
WordPress bị tấn công: Các lỗ hổng nguy hiểm nhất trong quý 1 năm 2025 và cách bảo vệ
Quý đầu tiên của năm 2025 đã chứng kiến sự gia tăng đáng báo động về các mối đe dọa bảo mật WordPress, với nhiều lỗ hổng nghiêm trọng ảnh hưởng đến hàng triệu trang web trên toàn thế giới. Khi những kẻ tấn công ngày càng tận dụng các kỹ thuật tinh vi bao gồm các khai thác do AI điều khiển, chủ sở hữu trang web cần các chiến lược bảo vệ toàn diện hơn bao giờ hết. Báo cáo này xem xét các mối đe dọa bảo mật WordPress nghiêm trọng nhất trong quý 1 năm 2025 và đưa ra các khuyến nghị của chuyên gia để bảo vệ mạnh mẽ.
Bối cảnh đe dọa WordPress đang phát triển
WordPress tiếp tục thống trị hệ sinh thái web, cung cấp năng lượng cho hàng triệu trang web và cung cấp tính linh hoạt vô song thông qua hệ sinh thái plugin và chủ đề mở rộng của nó. Tuy nhiên, chính sự cởi mở này khiến nó trở thành mục tiêu chính của tội phạm mạng. Kẻ tấn công liên tục quét phần mềm lỗi thời, lỗ hổng chưa được vá và cấu hình sai có thể bị khai thác để truy cập trái phép.
Thực tế đáng lo ngại: nhiều trang web WordPress vẫn dễ bị tấn công trong thời gian dài sau khi các lỗ hổng bảo mật được tiết lộ, đơn giản là vì các bản cập nhật bị trì hoãn hoặc bị bỏ qua. Theo giám sát bảo mật gần đây, chỉ riêng tháng trước đã chứng kiến việc triển khai hơn 500 bản vá ảo mới để bảo vệ chống lại các mối đe dọa mới nổi[10]. Điều này làm nổi bật một sự thật quan trọng đối với chủ sở hữu trang web—chỉ dựa vào các bản vá do nhà phát triển phát hành không còn đủ trong bối cảnh đe dọa hiện nay.
Quý vừa qua đã chứng kiến sự gia tăng đột biến các nỗ lực khai thác. Những kẻ tấn công đang tận dụng cả lỗ hổng cũ và mới, với một số lỗ hổng bảo mật nhận được hàng nghìn nỗ lực khai thác trong vòng vài ngày sau khi tiết lộ. Mẫu này cho thấy một cách tiếp cận ngày càng có tổ chức và có hệ thống để nhắm mục tiêu vào các cài đặt WordPress trên internet.
Vai trò ngày càng tăng của AI trong các cuộc tấn công WordPress
Một diễn biến đặc biệt đáng báo động vào năm 2025 là sự gia tăng tính tinh vi của các cuộc tấn công được hỗ trợ bởi trí tuệ nhân tạo. Tin tặc đang triển khai các công cụ do AI điều khiển có thể:
- Quét hàng ngàn trang web trong vài giây để xác định các cài đặt WordPress dễ bị tấn công
- Tự động khai thác các lỗ hổng đã biết mà không cần sự can thiệp của con người
- Bỏ qua các biện pháp bảo mật truyền thống bằng các kỹ thuật thích ứng
- Tạo các chiến dịch lừa đảo có sức thuyết phục nhắm vào các quản trị viên WordPress
Cách tiếp cận hỗ trợ bởi AI này khiến các cuộc tấn công có khả năng mở rộng đáng kể và khó phòng thủ hơn khi sử dụng các biện pháp bảo mật thông thường. Chủ sở hữu trang web phải áp dụng các cơ chế bảo vệ tiên tiến tương đương để chống lại các mối đe dọa đang phát triển này.
Các lỗ hổng WordPress bị khai thác nhiều nhất trong quý 1 năm 2025
Quý đầu tiên của năm 2025 đã chứng kiến một số lỗ hổng nghiêm trọng bị khai thác tích cực trong tự nhiên. Hiểu được những mối đe dọa này là bước đầu tiên hướng tới biện pháp bảo vệ hiệu quả.
1. Plugin tự động WordPress – SQL Injection (CVE-2024-27956)
Lỗ hổng nghiêm trọng này ảnh hưởng đến một plugin phổ biến với hơn 40.000 lượt cài đặt và cho phép kẻ tấn công chưa xác thực thực hiện các truy vấn SQL tùy ý trên cơ sở dữ liệu. Lỗ hổng tồn tại trong tính năng xuất CSV thông qua tham số POST "auth".
