Bạn lo lắng về việc các plugin WordPress dễ bị tấn công đang khiến trang web của bạn gặp rủi ro như thế nào?
Bạn có biết? Các plugin dễ bị tổn thương là lý do lớn nhất khiến các trang WordPress bị tấn công. Trên thực tế, 55,9% các cuộc tấn công vào WordPress là do các plugin dễ bị tấn công.
Vì vậy, bạn có ngừng sử dụng plugin hoàn toàn không? Trong quá trình phát triển trang web, thật khó để xây dựng và chạy một trang web WordPress mà không có plugin vì chúng thêm chức năng và nhiều tính năng hơn vào trang web của bạn.
May mắn thay, có một cách để sử dụng plugin và giữ cho trang web của bạn an toàn. Khi các nhà phát triển plugin phát hiện ra lỗ hổng trong phần mềm của họ, họ sẽ sửa nó và phát hành phiên bản cập nhật ngay lập tức. Khi bạn cập nhật plugin trên trang web của mình, bạn có thể yên tâm sử dụng trên trang web của mình. Tuy nhiên, hàng triệu người dùng WordPress trì hoãn cập nhật khiến trang web của họ dễ bị tin tặc tấn công.
Nếu trang web của bạn bị tấn công, tin tặc có thể sử dụng nó để thực hiện tất cả các loại hoạt động độc hại như ăn cắp dữ liệu nhạy cảm, chạy quảng cáo không mong muốn và làm xấu trang web của bạn. Một cuộc tấn công có thể gây ra hậu quả nghiêm trọng đối với doanh nghiệp của bạn và dẫn đến việc tạm ngưng tài khoản AdWords, mất khách truy cập, khách hàng và doanh thu.
Đây là lý do tại sao việc tìm hiểu về các plugin dễ bị tấn công và các vấn đề bảo mật của chúng lại rất quan trọng. Trong bài viết này, chúng tôi sẽ chỉ cho bạn một số plugin WordPress dễ bị tấn công nhất mà chủ sở hữu trang web WordPress sử dụng.
TL; DR: Để giữ trang web của bạn an toàn trước các lỗ hổng plugin WordPress, bạn bắt buộc phải cập nhật chúng ngay khi có phiên bản mới. Sử dụng plugin bảo mật MalCare của chúng tôi để theo dõi các bản cập nhật từ trang tổng quan tập trung. Bạn có thể triển khai cập nhật hàng loạt trên trang web WordPress của mình, giúp quản lý các bản cập nhật dễ dàng hơn rất nhiều.
Làm thế nào để một plugin WordPress trở nên dễ bị tổn thương?
Điều quan trọng cần biết là các nhà phát triển bên thứ ba tạo các plugin WordPress, không phải nhóm các nhà phát triển WordPress. Hầu hết các plugin đều có sẵn trong kho lưu trữ WordPress, tuy nhiên, bạn cũng có thể tìm thấy các plugin trong các thị trường phổ biến như CodeCanyon hoặc trên trang web của plugin.
Có hơn 50.000 plugin WordPress đang tồn tại và có nhiều plugin được tạo ra mỗi ngày. Các nhà phát triển quản lý và duy trì tốt các plugin của họ để đảm bảo chúng được bảo mật, đặc biệt là những plugin cao cấp.
Các plugin này tuân thủ các nguyên tắc nhất định đảm bảo an toàn và bảo mật cho người dùng. Tuy nhiên, các nhà phát triển tiếp tục cải tiến sản phẩm của họ và đôi khi phải đối mặt với thời gian khó khăn để phát hành các tính năng mới. Trong một số trường hợp, trong quá trình phát triển plugin, bạn có thể bỏ qua một số lỗi bảo mật khiến sản phẩm dễ bị tấn công.
Khi tin tặc tìm thấy một lỗ hổng, chúng có thể khai thác nó để thực hiện nhiều vụ hack, một số trong số đó bao gồm:
- Chuyển hướng khách truy cập đến các trang web không xác định khác.
