin được, mặc dù blog của tôi chỉ có 2 tài khoản quản trị toàn quyền (administrators), nhưng giờ tôi có tới 3 tài khoản mà tải khoản thứ 3 kia lại không hề hiện ra. Điều đó có nghĩa là họ không chỉ tạo quyền quản trị đối với phiên bản cài đặt blog của tôi mà họ còn điều khiển tài khoản đó một cách ẩn danh.

Bằng cách sử dụng một vài miếng võ Google Fu (một vài mảng miếng Kung Fu trên Google – cách chơi chữ của tác giả), tôi đã phát hiện ra rằng tài khoản đó vẫn có mặt trong danh sách thành viên nhưng bị ẩn đi. Vì vậy, tôi đã nhấn chuột phải vào trang và nhấp chọn View Page Source:

wp2

Khi xem xét mã nguồn của trang, tôi đã tìm kiếm cụm từ administrator để xem xét các tài khoản quản trị toàn quyền, ngoài tài khoản chính của tôi _ Micheal. Điều này đã giúp tôi tìm chính xác các mã độc trong đoạn mã HTML. Và đây là thủ phạm:

wp3

Đây là đoạn mã đã chiếm quyền điều khiển blog của tôi bằng cách đã tự động chèn thêm tài khoản LewisLawson63 và được ẩn đi để người quản trị blog không hề hay biết. Nhưng tức hơn là tôi không hề biết nó được tạo ra bằng cách nào vì đó là điều vượt quá sự hiểu biết của tôi. Tuy nhiên, ngay trong đoạn mã trên có đính kèm 1 liên kết để chỉnh sửa tài khoản nặc danh đó. Và đây là điều bạn cần chú ý đến. Bạn sẽ dùng đến nó để xóa bỏ tài khoản nặc danh trên.

wp4

Tôi đã làm như sau:

Dán đường dẫn có được từ mã nguồn HTML ở trên và dán vào phía sau địa chỉ wp-admin của tôi trên thanh địa chỉ (Address bar), nghĩa là đường dẫn trên được đặt phía sau địa chỉ http://www.asktheadmin.com/wp-admin/ . Khi đó, nó sẽ dẫn tới trang chỉnh sửa thành viên như sau:

wp5

Bạn có thấy ô First name ở trên không? Vâng, đoạn mã độc gần 10 dòng đã được đính kèm trong ô đó… Thật kinh khủng!!!! Tôi đã xóa bỏ đoạn mã độc trên và thay thế bằng 1 tên khác cho nó. Kế tiếp, tôi quy định lại cấp độ cho nó là subscriber.

wp6

Okie, bây giờ bạn hãy đoán thử điều gì sẽ hiện ra trong danh sách thành viên của tôi? Tôi đã thấy và dễ dàng xóa bỏ chúng khỏi danh sách thành viên. Kế tiếp, bân hãy tắt chức năng cho phép người dùng được quyền tự đăng ký thành viên bằng cách thiết lập lại bảng điều khiển của WP như sau:

wp8

Thật hú vía! Sau khi diệt được mã độc, tôi đã phải khôi phục lại blog của mình vào thời điểm 3 ngày trước đây (trước thời điểm bị tấn công). Mặc dù, tôi bị mất một số bài đã đăng trong 3 ngày qua, nhưng bù lại, giờ đây blog của tôi không còn bị chiếm quyền điều khiển . Cũng may là tôi sao lưu dữ liệu của mình hàng ngày. Chứ không thì…

Tuy vậy, bạn không phải lo lắng về vấn đề này nếu blog của bạn đã nâng cấp lên phiên bản 2.8.4 vì phiên bản này đã khắc phục được lỗ hổng bảo mật trên. Còn không, bạn hãy nhanh chóng cập nhật phiên bản 2.8.4 tại địa chỉ sau: http://wordpress.org/

(*) Karl Gechlik s là 1 cứu tinh trong ngành công nghiệp IT. Công việc hàng ngày của anh là giám sát và bảo trì hệ thống máy chủ ở Wall Street. Với kinh nghiệm của mình, anh cũng đã hỗ trợ miễn phí các vấn đề về kỹ thuật cho mọi người tại địa chỉ http://www.askTheAdmin.com.

M4Ps (Theo Makeuseof.com)


Các bài viết khác:

About 2Bo02B

Nguyễn Vũ Thụ Nhân (Mr) Lecturer Physics Department. HCMC University of Pedagogy

Thảo luận

3 thoughts on “Lỗ hổng bảo mật của WordPress.org và cách khắc phục

  1. Cái nì hình như chỉ xảy ra ở bản 2.8, bản 2.9 đã vá lỗi nì lại rùi đúng ko?🙂

    Like

    Posted by 7pop.net | 15/03/2010, 13:44
    • Ở bài viết trên đã có ghi rõ là: “bạn không phải lo lắng về vấn đề này nếu blog của bạn đã nâng cấp lên phiên bản 2.8.4 vì phiên bản này đã khắc phục được lỗ hổng bảo mật trên”
      Như vậy, nếu bạn dùng phiên bản 2.8.3 trở về trước thì mới bị lỗi. Bạn hoàn toàn yên tâm nếu đang dùng 2.9

      Like

      Posted by 2Bo02B | 15/03/2010, 14:49

Trackbacks/Pingbacks

  1. Pingback: Bảo mật Wordpress - 27/12/2010

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

Tài trợ cho M4Ps và tracnghiemToan12

Translators & RSS

English French RussiaMaths 4 Physics (M4Ps)


Bạn hãy nhập địa chỉ email của mình để đăng ký theo dõi tin tức từ blog này và nhận những bài viết mới nhất qua địa chỉ email.

Join 2 715 other followers

Đôi lời

Bạn có thể theo dõi các lời bình liên quan đến lời bình của mình qua email bằng cách chọn dòng thông báo Báo cho bạn khi có người bình luận tiếp theo đề tài này bằng điện thư mỗi khi viết 1 lời bình.


Rất mong các bạn viết lời nhắn bằng tiếng việt có dấu nhé.

Để viết tiếng việt có dấu bạn dùng font chữ Unicode và bảng mã là Unicode UTF-8.


Để biết cách gõ công thức Toán học trong các lời nhắn ở trang web này, mời bạn đọc bài hướng dẫn tại đây hoặc bạn có thể xem bài hướng dẫn dùng MathType tại đây và bài tạo công thức trực tuyến tại đây


Get Well

%d bloggers like this: