Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the MWP-Firewall domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home/E4wU9yBtpX5OW19y/wpf202503/public_html/wp-includes/functions.php on line 6121

Deprecated: Creation of dynamic property SureCart\Licensing\Updater::$cache_key is deprecated in /home/E4wU9yBtpX5OW19y/wpf202503/public_html/wp-content/plugins/MWP-Firewall/licensing/src/Updater.php on line 22
Critical vulnerability in WordPress Platform theme affects users

(CVE-2015-10143) Bảo mật giao diện WordPress khỏi các bản cập nhật tùy chọn trái phép

quản trị viên

Lỗ hổng kiểm soát truy cập nghiêm trọng trong giao diện nền tảng WordPress (<1.4.4) cần được xử lý ngay lập tức

WordPress hỗ trợ hơn 40% nền tảng web, khiến nó trở thành mục tiêu hàng đầu cho các mối đe dọa mạng. Với việc sử dụng rộng rãi, các lỗ hổng bảo mật có thể gây ra hậu quả nghiêm trọng. Một lỗ hổng 🚨 KIỂM SOÁT TRUY CẬP QUAN TRỌNG 🚨 mới đã được phát hiện trong giao diện WordPress phổ biến, ảnh hưởng đến tất cả các phiên bản dưới 1.4.4. Lỗ hổng này cho phép KẺ TẤN CÔNG KHÔNG ĐƯỢC XÁC THỰC tùy ý cập nhật các tùy chọn WordPress—gây ra rủi ro nghiêm trọng cho bảo mật website của bạn.


Hiểu về lỗ hổng: Kiểm soát truy cập bị hỏng là gì?

KIỂM SOÁT TRUY CẬP BỊ HỎNG là một trong 10 rủi ro bảo mật nổi tiếng nhất của OWASP. Nó xảy ra khi một trang web không hạn chế quyền của người dùng đúng cách, cho phép người dùng trái phép thực hiện các hành động đặc quyền.

Đối với chủ đề Nền tảng, điều này có nghĩa là:

  • Kẻ tấn công KHÔNG CÓ THÔNG TIN ĐĂNG NHẬP có thể thay đổi các tùy chọn WordPress tùy ý
  • Họ có thể thao túng cấu hình trang web hoặc nhúng mã độc hại
  • Lỗ hổng bảo mật bắt nguồn từ việc thiếu kiểm tra ủy quyền, xác minh nonce hoặc kiểm soát quyền

Ai bị ảnh hưởng?

Tất cả các trang web chạy PHIÊN BẢN CHỦ ĐỀ NỀN TẢNG CŨ HƠN 1.4.4 đều dễ bị tấn công. Điểm chính:

  • Không cần xác thực để khai thác lỗ hổng này
  • Kẻ tấn công có thể thực hiện CẬP NHẬT TÙY CHỌN TÙY Ý
  • Công bố công khai vào ngày 28/07/2025—CẦN HÀNH ĐỘNG NGAY LẬP TỨC

Nếu trang web của bạn sử dụng chủ đề này và chưa nâng cấp lên phiên bản 1.4.4 trở lên, bạn sẽ gặp rủi ro đáng kể.


Tại sao lỗ hổng này lại nguy hiểm đến vậy?

Với ĐIỂM CVSS LÀ 9,8 (MỨC ĐỘ NGHIÊM TRỌNG CAO), lỗ hổng bảo mật này cực kỳ nguy hiểm:

  • TOÀN BỘ TRANG WEB VI PHẠM: Kẻ tấn công có thể chèn cửa hậu hoặc chuyển hướng khách truy cập
  • VI PHẠM TÍNH TOÀN VẸN DỮ LIỆU: Cài đặt có thể bị thay đổi, phá vỡ hoạt động hoặc rò rỉ dữ liệu nhạy cảm
  • THIỆT HẠI SEO & DANH TIẾNG: Thư rác hoặc chuyển hướng có thể khiến trang web của bạn bị đưa vào danh sách đen
  • SỰ MÒN MÒN NIỀM TIN CỦA NGƯỜI DÙNG: Các trang web bị xâm phạm sẽ mất khách hàng và uy tín

Kẻ tấn công có thể dễ dàng khai thác điều này—không cần đăng nhập—khiến nó trở thành mục tiêu ưa thích cho các cuộc tấn công bot tự động.


