Lỗ hổng SQL Injection nghiêm trọng trong Taskbuilder//Xuất bản vào 2026-05-14//CVE-2026-6225

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

Taskbuilder CVE-2026-6225 Vulnerability

Tên plugin Taskbuilder
Loại lỗ hổng Tiêm SQL
Số CVE CVE-2026-6225
Tính cấp bách Cao
Ngày xuất bản CVE 2026-05-14
URL nguồn CVE-2026-6225

TL;DR — Điều gì đã xảy ra và tại sao bạn nên quan tâm

Một lỗ hổng SQL Injection nghiêm trọng (CVE-2026-6225) đã được công bố trong Taskbuilder — Công cụ Quản lý Dự án & Quản lý Nhiệm vụ với plugin Kanban Board WordPress. Các phiên bản lên đến và bao gồm 5.0.6 bị ảnh hưởng. Đây là một lỗ hổng SQL injection mù dựa trên thời gian có thể được kích hoạt bởi một người dùng đã xác thực với vai trò Người đăng ký hoặc cao hơn, và nó có điểm CVSS là 8.5.

Nếu trang web của bạn chạy plugin Taskbuilder và bạn không thể nâng cấp ngay lập tức lên 5.0.7 hoặc phiên bản mới hơn, bạn phải áp dụng biện pháp giảm thiểu ngay lập tức — bằng cách vô hiệu hóa plugin, hạn chế quyền truy cập, hoặc áp dụng vá ảo thông qua Tường lửa Ứng dụng Web (WAF). Bài viết này giải thích lỗ hổng là gì, cách mà kẻ tấn công có thể khai thác nó, những gì cần tìm trong nhật ký và cơ sở dữ liệu của bạn, và các biện pháp giảm thiểu từng bước mà bạn có thể áp dụng ngay hôm nay — bao gồm các quy tắc cụ thể và các giải pháp thay thế cấp độ WordPress.

Mục lục

  • Bối cảnh: lỗ hổng bằng ngôn ngữ đơn giản
  • Cách hoạt động của lỗ hổng SQL injection mù dựa trên thời gian (ngắn gọn, thực tiễn)
  • Ai đang gặp rủi ro và các kịch bản tấn công có thể xảy ra
  • Các chỉ số thực sự của sự xâm phạm (IoCs) và mẹo phát hiện
  • Các hành động ngay lập tức (cần làm trong giờ đầu tiên)
  • Các biện pháp khắc phục tạm thời nếu bạn không thể cập nhật ngay lập tức
    • Quy tắc WAF (ví dụ chữ ký ModSecurity)
    • .Các hạn chế .htaccess và giới hạn tốc độ
    • Đoạn mã WordPress để hạn chế các điểm cuối plugin cho Người đăng ký
  • Lời khuyên tăng cường trung hạn và dài hạn
  • Cách WP-Firewall bảo vệ các trang web của bạn (những điểm nổi bật của gói miễn phí và trả phí)
  • Bảo vệ Trang web của bạn Ngay bây giờ — Bắt đầu với WP-Firewall Miễn phí (chi tiết đăng ký)
  • Danh sách kiểm tra phục hồi và sau khi nhiễm
  • Phụ lục: mẫu payload và nhật ký ví dụ (để phát hiện)

Bối cảnh: lỗ hổng bằng ngôn ngữ đơn giản

Taskbuilder là một plugin được sử dụng trên các trang web WordPress để thêm bảng kanban và các tính năng nhiệm vụ/dự án. Một lỗ hổng trong các phiên bản ≤ 5.0.6 cho phép một người dùng đã xác thực với quyền Người đăng ký thực hiện một lỗ hổng SQL injection mù dựa trên thời gian. Nói một cách đơn giản:

  • Một kẻ tấn công cần một tài khoản hợp lệ trên trang web (Người đăng ký hoặc cao hơn).
  • Bằng cách sử dụng đầu vào được thiết kế cẩn thận, kẻ tấn công có thể khiến cơ sở dữ liệu thực hiện một độ trễ có điều kiện (ví dụ, SLEEP(5)) khi một điều kiện là đúng.
  • Bằng cách đo thời gian phản hồi, kẻ tấn công có thể suy ra dữ liệu từ cơ sở dữ liệu từng bit một mà không nhận được đầu ra truy vấn trực tiếp — cho phép trích xuất dữ liệu, liệt kê tài khoản, và có thể thực hiện các hành động nguy hiểm hơn tùy thuộc vào quyền truy cập cơ sở dữ liệu.