- Chèn quảng cáo và nội dung spam trên trang web của bạn.
- Cài đặt phần mềm độc hại như phần mềm độc hại wp-feed.php trên trang web của bạn để chúng tiếp tục tấn công.
- Tạo tài khoản quản trị giả mạo.
- Sử dụng tài nguyên máy chủ của bạn để khởi chạy các cuộc tấn công DDoS và gửi email spam.
Các cuộc tấn công hack như thế này sẽ làm chậm nghiêm trọng trang web của bạn, làm giảm thứ hạng SEO của bạn. Chúng cũng gây nguy hiểm cho doanh nghiệp của bạn, doanh thu và danh tiếng của bạn.
Vì các plugin dễ bị tấn công là nguyên nhân gốc rễ lớn nhất của hầu hết các tin tặc trang web, nên điều quan trọng là phải biết plugin nào dễ bị tấn công nhất và các bản sửa lỗi có sẵn.
Lưu ý:Nếu bạn đang sử dụng bất kỳ plugin nào trong số này trên trang web WordPress của mình, chúng tôi đặc biệt khuyên bạn nên cập nhật lên phiên bản mới nhất có sẵn ngay lập tức để ngăn chặn bất kỳ cuộc tấn công hack nào.
Các plugin dễ bị tổn thương có thể dẫn đến việc trang web của bạn bị tấn công. Luôn cập nhật plugin của bạn thường xuyên để tránh các cuộc tấn công và bảo vệ trang web WordPress của bạn. Nhấp để Tweet8 plugin WordPress dễ bị tấn công gần đây nhất
Nhiều plugin WordPress phổ biến đã bị tấn công trong quá khứ như NextGen Gallery, Yoast SEO và Ninja Forms. Ở đây, chúng tôi tập trung vào danh sách các plugin WordPress dễ bị tấn công đã bị tin tặc khai thác gần đây nhất.
1. Trình trùng lặp - Plugin di chuyển WordPress
Plugin Duplicator chủ yếu là một plugin di chuyển cũng được sử dụng để sao lưu WordPress. Người dùng có thể tạo một bản sao lưu trang WordPress của họ và sau đó tải xuống một bản sao của nó. Họ cũng có thể sao chép hoặc di chuyển trang web của họ sang một miền hoặc máy chủ lưu trữ khác. Đây là một plugin khá phổ biến với hơn 1 triệu lượt cài đặt đang hoạt động.
Gần đây, plugin đã phát triển một lỗ hổng được gọi là tải xuống tệp tùy ý. Lỗ hổng này cho phép những kẻ tấn công xuất nội dung của một trang web WordPress đã được cài đặt plugin. Tin tặc cũng có thể tải xuống các tệp bí mật và đánh cắp thông tin đăng nhập cơ sở dữ liệu. Điều này cho phép chúng đột nhập vào trang web, kiểm soát nó và tiếp tục tấn công.
Các nhà phát triển đã phát hiện ra lỗ hổng bảo mật và nhanh chóng phát hành bản cập nhật bảo mật WordPress quan trọng trong Phiên bản Duplicator 1.3.28 và Phiên bản Duplicator Pro 3.8.71 vào tháng 2 năm 2020.
Các chuyên gia bảo mật trang web nói rằng hơn 500.000 người dùng đang sử dụng phiên bản plugin dễ bị tấn công và vẫn chưa cập nhật lên phiên bản mới.
2. Trình nhập bản trình diễn ThemeGrill
ThemeGrill cung cấp các chủ đề đáp ứng miễn phí và cao cấp cho phép bạn xây dựng một trang web trông chuyên nghiệp.
Plugin ThemeGrill Demo Importer cho phép người dùng WordPress nhập các chủ đề chính thức từ ThemeGrill trực tiếp vào bảng điều khiển WordPress của họ. Người dùng cũng có thể nhập nội dung, tiện ích và cài đặt chủ đề. Plugin này có hơn 200.000 lượt cài đặt đang hoạt động.