Các nhà nghiên cứu bảo mật đã ghi nhận hơn 6.500 nỗ lực khai thác các phiên bản dễ bị tấn công của plugin này kể từ khi phát hiện ra lỗ hổng. Mối đe dọa này đặc biệt nghiêm trọng vì nó không yêu cầu xác thực, có khả năng cho phép kẻ tấn công truy cập vào thông tin cơ sở dữ liệu nhạy cảm bao gồm thông tin đăng nhập của người dùng và dữ liệu cá nhân.
2. Tiện ích bổ sung phần tử Startklar – Tải lên tệp tùy ý (CVE-2024-4345)
Lỗ hổng nghiêm trọng này ảnh hưởng đến plugin WordPress Startklar Elementor Addons, cho phép kẻ tấn công chưa xác thực tải các tệp tùy ý lên máy chủ web, cuối cùng dẫn đến xâm phạm toàn bộ trang web.
Lỗ hổng nằm trong hành động "startklar_drop_zone_upload_process" của plugin, không xác thực đúng các loại tệp đã tải lên. Sự giám sát này cho phép bất kỳ ai tải lên các tệp độc hại, có khả năng cho phép thực thi mã từ xa. Giám sát bảo mật đã phát hiện ra hàng nghìn nỗ lực khai thác nhắm vào các phiên bản dễ bị tấn công của plugin này.
3. Chủ đề Bricks – Thực thi mã từ xa (CVE-2024-25600)
Với khoảng 30.000 người dùng hoạt động, chủ đề Bricks chứa một lỗ hổng bảo mật nghiêm trọng cho phép người dùng chưa xác thực thực thi mã PHP tùy ý, có khả năng dẫn đến việc chiếm quyền điều khiển toàn bộ trang web.
Lỗ hổng được tìm thấy trong hàm "prepare_query_vars_from_settings", được gọi qua tuyến REST "bricks/v1/render_element". Không có kiểm tra khả năng thích hợp nào được triển khai và kiểm tra nonce của plugin có thể dễ dàng bị bỏ qua vì nonce có sẵn cho bất kỳ ai truy cập vào giao diện người dùng. Hàng trăm nỗ lực khai thác đã được ghi nhận kể từ khi lỗ hổng được tiết lộ.
4. Plugin GiveWP – Tiêm đối tượng PHP (CVE-2024-8353)
Lỗ hổng nghiêm trọng này ảnh hưởng đến một plugin quyên góp phổ biến với hơn 100.000 lượt cài đặt. Lỗ hổng này cho phép những kẻ tấn công chưa xác thực thực hiện các cuộc tấn công PHP Object Injection do việc hủy tuần tự hóa không đúng nhiều tham số trong quá trình quyên góp.
Các tham số có tiền tố "give_" hoặc "card_" dễ bị tấn công, cuối cùng có thể dẫn đến việc xâm phạm toàn bộ trang web. Hàng trăm nỗ lực khai thác đã được ghi nhận, làm nổi bật việc các tác nhân độc hại tích cực nhắm vào lỗ hổng này.
Các lỗ hổng nghiêm trọng mới nổi trong quý 1 năm 2025
Ngoài các lỗ hổng bị khai thác nhiều nhất, một số lỗ hổng nghiêm trọng mới được phát hiện đòi hỏi chủ sở hữu trang web WordPress phải chú ý ngay lập tức.
1. WP Ghost Plugin – Thực thi mã từ xa (CVE-2025-26909)
Một lỗ hổng đặc biệt nghiêm trọng mới được phát hiện gần đây trong plugin bảo mật WordPress phổ biến WP Ghost, ảnh hưởng đến hơn 200.000 trang web. Lỗ hổng, được theo dõi là CVE-2025-26909, bắt nguồn từ việc xác thực đầu vào không đủ trong Hiển thịFile()
chức năng.
Kẻ tấn công có thể khai thác lỗ hổng này bằng cách thao túng đường dẫn URL để bao gồm các tệp tùy ý, có khả năng dẫn đến thực thi mã từ xa. Với mức độ nghiêm trọng của CVSS là 9,6, lỗ hổng này là một trong những mối đe dọa nghiêm trọng nhất đối với bảo mật WordPress trong thời gian gần đây. Chủ sở hữu trang web sử dụng WP Ghost nên cập nhật ngay lên phiên bản 5.4.02 trở lên.
2. Các tiện ích bổ sung cần thiết cho Elementor – Reflected XSS (CVE-2025-24752)
Plugin Essential Addons for Elementor, với hơn 2 triệu lượt cài đặt, đã gặp phải lỗ hổng mã lệnh chéo trang phản ánh. Lỗ hổng xảy ra do xác thực và vệ sinh không đủ bộ chọn cửa sổ bật lên
đối số truy vấn, cho phép các giá trị độc hại được phản ánh trở lại người dùng.