Nhà cung cấp đã phát hành một bản vá trong phiên bản 5.0.7. Bởi vì lỗ hổng này có thể bị khai thác bởi người dùng đã xác thực với quyền hạn thấp và nó dựa trên thời gian (điều này làm cho việc khai thác hàng loạt tự động trở nên thực tế), đây là một bản sửa lỗi ưu tiên cao cho các chủ sở hữu trang web.

Cách thức hoạt động của SQL injection mù dựa trên thời gian (ngắn gọn, thực tiễn)

SQL injection mù được sử dụng khi ứng dụng không trả về kết quả cơ sở dữ liệu trực tiếp. SQLi mù dựa trên thời gian tận dụng các hàm cơ sở dữ liệu làm chậm quá trình thực thi (SLEEP trong MySQL, pg_sleep trong PostgreSQL). Kẻ tấn công tiêm một payload như:

' HOẶC IF(SUBSTRING((SELECT group_concat(user_login,0x3a,user_pass) FROM wp_users LIMIT 1), 1, 1) = 'a', SLEEP(5), 0) -- -

Bằng cách quan sát xem phản hồi có bị trì hoãn hay không, kẻ tấn công có thể xác định liệu một phỏng đoán có đúng hay không. Lặp lại kỹ thuật này cho phép lấy dữ liệu từng ký tự một.

Các thuộc tính chính:

  • Khó phát hiện nếu các nhật ký không được giám sát cho các mẫu thời gian bất thường.
  • Hiệu quả ngay cả khi ứng dụng ẩn thông báo lỗi DB.
  • Thực tiễn cho những kẻ tấn công có tài khoản quyền hạn thấp — họ có thể tạo một tài khoản, đăng nhập và bắt đầu thăm dò.

Ai đang gặp rủi ro và các kịch bản tấn công thực tế

Ai:

  • Bất kỳ trang WordPress nào có plugin Taskbuilder được cài đặt ở phiên bản ≤ 5.0.6.
  • Các trang cho phép đăng ký người dùng và tự động gán vai trò Người đăng ký (hoặc cao hơn) đặc biệt dễ bị tổn thương.
  • Các trang có kiểm soát đăng ký người dùng yếu hoặc bot có thể đăng ký hàng loạt.

Kẻ tấn công sẽ sử dụng nó như thế nào:

  • Trích xuất dữ liệu (tên người dùng, địa chỉ email, siêu dữ liệu) từ các bảng wp_users và wp_usermeta.
  • Lập bản đồ cấu trúc trang và dữ liệu plugin có sẵn — sau đó leo thang hoặc chuyển sang các lỗ hổng khác.
  • Tạo một điểm đứng (chiếm quyền tài khoản nếu tìm thấy mật khẩu quản trị yếu).
  • Sử dụng khả năng của plugin để tiêm nội dung độc hại bền vững hoặc tạo các công việc theo lịch trình tồn tại sau khi cập nhật plugin.

Các kịch bản ví dụ:

  • Một tác nhân độc hại đăng ký (hoặc sử dụng tài khoản Người đăng ký bị xâm phạm) và thực hiện các cuộc thăm dò theo thời gian để lấy các băm mật khẩu người dùng và email.
  • Một botnet tự động thực hiện các cuộc thăm dò dựa trên thời gian trên nhiều trang web, thu thập thông tin đăng nhập và dữ liệu quý giá.

Các chỉ số thực sự của sự xâm phạm (IoCs) và mẹo phát hiện

Theo dõi những dấu hiệu này ngay lập tức:

  • Yêu cầu HTTP POST từ các tài khoản Người đăng ký đã xác thực đến các điểm cuối bất thường (điểm cuối AJAX plugin, điểm cuối REST tùy chỉnh).
  • Các yêu cầu với payload đáng ngờ chứa các từ khóa SQL kết hợp với các cuộc gọi hàm: SLEEP(, BENCHMARK(, IF(, SUBSTRING(, CHAR( — thường được mã hóa URL.
  • Sự gia tăng không giải thích được trong thời gian phản hồi cho một số yêu cầu (độ trễ nhất quán từ 3–10 giây).
  • Số lượng lần đăng nhập thất bại tăng lên, hoặc sự tạo ra đột ngột của nhiều tài khoản người dùng.
  • Người dùng quản trị mới được thêm vào một cách bất ngờ, hoặc thay đổi các tùy chọn quan trọng (URL trang, email quản trị).
  • Các hàng dữ liệu cơ sở dữ liệu bất ngờ hoặc sửa đổi trong wp_options, wp_posts, wp_users, và các bảng plugin.
  • Nhật ký máy chủ web cho thấy thời gian phản hồi dài tương quan với các URI nhất định.
  • Kết nối ra ngoài từ trang của bạn đến các IP hoặc miền không quen thuộc.

