Việc phát hiện gần đây về lỗ hổng cross-site scripting (XSS) nghiêm trọng trong phiên bản 3.1.6 trở xuống của plugin WP Adminify phổ biến là mối lo ngại cực độ đối với chủ sở hữu trang web WordPress. Lỗ hổng này, nếu bị khai thác, có thể cho phép kẻ tấn công đưa mã JavaScript độc hại vào bảng điều khiển quản trị và các trang web mặt tiền.
Theo báo cáo của nhà nghiên cứu bảo mật Rio Darmawan, lỗ hổng này xuất phát từ việc khử trùng đầu vào không đủ trong mã plugin. Quản trị viên trang web sử dụng các phiên bản WP Adminify dễ bị tấn công được khuyến cáo nên cập nhật hoặc xóa plugin ngay lập tức. Thật không may, tại thời điểm viết bài, không có phiên bản vá nào có sẵn.
Đối với chủ sở hữu trang web không thể cập nhật hoặc xóa WP Adminify, cần phải có các biện pháp phòng ngừa bổ sung. Bật tường lửa ứng dụng web (WAF) như plugin tường lửa WordPress miễn phí của wp-firewall.com có thể cung cấp thêm một lớp bảo vệ trong khi bản vá được phát triển. WAF kiểm tra lưu lượng truy cập đến và chặn các nỗ lực XSS và các cuộc tấn công khác trước khi chúng đến trang web.
Với các lỗ hổng XSS nằm trong số các trang web WordPress phổ biến và nguy hiểm nhất hiện nay, chúng tôi kêu gọi người dùng WP Adminify hành động. Di chuyển sang một giải pháp thay thế an toàn hoặc triển khai các biện pháp giảm thiểu tạm thời như WAF. Đừng để trang web và dữ liệu của bạn bị lộ!
Người đọc có thể cải thiện tình trạng bảo mật WordPress của mình bằng cách đăng ký plugin tường lửa WordPress miễn phí của wp-firewall.com thông qua trang giá của họ: https://wp-firewall.com/pricing/
nguồn: vuldb.com