Lỗ hổng này có khả năng được sử dụng để đánh cắp thông tin nhạy cảm hoặc thực hiện hành động thay mặt cho người dùng đã xác thực. Sự cố đã được khắc phục trong phiên bản 6.0.15 và tất cả người dùng nên cập nhật ngay lập tức.
3. Plugin Age Gate – Bao gồm tệp PHP cục bộ (CVE-2025-2505)
Plugin Age Gate dành cho WordPress, với hơn 40.000 lượt cài đặt, được phát hiện có lỗ hổng Local PHP File Inclusion ở tất cả các phiên bản lên đến 3.5.3 thông qua tham số 'lang'.
Lỗ hổng nghiêm trọng này cho phép kẻ tấn công chưa xác thực đưa vào và thực thi các tệp PHP tùy ý trên máy chủ, có khả năng dẫn đến thực thi mã trái phép, rò rỉ dữ liệu, leo thang đặc quyền và xâm phạm máy chủ hoàn toàn. Với điểm CVSS là 9,8, điều này thể hiện rủi ro cực lớn đối với các trang web bị ảnh hưởng.
4. Bộ lọc sản phẩm HUSKY – Bao gồm tệp cục bộ (CVE-2025-1661)
Plugin HUSKY – Products Filter Professional cho WooCommerce bị lỗ hổng nghiêm trọng Local File Inclusion trong tất cả các phiên bản lên đến 1.3.6.5. Lỗ hổng tồn tại thông qua bản mẫu
tham số của tìm kiếm văn bản woof
Hành động AJAX.
Lỗ hổng này cho phép kẻ tấn công chưa xác thực đưa vào và thực thi các tệp tùy ý trên máy chủ, có khả năng dẫn đến việc bỏ qua các biện pháp kiểm soát truy cập, trích xuất dữ liệu nhạy cảm và thậm chí thực thi mã từ xa trong một số điều kiện nhất định. Chủ sở hữu trang web nên cập nhật lên phiên bản 1.3.6.6 hoặc phiên bản mới hơn ngay lập tức.
Tại sao các biện pháp an ninh truyền thống không còn đủ nữa
Bối cảnh bảo mật WordPress đã thay đổi cơ bản vào năm 2025. Một số yếu tố đã khiến các phương pháp bảo mật truyền thống trở nên không còn hiệu quả:
Tốc độ khai thác
Những kẻ tấn công hiện đại bắt đầu khai thác lỗ hổng trong vòng vài giờ hoặc thậm chí vài phút sau khi phát hiện. Theo giám sát bảo mật, chỉ riêng quý trước đã chứng kiến hàng nghìn nỗ lực khai thác lỗ hổng mới được tiết lộ. Điều này khiến chủ sở hữu trang web có rất ít thời gian để triển khai các bản vá.
Sự thất bại của các giải pháp WAF chung
Các sự cố bảo mật gần đây đã phơi bày những hạn chế đáng kể trong tường lửa ứng dụng web chung. Trong quá trình khai thác lỗ hổng chủ đề Bricks, "tất cả các giải pháp WAF phổ biến được các công ty lưu trữ sử dụng đều không ngăn chặn được các cuộc tấn công Bricks".
Lỗi này xuất phát từ một hạn chế cơ bản: WAF chung được triển khai qua DNS/CDN thiếu khả năng hiển thị các thành phần ứng dụng WordPress, plugin đã cài đặt và trạng thái xác thực người dùng. Nếu không có trí thông minh dành riêng cho WordPress, các giải pháp bảo mật này không thể bảo vệ hiệu quả chống lại các cuộc tấn công WordPress có mục tiêu.
Sự tinh vi ngày càng tăng của các phương pháp tấn công
Ransomware và các cuộc tấn công có mục tiêu tiếp tục phát triển phức tạp hơn. Theo Báo cáo về Ransomware & Cyber Threat năm 2025 của GRIT, tội phạm mạng có động cơ tài chính vẫn kiên cường bất chấp sự gián đoạn của cơ quan thực thi pháp luật. Các vectơ truy cập ban đầu cho các cuộc tấn công này thường bao gồm đánh cắp thông tin xác thực và khai thác cả lỗ hổng mới và cũ—chính xác là những điểm yếu đang gây ảnh hưởng đến nhiều cài đặt WordPress.
Chiến lược bảo vệ WordPress toàn diện cho năm 2025
Để đối mặt với những mối đe dọa ngày càng phức tạp này đòi hỏi phải có phương pháp bảo mật nhiều lớp được thiết kế riêng cho môi trường WordPress.