Các lệnh phát hiện cơ bản (ví dụ):

  • Tìm kiếm nhật ký máy chủ web cho “sleep(” hoặc “benchmark(” (giải mã URL nếu cần).
  • Sử dụng một truy vấn nhật ký như: grep -i "sleep(" /var/log/apache2/access.log* (hãy cẩn thận, điều này có thể lấy nội dung bình thường đề cập đến từ này).
  • Trong WordPress, xuất các người dùng gần đây và kiểm tra các đăng ký hàng loạt.

Hành động ngay lập tức — sách hướng dẫn giờ đầu tiên

Nếu bạn phát hiện bạn đang chạy Taskbuilder ≤ 5.0.6, hãy làm ngay những điều sau:

  1. Cập nhật plugin lên 5.0.7 hoặc phiên bản mới hơn (được khuyến nghị). Đây là cách sửa chữa dứt khoát.
  2. Nếu bạn không thể cập nhật ngay lập tức, hãy vô hiệu hóa plugin tạm thời.
    • Đi tới Plugins > Installed Plugins và vô hiệu hóa Taskbuilder.
  3. Nếu việc vô hiệu hóa làm hỏng chức năng quan trọng và bạn phải giữ plugin hoạt động:
    • Đưa trang web vào chế độ bảo trì và áp dụng vá ảo (quy tắc WAF) để chặn các mẫu SQLi dựa trên thời gian.
  4. Củng cố đăng ký:
    • Tạm thời vô hiệu hóa đăng ký mở (Cài đặt > Chung > Thành viên).
    • Thay đổi vai trò người dùng mặc định thành không hoặc thành một vai trò rất hạn chế cho đến khi trang web được vá.
  5. Buộc đặt lại mật khẩu cho tất cả người dùng quản trị và xem xét quyền truy cập của quản trị viên.
  6. Lấy một bản sao lưu mới (cơ sở dữ liệu + tệp) trước khi bạn thực hiện các bước khắc phục tiếp theo.
  7. Bật ghi nhật ký và tăng cường độ chi tiết trong một thời gian ngắn để ghi lại các nỗ lực khai thác cho mục đích pháp y.
  8. Thông báo cho nhà cung cấp dịch vụ lưu trữ hoặc liên hệ bảo mật của bạn nếu bạn nghi ngờ có sự xâm phạm đang hoạt động.

Các biện pháp khắc phục tạm thời nếu bạn không thể cập nhật ngay lập tức

Nếu việc cập nhật plugin ngay lập tức là không thể (kiểm tra tính tương thích, quy trình staging, v.v.), hãy sử dụng các biện pháp giảm thiểu sau. Chúng không thay thế cho bản vá, nhưng chúng giảm thiểu rủi ro.

1) Ví dụ quy tắc WAF / ModSecurity (vá ảo)

Dưới đây là các quy tắc ModSecurity ví dụ mà bạn có thể sử dụng để chặn các tải trọng SQL injection dựa trên thời gian. Điều chỉnh ngưỡng và vô hiệu hóa bất kỳ quy tắc nào tạo ra các cảnh báo sai trong môi trường của bạn. Những quy tắc này được thiết kế để phòng thủ: chúng tìm kiếm các mẫu tải trọng dựa trên thời gian phổ biến và chặn chúng.

Ví dụ quy tắc ModSecurity:

# Chặn các mẫu SQL injection dựa trên thời gian phổ biến trong thân yêu cầu hoặc chuỗi truy vấn"

Ghi chú:

  • Đưa những điều này vào cấu hình ModSecurity của bạn hoặc yêu cầu nhà cung cấp dịch vụ lưu trữ của bạn thêm chúng.
  • Những quy tắc này rất rộng. Xem xét các mục nhật ký để điều chỉnh chúng và tránh chặn hành vi hợp pháp của plugin.
  • Một WAF có khả năng vá ảo là cách nhanh nhất để giảm thiểu việc khai thác trong khi bạn kiểm tra bản cập nhật plugin.