Các kịch bản tấn công điển hình

Kẻ tấn công gửi YÊU CẦU HTTP ĐÃ ĐƯỢC TẠO RA đến các điểm cuối dễ bị tấn công, bỏ qua quyền ủy quyền. Các tình huống phổ biến:

  • Thay đổi URL trang web hoặc liên kết cố định để phục vụ các trang lừa đảo
  • Vô hiệu hóa các plugin bảo mật thông qua tùy chọn cập nhật
  • Chèn các tập lệnh độc hại hoặc tải các tài nguyên đáng ngờ
  • Cho phép tấn công XSS hoặc RCE liên tục

Cách xác định xem trang web WordPress của bạn có bị xâm phạm không

Hãy chú ý những DẤU HIỆU CẢNH BÁO sau:

  • Những thay đổi bất ngờ trong cài đặt WordPress
  • Người dùng quản trị mới đáng ngờ hoặc leo thang vai trò
  • Tăng thư rác hoặc chuyển hướng gây hiểu lầm
  • Các đoạn mã JavaScript hoặc iframe không quen thuộc
  • Chậm lại hoặc va chạm đột ngột
  • Cảnh báo từ plugin bảo mật hoặc danh sách đen

Việc giám sát và quét bảo mật thường xuyên là điều cần thiết.


Giảm thiểu ngay lập tức: Vá, làm cứng và bảo vệ

1. CẬP NHẬT CHỦ ĐỀ NỀN TẢNG NGAY LẬP TỨC

  • Đăng nhập vào Quản trị viên WordPress
  • Vào Giao diện > Chủ đề
  • Cập nhật chủ đề Nền tảng lên phiên bản 1.4.4 trở lên
  • Ngoài ra, hãy tải xuống phiên bản mới nhất từ các nguồn chính thức và tải lên thủ công

2. XEM LẠI CÁC THIẾT LẬP TÙY CHỌN CỦA TRANG WEB ĐỂ BIẾT CÁC THAY ĐỔI TRÁI PHÉP

  • Kiểm tra bảng wp_options để tìm các mục đáng ngờ
  • Đặc biệt chú ý đến siteurl, trang chủ và các tùy chọn tập lệnh/plugin tùy chỉnh
  • Hoàn nguyên mọi thay đổi trái phép

3. SỬ DỤNG BẢO VỆ TƯỜNG LỬA ỨNG DỤNG WEB (WAF)

  • Triển khai WAF WORDPRESS mạnh mẽ để chặn các yêu cầu trái phép
  • Giảm thiểu 10 rủi ro hàng đầu của OWASP, bao gồm Kiểm soát truy cập bị hỏng
  • Cho phép vá lỗi ảo để bảo vệ trước lỗ hổng zero-day
  • Giám sát lưu lượng truy cập để tìm ra các mẫu bất thường

4. THỰC HIỆN CÁC BIỆN PHÁP AN NINH TỐT NHẤT KHÁC

  • Áp dụng MẬT KHẨU QUẢN TRỊ MẠNH và XÁC THỰC HAI YẾU TỐ (2FA)
  • Hạn chế khả năng của người dùng
  • Thường xuyên sao lưu trang web của bạn
  • Theo dõi nhật ký để phát hiện hoạt động bất thường
  • Củng cố môi trường máy chủ của bạn

Vai trò của bản vá ảo trong phản ứng nhanh chóng với lỗ hổng bảo mật

VIRTUAL PATCHING cung cấp một lớp phòng thủ chủ động:

  • Bảo vệ ngay lập tức sau khi tiết lộ lỗ hổng
  • Không cần thay đổi mã
  • Chặn cả các kiểu khai thác đã biết và nghi ngờ
  • Bổ sung cho quản lý bản vá tiêu chuẩn

Đối với lỗ hổng bảo mật này, các quy tắc vá lỗi ảo có thể ngăn chặn các yêu cầu HTTP độc hại nhắm vào các bản cập nhật tùy chọn chưa được xác thực, giúp bạn có thêm thời gian để cập nhật an toàn.


Tại sao kẻ tấn công nhắm vào các chủ đề WordPress?

