Lỗi Kiểm Soát Truy Cập trong “Bật Thay Thế Media” (≤ 4.1.7) — Những gì Chủ Sở Hữu Trang WordPress Cần Làm Ngay Bây Giờ

Tác giả: Nhóm bảo mật WP-Firewall
Ngày: 2026-03-03
Thẻ: WordPress, Lỗ Hổng, WAF, Bảo Mật Plugin, Phản Ứng Sự Cố, Bật Thay Thế Media, CVE-2026-2732

Bản tóm tắt: Một lỗ hổng kiểm soát truy cập trong plugin Bật Thay Thế Media phổ biến (các phiên bản ≤ 4.1.7) cho phép người dùng đã xác thực với quyền hạn cấp Tác Giả hoặc cao hơn thực hiện thay thế tệp đính kèm tùy ý thông qua chức năng thay thế nền của plugin (CVE-2026-2732). Mặc dù xếp hạng CVSS là trung bình (5.4), tác động phụ thuộc vào cấu hình của trang web của bạn và các loại tệp được phục vụ từ thư viện media. Thông báo này giải thích rủi ro, cách khai thác có thể trông như thế nào, các bước phát hiện và giảm thiểu, sửa chữa cấp độ nhà phát triển, và cách WP-Firewall có thể giúp bảo vệ các trang của bạn — bao gồm một tùy chọn bảo vệ miễn phí ngay lập tức.

Mục lục

• Bối cảnh & CVE
• Rủi ro chính xác là gì?
• Các kịch bản tác động thực tế
• Cách mà kẻ tấn công có thể khai thác vấn đề
• Phát hiện: Chỉ số của sự xâm phạm
• Giảm thiểu ngay lập tức cho các chủ sở hữu trang
• Tăng cường và kiểm soát phòng ngừa
• Hướng dẫn cho nhà phát triển / ví dụ sửa chữa
• Kiểm tra và xác minh
• Danh sách kiểm tra phản ứng sự cố nếu bạn bị ảnh hưởng
• Cách WP-Firewall có thể giúp (bao gồm kế hoạch miễn phí)
• Khuyến nghị cuối cùng và tài nguyên

Bối cảnh & CVE

Vào ngày 3 tháng 3 năm 2026, một lỗ hổng đã được công bố trong plugin Bật Thay Thế Media WordPress ảnh hưởng đến các phiên bản lên đến và bao gồm 4.1.7. Vấn đề là một lỗ hổng Kiểm Soát Truy Cập Bị Hỏng (CVE-2026-2732) trong chức năng thay thế nền của plugin. Nói ngắn gọn: một người dùng đã xác thực với quyền hạn Tác Giả (hoặc cao hơn) có thể sử dụng plugin để thay thế các tệp đính kèm mà họ không nên được phép thay thế.

Một bản vá đã được phát hành trong phiên bản 4.1.8 sửa chữa các kiểm tra ủy quyền. Nếu bạn chạy plugin này trên bất kỳ trang nào, khuyến nghị chú ý ngay lập tức.

Rủi ro chính xác là gì?

Kiểm Soát Truy Cập Bị Hỏng có nghĩa là plugin cho phép một hành động mà không xác minh xem người dùng yêu cầu có thực sự được ủy quyền để thực hiện hành động đó trên tài nguyên cụ thể đó (một tệp đính kèm, trong trường hợp này). Các khía cạnh quan trọng nhất là:

• Quyền hạn yêu cầu: Tác Giả đã xác thực (hoặc cao hơn).
• Hành động: thay thế tệp đính kèm tùy ý thông qua điểm cuối / chức năng thay thế nền.
• Các phiên bản bị ảnh hưởng: ≤ 4.1.7.
• Đã được vá trong: 4.1.8.
• CVE: CVE-2026-2732.

Bởi vì các tệp đính kèm được lưu trữ trong thư mục wp-uploads và thường được phục vụ công khai, việc thay thế một tệp đính kèm có thể dẫn đến:

• Sự thay đổi giao diện của các trang sử dụng những tệp đính kèm đó (ví dụ: logo, hình ảnh chính).
• Phân phối nội dung độc hại thông qua các tệp đã được thay thế (ví dụ: PDF đã thay thế hoặc các tệp tải xuống khác chứa mã độc).
• Thay thế SVG với các script nhúng (nếu cho phép tải lên SVG) dẫn đến XSS.
• Thiệt hại về uy tín và niềm tin cho các trang web cung cấp tài sản đã bị thay đổi.