2) .htaccess / chặn máy chủ web (nhanh, thô)

Nếu các lỗ hổng nhắm vào một đường dẫn điểm cuối đã biết được bao gồm bởi plugin (ví dụ, một đường dẫn REST cụ thể hoặc hành động admin-ajax), bạn có thể chặn hoặc hạn chế quyền truy cập bằng .htaccess (Apache) hoặc quy tắc Nginx.

Ví dụ (Apache):

# Chặn quyền truy cập vào một điểm cuối plugin cho những người không phải quản trị viên (điều chỉnh đường dẫn)

Ví dụ (Nginx):

# Từ chối các POST trực tiếp đến đường dẫn plugin trừ khi từ IP quản trị viên (thay thế 1.2.3.4)

Lưu ý:

  • Đây là những công cụ thô bạo; chỉ sử dụng chúng như một biện pháp giảm thiểu tạm thời và kiểm tra các tác dụng phụ.

3) Đoạn mã WordPress để chặn hoặc hạn chế hoạt động của plugin cho Người đăng ký

Đặt đoạn mã sau vào một plugin mu‑plugin nhỏ (plugin phải sử dụng) hoặc trong một plugin cụ thể cho trang web. Nó chặn bất kỳ người dùng không phải quản trị viên nào có vai trò Người đăng ký truy cập vào các điểm cuối front-end hoặc AJAX có khả năng bị lạm dụng. Điều chỉnh logic để chỉ nhắm vào các điểm cuối Taskbuilder nếu bạn biết chúng.

<?php;

Quan trọng:

  • Điều này rất hạn chế — nó sẽ làm hỏng bất kỳ yêu cầu POST hợp pháp nào của người đăng ký (nhận xét, cập nhật hồ sơ, tính năng AJAX). Sử dụng tạm thời và chỉ khi cần thiết.
  • Cách tiếp cận tốt hơn: nhắm vào các điểm cuối plugin cụ thể bằng cách kiểm tra REQUEST_URI.

Lời khuyên tăng cường trung hạn và dài hạn

Những biện pháp này giảm thiểu rủi ro từ lỗ hổng plugin này và trong tương lai:

  1. Kỷ luật quản lý bản vá
    • Kiểm tra các bản cập nhật trong môi trường staging và đẩy lên sản xuất kịp thời. Duy trì một danh sách các plugin và phiên bản.
  2. Giảm bề mặt tấn công
    • Xóa các plugin và chủ đề không sử dụng.
    • Vô hiệu hóa hoặc hạn chế đăng ký mở. Sử dụng xác minh email và phê duyệt thủ công cho người dùng mới.
  3. Vệ sinh vai trò người dùng
    • Tránh cấp quyền không cần thiết. Đảm bảo vai trò người dùng mặc định là phù hợp.
    • Yêu cầu mật khẩu mạnh và thực thi thời hạn mật khẩu cho các tài khoản có quyền cao.
  4. Xác thực hai yếu tố
    • Bật 2FA cho tất cả các vai trò người dùng có thể ảnh hưởng đến bảo mật (Quản trị viên, Biên tập viên).
  5. Kế hoạch sao lưu và khôi phục
    • Duy trì sao lưu hàng đêm với lưu trữ an toàn ngoài site. Thường xuyên kiểm tra phục hồi.
  6. Ghi nhật ký và giám sát
    • Tập trung nhật ký (máy chủ web, ứng dụng, cơ sở dữ liệu). Đặt cảnh báo cho các mẫu thời gian bất thường hoặc sự gia tăng trong các yêu cầu POST.
    • Giám sát các tài khoản quản trị mới, thay đổi tệp tin cốt lõi hoặc các tác vụ đã lên lịch mới.
  7. Cơ sở dữ liệu với quyền tối thiểu khi có thể.
    • Đối với môi trường đa trang hoặc đa ứng dụng lớn, hãy xem xét việc tách người dùng DB với quyền hạn hạn chế khi có thể. Lưu ý: WordPress thường yêu cầu đủ quyền để hoạt động, vì vậy điều này cần được lập kế hoạch cẩn thận.
  8. Quét lỗ hổng và kiểm tra thâm nhập.
    • Quét định kỳ và các bài kiểm tra thâm nhập thủ công thỉnh thoảng sẽ phát hiện các lỗ hổng logic và lỗ hổng mù.
  9. Triển khai vá ảo
    • Duy trì các quy tắc WAF có thể được kích hoạt nhanh chóng khi bạn biết về các lỗ hổng mới.

Cách WP‑Firewall bảo vệ các trang web của bạn.