Chủ đề là một phương thức tấn công phổ biến vì:

  • Họ xử lý các chức năng và tùy chọn nhạy cảm
  • Không phải tất cả đều nhận được bản cập nhật bảo mật kịp thời
  • Một số điểm cuối AJAX bị lộ thiếu kiểm tra bảo mật
  • Những kẻ tấn công lợi dụng lòng tin của quản trị viên vào chủ đề

Phải làm gì nếu trang web của bạn đã bị xâm phạm

Nếu bạn nghi ngờ có sự bóc lột:

  • ĐẶT TRANG WEB CỦA BẠN Ở CHẾ ĐỘ BẢO TRÌ
  • Quét phần mềm độc hại và mã đáng ngờ
  • Xem lại tài khoản người dùng và ĐẶT LẠI MẬT KHẨU
  • Khôi phục từ bản SẠCH SAO LƯU gần đây nếu có thể
  • Tìm kiếm sự trợ giúp từ các chuyên gia bảo mật WORDPRESS
  • Làm cứng cài đặt của bạn sau khi dọn dẹp

Đừng chỉ dựa vào trình quét plugin tự động—quét cấp máy chủ và phân tích pháp y sẽ toàn diện hơn.


Danh sách kiểm tra tóm tắt: Bảo vệ trang web WordPress của bạn ngay bây giờ

HOẠT ĐỘNG SỰ MIÊU TẢ TÍNH KHẨN CẤP
Cập nhật chủ đề nền tảng Đến phiên bản 1.4.4+ NGAY LẬP TỨC
Kiểm tra các tùy chọn WordPress Kiểm tra các thay đổi trái phép CAO
Triển khai hoặc cấu hình WAF Chặn các yêu cầu trái phép CẤP BÁCH
Triển khai 2FA và Mật khẩu mạnh Giới hạn quyền truy cập của quản trị viên CAO
Sao lưu trang web thường xuyên Khôi phục nếu bị xâm phạm ĐANG DIỄN RA
Giám sát Nhật ký & Cảnh báo Phát hiện sớm các nỗ lực khai thác ĐANG DIỄN RA

Thực hiện các bước này sẽ giúp giảm đáng kể nguy cơ bị lộ thông tin và cải thiện an ninh tổng thể của bạn.


Được bảo vệ: Bảo vệ trang web WordPress của bạn bằng Tường lửa được quản lý miễn phí

Việc theo kịp các mối đe dọa mới của WordPress là một thách thức. GIẢI PHÁP BẢO MẬT VÀ TƯỜNG LỬA WORDPRESS ĐƯỢC QUẢN LÝ cung cấp:

  • Tường lửa được quản lý với các quy tắc WAF được điều chỉnh
  • Bảo vệ băng thông không giới hạn
  • Quét và phát hiện phần mềm độc hại hàng ngày
  • Tự động giảm thiểu 10 rủi ro hàng đầu của OWASP

Đăng ký Gói cơ bản MIỄN PHÍ của chúng tôi để được bảo vệ thiết yếu, dễ dàng nâng cấp lên các tính năng nâng cao như tự động xóa phần mềm độc hại, danh sách đen IP, vá lỗi ảo và hỗ trợ chuyên gia.

Bảo vệ trang web WordPress của bạn ngay hôm nay bằng cách đăng ký tại đây:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Tăng cường khả năng bảo vệ thời gian thực cho trang web của bạn trước các mối đe dọa mới nhất—hãy bắt đầu hành trình bảo mật ngay bây giờ.


Suy nghĩ cuối cùng

Các lỗ hổng bảo mật trong giao diện WordPress, chẳng hạn như lỗi kiểm soát truy cập của giao diện Nền tảng, có thể dẫn đến mất dữ liệu hoặc chiếm quyền toàn bộ trang web. Việc người dùng chưa xác thực có thể sửa đổi các tùy chọn sẽ đe dọa tính toàn vẹn của trang web.

HÀNH ĐỘNG NGAY: Cập nhật chủ đề, triển khai Tường lửa ứng dụng web, kiểm tra trang web của bạn và áp dụng các biện pháp bảo mật mạnh mẽ.

Tại WP-Firewall, chúng tôi cam kết cung cấp giải pháp bảo vệ nhanh chóng và đáng tin cậy cho cộng đồng WordPress. Đừng chờ đợi một cuộc tấn công—hãy bảo vệ trang web của bạn trước khi quá muộn.


Giữ cho trang WordPress của bạn an toàn và bền bỉ.


Được viết bởi Nhóm bảo mật WP-Firewall

Để biết thêm thông tin và thông tin bảo mật WordPress đang được cập nhật, hãy theo dõi blog của chúng tôi.


wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay
!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.