Mức độ nghiêm trọng phụ thuộc nhiều vào các tệp được lưu trữ trong thư viện phương tiện và cấu hình của trang web của bạn để phục vụ tài sản.

Các kịch bản tác động thực tế

Dưới đây là những kịch bản thực tế để giúp bạn đánh giá mức độ rủi ro của mình:

1. Thay thế logo hoặc thương hiệu / sự thay đổi giao diện
   Một kẻ tấn công thay thế logo trang web của bạn bằng nội dung phản cảm hoặc bằng các liên kết đến các trang bên thứ ba. Người dùng sẽ thấy sự thay đổi ngay lập tức.
2. Tải xuống đã thay thế với mã độc
   Nếu trang web của bạn cung cấp các tệp tải xuống (PDF, ZIP, v.v.), một kẻ tấn công có thể thay thế một tệp hợp lệ bằng một tệp độc hại có thể lây nhiễm cho người tải xuống.
3. Lạm dụng SVG → XSS và đánh cắp phiên
   Nếu trang web của bạn cho phép tải lên SVG và những tệp này được phục vụ mà không qua xử lý, một SVG đã thay thế có thể bao gồm JavaScript thực thi trong ngữ cảnh của các trang của bạn, cho phép XSS.
4. Nhắm mục tiêu chuỗi cung ứng hoặc hạ nguồn
   Các hệ thống hoặc người dùng khác tải xuống phương tiện từ trang web của bạn (ví dụ: bản tin, trang đối tác) có thể nhận được các tệp độc hại, phát tán cuộc tấn công.
5. Kỹ thuật xã hội thông qua hình ảnh đã thay đổi
   Thay thế một tài sản phương tiện được sử dụng trong tiếp thị để chuyển hướng người dùng đến các trang lừa đảo hoặc các trang kỹ thuật xã hội.

Ngay cả khi kẻ tấn công chỉ là một Tác giả, một số cấu hình sử dụng tài khoản Tác giả cho nội dung đã xuất bản với quyền truy cập phương tiện — làm cho lỗ hổng trở nên có ý nghĩa trên nhiều trang web.

Cách mà kẻ tấn công có thể khai thác vấn đề

Việc khai thác thường theo các bước sau:

1. Kẻ tấn công có được hoặc đã có một tài khoản với quyền hạn cấp tác giả (ví dụ: thông qua một quy trình đăng ký yếu, tài khoản bị xâm phạm, hoặc bằng kỹ thuật xã hội).
2. Kẻ tấn công sử dụng giao diện người dùng hoặc các điểm cuối API của plugin để thay thế nền để gửi một tệp thay thế cho một tệp đính kèm mà tác giả không sở hữu.
3. Bởi vì plugin không thực thi quyền truy cập một cách chính xác, việc thay thế thành công và tệp đính kèm gốc bị thay thế trên đĩa.
4. Kẻ tấn công tải lên một tệp độc hại hoặc đã bị thay đổi; bất kỳ trang nào hoặc tải xuống nào tham chiếu đến tệp đính kèm giờ đây phục vụ tệp độc hại.

Các vectơ kỹ thuật bao gồm:

• Các điểm cuối AJAX hoặc REST API của quản trị viên được sử dụng bởi plugin (thiếu kiểm tra permission_callback hoặc khả năng thích hợp).
• Các quy trình nền chạy thay mặt cho người dùng nhưng không xác minh quyền sở hữu đối tượng.
• Thiếu hoặc kiểm tra nonce yếu mà lẽ ra sẽ xác thực tính xác thực của yêu cầu.

Phát hiện: Chỉ số của sự xâm phạm

Nếu bạn nghi ngờ lỗ hổng đã được sử dụng chống lại trang web của bạn, hãy tìm kiếm những dấu hiệu này:

• Những thay đổi bất ngờ trong hình thu nhỏ thư viện phương tiện, ngày tháng, hoặc kích thước tệp.
• Những sửa đổi gần đây đối với các tệp đính kèm bởi các tài khoản người dùng không nên có quyền.
• Các tệp SVG mới hoặc đã được sửa đổi hoặc các loại tệp thực thi khác trong các tệp tải lên.
• Khách truy cập báo cáo hành vi độc hại sau khi tải xuống tệp từ trang web của bạn.
• Nhật ký máy chủ web cho thấy các yêu cầu POST/PUT đến các điểm cuối plugin bởi các tài khoản tác giả.
• Các kết nối ra ngoài bất ngờ phát sinh sau khi tải một trang sử dụng tài sản đã được thay thế (có thể là XSS hoặc JS độc hại).
• Các email liên quan đến lạm dụng (ví dụ: nhà cung cấp dịch vụ lưu trữ, máy quét bên thứ ba) chỉ ra các tệp độc hại được phục vụ từ miền của bạn.