Là một nhà cung cấp bảo mật WordPress, ưu tiên của chúng tôi là bảo vệ các trang web nhanh chóng và không làm hỏng chúng. Khi một lỗ hổng như thế này được công bố, có ba biện pháp để giảm rủi ro ngay lập tức: vá, chặn và củng cố. WP‑Firewall giúp với cả ba:

  • Quy tắc WAF được quản lý: chúng tôi đẩy các biện pháp giảm thiểu đã được kiểm tra kỹ lưỡng để chặn các mẫu tải trọng SQLi phổ biến (dựa trên thời gian, boolean, dựa trên lỗi) ở rìa — ngăn chặn khai thác trong khi bạn vá.
  • Quét và dọn dẹp phần mềm độc hại: quét định kỳ phát hiện các cửa hậu đã được chèn, người dùng quản trị bất hợp pháp và các tệp tin đã được sửa đổi.
  • Vá ảo tự động (có sẵn trong các gói nâng cao): đối với các lỗ hổng nghiêm trọng, chúng tôi cung cấp các quy tắc có thể được áp dụng tự động trên các trang web.
  • Tình báo về mối đe dọa và giám sát: chúng tôi theo dõi các chỉ số khai thác và nâng cao cảnh báo về hoạt động đáng ngờ (thời gian phản hồi bất thường, tải trọng POST đáng ngờ, sự gia tăng đăng ký).
  • Các gói linh hoạt: từ bảo vệ Essential miễn phí của chúng tôi đến các gói pro với vá ảo lỗ hổng tự động, dịch vụ quản lý và báo cáo bảo mật hàng tháng.

Nếu bạn muốn hành động ngay lập tức, hướng dẫn và các quy tắc ví dụ trong bài viết này sẽ giúp bạn giảm rủi ro nhanh chóng. Nếu bạn muốn bảo vệ được quản lý, nền tảng của chúng tôi sẽ áp dụng các biện pháp giảm thiểu một cách an toàn và hoàn tác chúng khi bản vá phía trên được xác minh.

Bảo vệ Trang của Bạn Ngay Bây Giờ — Bắt Đầu với WP‑Firewall Miễn Phí

Bắt đầu bảo vệ trang WordPress của bạn hôm nay với gói Cơ bản (Miễn phí) của WP‑Firewall. Gói miễn phí của chúng tôi bao gồm bảo vệ tường lửa quản lý thiết yếu, một tường lửa ứng dụng web (WAF) có thể chặn các mẫu tấn công phổ biến (bao gồm các nỗ lực tiêm SQL), băng thông không giới hạn, quét phần mềm độc hại và giảm thiểu cho các rủi ro OWASP Top 10.

Tại sao bắt đầu ở đây:

  • WAF luôn hoạt động ngay lập tức để chặn các nỗ lực khai thác ở rìa.
  • Trình quét phần mềm độc hại để phát hiện bất kỳ dấu vết nào sau khi khai thác.
  • Không tốn chi phí — một lớp phòng thủ thực tế trong khi bạn cập nhật các plugin và thực hiện khắc phục.

Đăng ký gói miễn phí và được bảo vệ ngay lập tức: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Nếu bạn cần loại bỏ malware tự động, danh sách đen/trắng IP, hoặc vá lỗi ảo cho các lỗ hổng như Taskbuilder SQLi, các gói Standard và Pro của chúng tôi cung cấp giá trị gia tăng hợp lý.

Danh sách kiểm tra phục hồi và sau khi nhiễm

Nếu bạn phát hiện dấu hiệu khai thác hoặc không chắc chắn liệu có cuộc tấn công xảy ra hay không, hãy làm theo danh sách kiểm tra này:

  1. Cô lập trang web — đưa nó offline hoặc đặt nó sau một trang bảo trì để ngăn chặn tương tác thêm trong khi bạn phân loại.
  2. Sao lưu — sao chép các tệp và DB hiện tại để phân tích pháp y.
  3. Thu thập nhật ký — nhật ký truy cập/lỗi webserver, nhật ký PHP, nhật ký cơ sở dữ liệu và nhật ký gỡ lỗi WordPress.
  4. Quét tìm webshells và các tệp đã được sửa đổi — sử dụng các trình quét malware đáng tin cậy và kiểm tra thủ công.
  5. Kiểm tra tài khoản người dùng — tìm kiếm các quản trị viên mới, thay đổi email người dùng, hoặc siêu dữ liệu người dùng đáng ngờ.
  6. Đặt lại thông tin xác thực — Mật khẩu quản trị, FTP/SFTP, mật khẩu người dùng cơ sở dữ liệu, và khóa API.
  7. Khôi phục từ một bản sao lưu sạch nếu có sẵn và được biết là sạch. Nếu không, hãy xóa các tệp đã tiêm và củng cố cấu hình trước khi đưa lại trang web.
  8. Áp dụng lại các bản vá — cập nhật lõi WordPress, các plugin (bao gồm Taskbuilder), và các chủ đề.
  9. Màn hình — kích hoạt ghi nhật ký và giám sát nâng cao trong ít nhất 30 ngày để phát hiện các nỗ lực tái nhiễm.
  10. Thực hiện đánh giá sau sự cố và cập nhật quy trình vá lỗi/phản ứng của bạn.