Tuy nhiên, một lỗ hổng trong plugin này cho phép tin tặc chiếm quyền kiểm soát tài khoản quản trị. Tin tặc có thể khóa bạn khỏi trang web của chính bạn và thậm chí xóa sạch hoàn toàn trang web của bạn.
Các nhà phát triển tại ThemeGrill đã nhanh chóng phát hành bản vá trong phiên bản 1.6.3 vào tháng 2 năm 2020.
3. Plugin trình tạo hồ sơ
Trình tạo hồ sơ cho phép bạn cung cấp cho khách hàng tùy chọn tạo tài khoản trên trang web của bạn. Bạn có thể xây dựng thông tin đăng nhập và biểu mẫu đăng ký của người dùng front-end trên trang web của mình. Nó cũng có các biểu mẫu hồ sơ để khách hàng của bạn cá nhân hóa tài khoản của họ.
Plugin có ba biến thể - Miễn phí, Pro và Hobbyist. Phiên bản Pro và Hobbyist đều là phiên bản cao cấp. Pro cho phép bạn sử dụng plugin trên các trang web WordPress không giới hạn trong khi Hobbyist cung cấp cho bạn giấy phép sử dụng nó trên một trang duy nhất.
Phiên bản WordPress miễn phí của plugin có hơn 50.000 lượt cài đặt đang hoạt động trong khi phiên bản Pro và Hobbyist nói chung có khoảng 15.000 lượt cài đặt.
Vào tháng 2 năm 2020, một lỗ hổng nghiêm trọng đã được phát hiện ảnh hưởng đến tất cả các biến thể của plugin. Một lỗi trong plugin đã khiến tin tặc có thể đăng ký tài khoản quản trị trái phép trên các trang web WordPress. Điều này cho phép tin tặc tạo một tài khoản quản trị giả mạo và kiểm soát hoàn toàn trang web.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của plugin lên đến và bao gồm cả 3.1.0. Bản vá bảo mật đã được phát hành trong phiên bản 3.1.1.
4. Các trường thanh toán linh hoạt cho WooCommerce
Plugin bổ trợ này cho WooCommerce cho phép người dùng tùy chỉnh các trường thanh toán của họ. Điều này có nghĩa là người dùng có thể chỉnh sửa các trường mặc định trên trang thanh toán và thay vào đó thêm nhãn của riêng họ. Plugin có hơn 20.000 lượt cài đặt đang hoạt động.
Plugin Trường thanh toán linh hoạt được các nhà phát triển duy trì tốt và cập nhật thường xuyên.
Plugin có một lỗ hổng mà tin tặc bắt đầu tích cực khai thác. Lỗ hổng cho phép tin tặc tiêm mã độc vào các trang web WordPress. Điều này cho phép họ thực hiện tất cả các loại hoạt động như tạo tài khoản quản trị WP giả mạo, đánh cắp dữ liệu và khóa người dùng quản trị khỏi trang web của riêng họ.
Các nhà phát triển đã nhanh chóng phát hành bản vá bảo mật trong phiên bản 2.3.2 và 2.3.3 vào ngày 25 tháng 2 năm 2020. Kể từ đó, plugin đã được cập nhật nhiều lần. Chúng tôi đặc biệt khuyên bạn nên cập nhật lên phiên bản mới nhất hiện có.
5. ThemeREX Addons
Plugin ThemeREX Addons được thiết kế để trở thành một plugin đồng hành với nhiều chủ đề khác nhau được tạo bởi ThemeREX. Addon này có một số tính năng và tiện ích mở rộng chức năng của các chủ đề của chúng. Plugin được cài đặt trên khoảng 44.000 trang web WordPress.
Tin tặc đã tìm thấy một lỗ hổng trong plugin và bắt đầu tấn công các trang web bằng plugin này. Ở đây, tin tặc cũng có thể khai thác một điểm yếu trong plugin để tạo tài khoản người dùng quản trị mới.