Công cụ để giúp phát hiện:

• Nhật ký hoạt động WordPress (nếu bạn sử dụng một plugin ghi nhật ký kiểm toán).
• Giám sát thay đổi tệp máy chủ (inotify, tripwire, hoặc ảnh chụp nhanh máy chủ tích hợp).
• Quét phần mềm độc hại WP-Firewall và kiểm tra tính toàn vẹn (xem bên dưới).
• Xem xét thư viện phương tiện thủ công được sắp xếp theo ngày sửa đổi cuối cùng.

Giảm thiểu ngay lập tức cho các chủ sở hữu trang

Thực hiện những điều này ngay bây giờ nếu bạn chạy Enable Media Replace:

1. Cập nhật plugin lên phiên bản 4.1.8 (hoặc mới hơn) ngay lập tức.
   Nhà cung cấp đã phát hành một bản sửa lỗi sửa chữa các kiểm tra ủy quyền. Đây là hành động hiệu quả nhất.
2. Nếu bạn không thể cập nhật ngay bây giờ:
   – Vô hiệu hóa hoặc gỡ bỏ plugin cho đến khi bạn có thể cập nhật.
   – Nếu không thể vô hiệu hóa plugin, hãy hạn chế ai có thể truy cập chức năng thay thế bằng cách tạm thời gỡ bỏ quyền Tác giả để tải lên/thay thế tệp:
      – Xem xét việc hạn chế quyền tải lên tệp chỉ cho tài khoản Biên tập viên+ hoặc Quản trị viên.
   – Ngoài ra, hạn chế các điểm cuối có vấn đề bằng quy tắc WAF (các ví dụ bên dưới).
3. Buộc xem xét thư viện phương tiện:
   – Kiểm tra các tệp đã được sửa đổi gần đây.
   – Khôi phục phương tiện nghi ngờ từ một bản sao lưu tốt đã biết hoặc tải lại tài sản gốc.
4. Thay đổi mật khẩu và mã thông báo phiên cho các tài khoản có thể bị xâm phạm (Tác giả, Biên tập viên, Quản trị viên).
5. Chặn hoặc vô hiệu hóa việc tải lên SVG cho đến khi bạn có thể làm sạch hoặc kiểm tra chúng (SVG thường bị lạm dụng).
6. Thêm các biện pháp bảo vệ WAF ngay lập tức hoặc các bản vá ảo:
   – Chặn các yêu cầu POST đến các điểm cuối AJAX cụ thể của plugin cho các tác giả.
   – Chặn hoặc thách thức các yêu cầu nghi ngờ bằng cách kiểm tra danh tiếng IP hoặc CAPTCHA.

Nếu bạn là nhà cung cấp dịch vụ lưu trữ hoặc quản lý nhiều trang web, hãy áp dụng những biện pháp này cho tất cả các trang web có cài đặt plugin.

Tăng cường và kiểm soát phòng ngừa

Các biện pháp khắc phục ngắn hạn là quan trọng, nhưng hãy áp dụng những kiểm soát này để có khả năng phục hồi lâu dài:

• Nguyên tắc đặc quyền tối thiểu
  – Kiểm tra vai trò và khả năng. Đảm bảo chỉ những người dùng đáng tin cậy mới có thể tải lên tệp. Xem xét việc sử dụng một plugin quản lý vai trò để gỡ bỏ tải_tệp từ Tác giả nếu không cần thiết.
• Hạn chế loại tệp
  – Không cho phép SVG hoặc làm sạch nó ở phía máy chủ.
  – Thực thi kiểm tra MIME/type và xác thực ở phía máy chủ, không chỉ ở phía khách.
• Bảo vệ thư mục tải lên
  – Ngăn chặn thực thi trong thư mục tải lên (đối với Apache: từ chối thực thi PHP với .htaccess; đối với Nginx: từ chối truy cập vào các tệp PHP trong thư mục tải lên).
  – Phục vụ tài sản tĩnh một cách an toàn.
• Sử dụng Tường lửa ứng dụng web (WAF)
  – Áp dụng các quy tắc vá lỗi ảo để chặn các mẫu khai thác cho các điểm cuối dễ bị tổn thương đã biết.
  – Giới hạn tỷ lệ API và các điểm cuối quản trị và yêu cầu xác thực mạnh cho các thao tác nhạy cảm.
• Ghi lại & giám sát
  – Giữ một nhật ký kiểm toán về các thay thế phương tiện (ai, khi nào, tệp nào).
  – Giám sát các thay đổi hệ thống tệp và thiết lập cảnh báo cho các sửa đổi không mong đợi.
• Cập nhật tự động & quản lý bản vá
  – Bật cập nhật tự động cho các plugin mà bạn tin tưởng và quan trọng cho bảo mật. Đối với các plugin của bên thứ ba, hãy thử nghiệm trước trong môi trường staging.
• Sao lưu
  – Duy trì các bản sao lưu gần đây, đã được kiểm tra của cả tệp và cơ sở dữ liệu; đảm bảo chiến lược sao lưu của bạn bao gồm nhiều bản sao và lưu trữ ngoài site.

Hướng dẫn cho nhà phát triển / ví dụ sửa chữa

Nếu bạn duy trì plugin hoặc muốn tăng cường bảo mật cho một trang web tạm thời, đây là các kiểm tra kỹ thuật chính cần có cho bất kỳ thao tác “thay thế phương tiện” nào.

1. Xác minh người dùng hiện tại có khả năng chỉnh sửa tệp đính kèm cụ thể hay không. Sử dụng hệ thống khả năng của WordPress và chỉnh sửa_bài_viết khả năng cho các bài viết đính kèm:

// Ví dụ: bên trong trình xử lý thay thế của bạn
  

2. Sử dụng nonces trên các biểu mẫu gửi và xác minh chúng ở phía máy chủ:

if ( ! isset( $_REQUEST['_wpnonce'] ) || ! wp_verify_nonce( $_REQUEST['_wpnonce'], 'enable_media_replace_action' ) ) {
  

3. Đối với các tuyến đường REST API, sử dụng permission_callback:

register_rest_route( 'emr/v1', '/replace', array(;
  

4. Đảm bảo kiểm tra quyền sở hữu khi thích hợp. Nếu mô hình dự kiến của plugin là “các tác giả chỉ có thể thay thế phương tiện của chính họ”, hãy thực thi điều đó một cách rõ ràng bằng cách so sánh tác giả đính kèm:

$attachment = get_post( $attachment_id );
  

5. Làm sạch và xác thực các tệp đã tải lên:
   • Kiểm tra loại MIME và phần mở rộng.
   • Làm sạch nội dung tệp (ví dụ: không cho phép các tập lệnh bên trong SVG hoặc làm sạch SVG bằng một thư viện).
   • Từ chối tải lên các tệp thực thi.
6. Ghi lại các hoạt động thay thế để có thể kiểm tra:

error_log( sprintf( 'emr_replace: user=%d đã thay thế attachment=%d từ IP=%s', get_current_user_id(), $attachment_id, $_SERVER['REMOTE_ADDR'] ) );
  

7. Tránh thực hiện các hành động đặc quyền trong các quy trình nền mà không kiểm tra lại quyền:
   Nếu bạn lên lịch một tác vụ nền, hãy lưu trữ ID người dùng và kiểm tra lại khả năng bên trong công việc nền (đừng giả định rằng công việc chạy với ngữ cảnh yêu cầu ban đầu).

Những kiểm tra này nên được kết hợp. Thiếu một kiểm tra (ví dụ: chỉ dựa vào kiểm tra phía trước) thường mở ra cơ hội cho lạm dụng.

