Một lỗ hổng bảo mật nghiêm trọng đã được báo cáo trong WordPress 4.70 và 4.71. Lỗ hổng cho phép một tin tặc chưa được xác thực có thể sửa đổi nội dung của một trang / bài đăng trong trang WordPress. Lỗ hổng được tìm thấy trong API REST được WordPress thêm vào trong một trong những bản phát hành gần đây của nó. Ngay sau khi lỗ hổng được phát hiện, nhóm bảo mật WordPress đã làm việc trên bản vá và phát hành nó theo bản cập nhật 4.7.2.
Các trang web vẫn dễ bị tấn công
Hàng nghìn trang web vẫn dễ bị tấn công. Vì các phương pháp khai thác &vá lỗi được đưa ra công khai nên tin tặc đang khai thác lỗ hổng bảo mật và làm mất khả năng đánh cắp trang web.
Vấn đề lớn hơn đối với những người dùng bị hạn chế cập nhật wordpress do phát triển tùy chỉnh được thực hiện trên đầu. Người ta dự đoán rằng đây chỉ là bước khởi đầu cho các chiến dịch phá hoại hàng loạt của tin tặc. Dưới đây là một số hậu quả của lỗ hổng bảo mật này:
- SEO spam: Vì bất kỳ ai cũng có thể nhập mã tùy ý vào các phần của bài đăng / trang, rất nhiều liên kết seo spam đang được đưa vào các trang web.
- Danh sách đen của Google: Có thể thấy rằng google đã đưa ra thông báo "Trang web này có thể bị tấn công" dưới URL trang web trên các truy vấn tìm kiếm. Không được làm sạch, những trang web như vậy hoàn toàn có thể bị google đưa vào danh sách đen.
- Các cuộc tấn công được nhắm mục tiêu: Tin tặc có thể thực hiện nhiều cuộc tấn công có chủ đích hơn để lấy cắp dữ liệu phiên của quản trị viên / người dùng trang web.
Ước tính có khoảng 70.000 trang web bị tin tặc khai thác cho đến nay. Con số này chỉ đang tăng lên hàng ngày khi ngày càng có nhiều cộng đồng hacker biết về tầm quan trọng của một lượng lớn các trang web vẫn dễ bị tấn công.
Đội An ninh Astra đứng đầu trong số này. Chúng tôi sẽ tiếp tục cập nhật điều này khi và khi phát hiện mới xảy ra. Người dùng Firewall Astra an toàn trước lỗ hổng này. Bạn có thể bắt đầu sử dụng Astra cho trang web WordPress của mình ngay bây giờ:https://www.getastra.com/wordpress-security