ThemeREX đã phát hành bản cập nhật kịp thời nhưng việc cập nhật các Addons ThemeREX phức tạp hơn một chút. Vì plugin không có sẵn trong kho lưu trữ WordPress nên bạn sẽ không thấy bản cập nhật có sẵn cho plugin trên trang tổng quan WordPress của mình . Bạn cần đăng ký bản tin ThemeREX để nhận thông tin về các bản cập nhật cho bất kỳ plugin và chủ đề nào của nó.
Thêm vào đó, plugin ThemeREX Addon được tích hợp với một số chủ đề. Nhiều chủ sở hữu trang web có thể đã cài đặt một chủ đề từ chủ đề ThemeREX và có thể không biết rằng plugin này đã được cài đặt tự động trên trang web của họ như một phần của gói.
Nếu bạn đang sử dụng bất kỳ chủ đề ThemeREX nào, chúng tôi đặc biệt khuyên bạn nên cập nhật chủ đề đó lên phiên bản mới nhất. Bạn có thể cập nhật plugin từ tài khoản ThemeREX của mình. Trong trường hợp bạn không thể làm như vậy, bạn có thể cần cài đặt plugin trình cập nhật ThemeREX. Liên hệ với ThemeREX để biết thêm thông tin về việc cập nhật plugin này.
6. Không đồng bộ hóa JavaScript
Plugin Async Javascript giúp giảm thời gian tải trang, do đó tăng tốc độ trang và trải nghiệm người dùng. Trang web WordPress của bạn được tạo thành từ các ngôn ngữ mã hóa khác nhau như PHP, CSS và Javascript. Plugin Async Javascript này nâng cao cách javascript được tải trên trang web của bạn. Plugin có hơn 100.000 lượt cài đặt đang hoạt động.
Một lỗ hổng trong plugin đã cho phép tin tặc thực hiện một cuộc tấn công từ xa. Đề xuất đọc: Các cuộc tấn công tập lệnh trên nhiều trang web (XSS) . Điều này mở ra khả năng tin tặc đánh cắp thông tin nhạy cảm, thay đổi giao diện trang web của nạn nhân và lừa khách truy cập trang web tải xuống phần mềm độc hại hoặc tiết lộ dữ liệu cá nhân.
Các nhà phát triển đã khắc phục tất cả các vấn đề hiện có và cũng thực hiện các biện pháp bảo mật bổ sung để bảo vệ plugin. Phiên bản an toàn nhất hiện có tại thời điểm viết bài này là phiên bản 2.20.03.01.
Trong nhiều trường hợp, các nhà phát triển WordPress cài đặt plugin này trong khi tạo trang web nhưng khách hàng của họ có thể không biết về sự tồn tại của plugin trên trang web của họ. Nhưng may mắn thay, plugin này có sẵn trong kho lưu trữ WordPress và thông báo cập nhật xuất hiện trên bảng điều khiển WordPress.
7. Lịch sự kiện hiện đại Lite
Plugin lịch sự kiện này giúp quản lý các sự kiện trên các trang web WordPress dễ dàng! Nó có giao diện đáp ứng và thân thiện với thiết bị di động cho phép chủ sở hữu trang web dễ dàng hiển thị lịch sự kiện được thiết kế tốt trên trang web của họ. Modern Events Calendar Lite được sử dụng miễn phí và có hơn 40.000 lượt cài đặt đang hoạt động.
Vào tháng 2 năm 2020, plugin đã gặp phải một lỗ hổng cho phép tin tặc đưa phần mềm độc hại vào trang web WordPress để thực hiện các cuộc tấn công tiếp theo như thay đổi giao diện của trang web và đánh cắp dữ liệu nhạy cảm.
Tất cả các phiên bản của plugin lên đến 5.1.6 đều dễ bị tấn công. Các nhà phát triển đã phát hành một bản vá ngay lập tức và kể từ đó đã cập nhật plugin nhiều lần.
Nếu bạn đang sử dụng plugin này, chúng tôi thực sự khuyên bạn nên cập nhật lên phiên bản mới nhất càng sớm càng tốt.