1. Triển khai các giải pháp bảo mật dành riêng cho WordPress
Các công cụ bảo mật chung không còn đủ nữa. Chủ sở hữu trang web nên triển khai các giải pháp bảo mật được thiết kế riêng cho WordPress có thể:
- Giám sát các thành phần ứng dụng dành riêng cho WordPress
- Theo dõi các plugin đã cài đặt và các lỗ hổng đã biết của chúng
- Hiểu bối cảnh xác thực WordPress
- Triển khai các bản vá lỗi ảo để bảo vệ chống lại các khai thác đã biết trước khi có bản sửa lỗi chính thức
Phương pháp này cung cấp khả năng bảo vệ hiệu quả hơn đáng kể so với các công cụ bảo mật chung không có trí thông minh dành riêng cho WordPress.
2. Áp dụng công nghệ vá lỗi ảo
Các bản vá ảo vô hiệu hóa các khai thác đã biết bằng các quy tắc tường lửa được thiết kế chính xác, bảo vệ các trang web theo thời gian thực và ngăn chặn kẻ tấn công khai thác các lỗ hổng chưa được vá. Thay vì chờ đợi các bản sửa lỗi chính thức, chủ sở hữu trang web có thể được bảo vệ khỏi các mối đe dọa mới nổi.
Công nghệ này đã chứng minh được tính hiệu quả cao—ví dụ, các bản vá lỗi ảo đã chặn hơn 6.500 nỗ lực khai thác nhắm vào lỗ hổng Plugin tự động của WordPress, bảo vệ các trang web trước khi nhiều chủ sở hữu có thể triển khai bản cập nhật chính thức.
3. Duy trì Thực hành Cập nhật Nghiêm ngặt
Mặc dù bản vá ảo cung cấp khả năng bảo vệ quan trọng nhưng việc duy trì cập nhật thường xuyên vẫn là điều cần thiết:
- Bật tính năng tự động cập nhật cho lõi WordPress khi có thể
- Thực hiện quy trình đánh giá có hệ thống cho các bản cập nhật plugin
- Kiểm tra thường xuyên các plugin đã cài đặt và xóa các plugin không sử dụng
- Hãy cân nhắc sử dụng môi trường dàn dựng để kiểm tra các bản cập nhật trước khi triển khai
Cách tiếp cận có kỷ luật này giúp giảm thiểu tổng thể bề mặt tấn công và đảm bảo các lỗ hổng đã biết được xử lý kịp thời.
4. Triển khai Kiểm soát Xác thực Mạnh mẽ
Khi tình trạng đánh cắp thông tin đăng nhập vẫn là phương thức tấn công chính, việc xác thực mạnh là điều không thể thương lượng:
- Yêu cầu mật khẩu mạnh và duy nhất cho tất cả tài khoản người dùng
- Triển khai xác thực hai yếu tố cho quyền truy cập quản trị
- Hạn chế số lần đăng nhập để ngăn chặn các cuộc tấn công bằng vũ lực
- Kiểm tra thường xuyên tài khoản người dùng và xóa quyền truy cập không cần thiết
Các biện pháp này làm giảm đáng kể nguy cơ truy cập trái phép thông qua thông tin đăng nhập bị xâm phạm.
Phần kết luận
Quý đầu tiên của năm 2025 đã chứng minh rằng các mối đe dọa bảo mật WordPress tiếp tục phát triển về mức độ tinh vi và tác động. Các lỗ hổng được thảo luận trong báo cáo này đã ảnh hưởng đến hàng triệu trang web cùng nhau, làm nổi bật quy mô của thách thức bảo mật mà chủ sở hữu trang web WordPress phải đối mặt.
Một chiến lược bảo mật WordPress mạnh mẽ phải vượt ra ngoài các bản cập nhật thường xuyên—nó đòi hỏi phải giảm thiểu mối đe dọa theo thời gian thực để đi trước những kẻ tấn công. Mặc dù các bản vá chính thức là cần thiết, nhưng chúng thường xuất hiện sau khi các mối đe dọa đã bị khai thác. Bằng cách kết hợp các giải pháp bảo mật chủ động như WP-Firewall với các biện pháp thông minh như cập nhật thường xuyên, giám sát và giảm thiểu các plugin không cần thiết, chủ sở hữu trang web có thể xây dựng một hệ thống phòng thủ mạnh mẽ, kiên cường chống lại các mối đe dọa mạng đang phát triển vào năm 2025.
Khi chúng ta tiến tới năm 2025, việc cập nhật thông tin về các lỗ hổng mới nổi và điều chỉnh các chiến lược bảo mật phù hợp sẽ rất quan trọng để duy trì bảo mật cho trang web WordPress. Với cách tiếp cận đúng đắn, các trang web WordPress có thể vẫn an toàn bất chấp bối cảnh mối đe dọa ngày càng tinh vi.