Phụ lục: mẫu payload và nhật ký ví dụ (để phát hiện)

Dưới đây là các mẫu điển hình cho thấy hoạt động SQLi mù theo thời gian. Những điều này có thể xuất hiện được mã hóa URL trong nhật ký.

Các đoạn payload phổ biến:

  • NGỦ(5)
  • IF(…,SLEEP(5),0)
  • BENCHMARK(1000000,MD5(1))
  • SUBSTRING((SELECT …),1,1) = ‘a’
  • CONCAT_WS(0x3a, user_login, user_pass)

Ví dụ (mã hóa URL) mà có thể đáng ngờ trong nhật ký truy cập:

POST /index.php/wp-json/taskbuilder/v1/endpoint HTTP/1.1
Content-Length: 1234
Cookie: wordpress_logged_in=...
User-Agent: curl/7.68.0
body: name=John&data=%27+OR+IF(1=1,SLEEP(5),0)+--+

Phát hiện bằng cách quét nhật ký cho các mã thông báo (giải mã URL): ngủ(, chuẩn mực(, pg_sleep(, nếu(, substring(, concat( — và sau đó đối chiếu những điều này với cookie phiên đã xác thực hoặc tài khoản người dùng.

Lời kết từ đội ngũ bảo mật WP‑Firewall

Lỗ hổng Taskbuilder này là một ví dụ điển hình về cách một người dùng có quyền hạn thấp đã xác thực có thể trở thành bước đệm cho một vụ vi phạm lớn hơn. Việc sửa lỗi (cập nhật lên 5.0.7) là đơn giản — nhưng nếu bạn không thể cập nhật ngay lập tức, có những biện pháp bảo vệ cụ thể mà bạn có thể áp dụng ngay bây giờ: vô hiệu hóa tạm thời plugin, vá ảo WAF, quy tắc .htaccess hoặc máy chủ, và hạn chế truy cập WordPress.

Chúng tôi khuyến nghị mạnh mẽ thứ tự ưu tiên sau:

  1. Vá plugin lên 5.0.7 hoặc phiên bản mới hơn càng sớm càng tốt.
  2. Nếu bạn không thể vá ngay lập tức, hãy áp dụng quy tắc WAF và/hoặc tạm thời vô hiệu hóa plugin.
  3. Tăng cường đăng ký người dùng và đặt lại tất cả các thông tin xác thực có quyền hạn cao.
  4. Chạy quét toàn bộ phần mềm độc hại và kiểm tra tính toàn vẹn và theo dõi danh sách kiểm tra phục hồi nếu bạn phát hiện dấu hiệu đáng ngờ.

Nếu bạn cần giúp đỡ trong việc áp dụng các biện pháp bảo vệ tạm thời hoặc muốn một giải pháp quản lý có thể áp dụng các bản vá ảo một cách an toàn và nhanh chóng, hãy xem xét các kế hoạch WP‑Firewall của chúng tôi — bao gồm kế hoạch Cơ bản miễn phí để bắt đầu ngay lập tức: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Hãy cảnh giác — các lỗ hổng như thế này thường bị nhắm đến nhanh chóng trong tự nhiên. Nếu bạn muốn đội ngũ của chúng tôi xem xét nhật ký của bạn hoặc hỗ trợ với việc giảm thiểu, hãy liên hệ qua các kênh hỗ trợ trong bảng điều khiển WP‑Firewall của bạn.

— Nhóm bảo mật WP‑Firewall

wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Liên hệ với chúng tôi

Tường lửa WP
Tầng 6, The Rays, 71 Đường Hung To, Kwun Tong, Cửu Long, Hồng Kông

Đặc trưng Giá cả Blog Đăng nhập
Chính sách bảo mật Điều khoản dịch vụ Tài liệu Liên kết

© 2026 WP-Firewall™