8. 10Web Map Builder cho Google Maps
Plugin 10Web Map Builder cho Google Maps cung cấp cho người dùng WordPress một cách dễ dàng để thêm bản đồ vào trang web WordPress của họ. Nó cung cấp các tính năng và tùy chỉnh mạnh mẽ khiến nó trở nên khá phổ biến với hơn 20.000 lượt cài đặt đang hoạt động.
Gần đây, một lỗ hổng bảo mật đã xuất hiện trong quá trình thiết lập plugin. Nó cho phép tin tặc đưa các đoạn mã độc hại vào một trang web WordPress. Họ có thể sử dụng các tập lệnh để tấn công quản trị viên cũng như khách truy cập trang web.
Các nhà phát triển đã phát hành phiên bản cập nhật 1.0.64 vào tháng Hai. Nếu bạn đã cài đặt plugin này trên trang web của mình, khi bạn cập nhật lên phiên bản mới nhất, lỗ hổng bảo mật sẽ được vá.
Nếu trang web của bạn bị tấn công do lỗ hổng trong plugin, chúng tôi khuyên bạn nên đọc hướng dẫn của chúng tôi về cách xóa trang web WordPress bị tấn công.
Điều đó đưa chúng ta kết thúc các plugin bị tấn công gần đây nhất. Danh sách này không đầy đủ. Theo kinh nghiệm của chúng tôi khi làm việc với WordPress trong hơn một thập kỷ, các plugin có xu hướng phát triển các lỗ hổng bảo mật WordPress theo thời gian. Cách tốt nhất để giảm thiểu các cuộc tấn công vào trang web của bạn do các plugin dễ bị tấn công là cập nhật chúng ngay khi có phiên bản mới! Hãy nhớ cập nhật cài đặt cốt lõi WordPress và các chủ đề WordPress của bạn.
Cách tốt nhất để giảm thiểu các cuộc tấn công vào trang web của bạn do các plugin dễ bị tấn công là cập nhật chúng ngay khi có phiên bản mới! Nhấp để TweetNếu bạn thích bài viết này, bạn muốn đọc thêm về các lỗ hổng trên trang web WordPress của mình. Chúng tôi thảo luận thêm về các rủi ro bảo mật trang web như tập lệnh trên nhiều trang web, chèn SQL, lỗi báo cáo đặc quyền, yêu cầu giả mạo, tải lên tệp tùy ý, xem tệp đó và hơn thế nữa.
Lời kết
Các lỗ hổng có xu hướng xuất hiện trong nhiều plugin WordPress nhưng hầu hết các nhà phát triển cũng hành động nhanh chóng và khắc phục chúng kịp thời. Từ đó trở đi, bạn, chủ sở hữu trang web, có trách nhiệm cập nhật plugin của bạn lên phiên bản mới nhất ngay lập tức.
Vì vậy, cập nhật trang web của bạn thường xuyên sẽ ngăn chặn tin tặc và đảm bảo trang web của bạn được an toàn. Nhưng chúng tôi hiểu rằng không phải lúc nào các bản cập nhật cũng dễ theo dõi và có thể trở nên khó quản lý. Chúng tôi thực sự khuyên bạn nên đọc Hướng dẫn của chúng tôi về Cách cập nhật trang web WordPress của bạn một cách an toàn.
Tại MalCare, chúng tôi hiểu những khó khăn bạn có thể gặp phải với các bản cập nhật, đặc biệt nếu bạn chạy nhiều trang web WordPress. Do đó, để làm cho mọi thứ dễ dàng hơn, plugin MalCare của chúng tôi cung cấp cho bạn quyền truy cập vào trang tổng quan tập trung để quản lý tất cả các bản cập nhật cùng nhau. Ngoài ra, plugin bảo mật WordPress sẽ bảo vệ trang web của bạn khỏi các nỗ lực tấn công.
Hãy thử của chúng tôi Plugin bảo mật MalCare Ngay bây giờ!