Ví dụ về mẫu quy tắc WAF & ý tưởng vá ảo

Nếu bạn không thể ngay lập tức cập nhật plugin, hãy vá ảo bề mặt tấn công bằng cách sử dụng WAF. Ví dụ (hướng dẫn chung - điều chỉnh cho môi trường của bạn):

• Chặn hoặc yêu cầu quyền truy cập chỉ dành cho quản trị viên vào các điểm cuối cụ thể của plugin:
  – Chặn các yêu cầu POST đến /wp-admin/admin-ajax.php khi action=enable_media_replace_background_replace nếu người yêu cầu không phải là quản trị viên.
• Từ chối các yêu cầu thay thế từ người dùng không có khả năng thích hợp:
  – Nếu WAF có thể phân tích các tham số, chỉ cho phép hành động cho người dùng có cookie đặc quyền quản trị viên hoặc chặn tất cả các yêu cầu cấp tác giả đến hành động admin-ajax đó.
• Chặn các loại nội dung/tiêu đề nghi ngờ (ví dụ: tải lên nhiều phần với tên tệp nghi ngờ).
• Thách thức (CAPTCHA) hoặc giới hạn tỷ lệ các thao tác thay thế lặp lại từ một IP hoặc tài khoản duy nhất.

WP-Firewall cung cấp các quy tắc vá lỗi ảo và khả năng thêm các mẫu quy tắc tùy chỉnh để chặn các đường dẫn khai thác đã biết và các tải trọng POST nghi ngờ nhắm vào plugin.

Kiểm tra và xác minh

Sau khi vá lỗi hoặc áp dụng các biện pháp giảm thiểu, xác minh bằng cách:

1. Cập nhật plugin lên 4.1.8 (hoặc phiên bản mới hơn) và kiểm tra lại giao diện thay thế.
2. Trong môi trường staging, tạo một tài khoản Tác giả và cố gắng thay thế phương tiện của người dùng khác:
   – Mong đợi: thao tác bị từ chối (403 hoặc lỗi quyền).
3. Xem xét nhật ký cho bất kỳ thao tác thay thế nào đã xảy ra trong khoảng thời gian tiếp xúc.
4. Chạy quét phần mềm độc hại và kiểm tra tính toàn vẹn để đảm bảo không còn tệp nào đã được thay thế.
5. Nếu sử dụng WAF, kiểm tra rằng các điểm cuối bị chặn hoạt động như mong muốn và các quy trình làm việc của quản trị viên hợp pháp vẫn hoạt động.

Luôn kiểm tra trong môi trường staging trước, và ghi lại quy trình kiểm tra của bạn.

Danh sách kiểm tra phản ứng sự cố nếu bạn bị ảnh hưởng

Nếu bạn tìm thấy bằng chứng về việc khai thác, hãy làm theo trình tự này:

1. Ngay lập tức cập nhật plugin lên 4.1.8 và/hoặc vô hiệu hóa nó.
2. Cô lập sự vi phạm:
   – Khóa hoặc vô hiệu hóa các tài khoản người dùng bị ảnh hưởng.
   – Buộc đặt lại mật khẩu và vô hiệu hóa các phiên (wp_logout_user hoặc buộc vô hiệu hóa phiên).
3. Khôi phục các tệp đã thay thế từ một bản sao lưu đáng tin cậy.
4. Quét để tìm phần mềm độc hại hoặc cửa hậu bổ sung:
   – Kiểm tra uploads/ để tìm các tệp PHP hoặc tệp nghi ngờ.
   – Tìm kiếm chủ đề và plugin cho các sửa đổi không xác định.
5. Xoay vòng các khóa và bí mật (khóa API, thông tin xác thực S3, tích hợp bên thứ ba).
6. Xem xét tất cả các tài khoản người dùng và quyền hạn.
7. Nếu cần, khôi phục trang web từ bản sao lưu sạch và áp dụng lại các bản cập nhật mới nhất.
8. Thông báo cho các bên liên quan:
   – Các bên liên quan của trang web, đối tác hoặc người dùng (nếu tài sản có thể tải xuống bị xâm phạm).
   – Nhà cung cấp dịch vụ lưu trữ để được hỗ trợ thêm.
9. Tăng cường bảo mật cho trang web để ngăn chặn các sự cố tương tự (xem các phần trước).
10. Sau sự cố: thực hiện phân tích nguyên nhân gốc rễ và cập nhật các sách hướng dẫn phản ứng.

WP-Firewall có thể giúp gì

Tại WP-Firewall, chúng tôi thiết kế dịch vụ và tính năng của mình cho chính những loại vấn đề ở cấp độ plugin này:

• Tường lửa ứng dụng web được quản lý
  Chúng tôi cung cấp các quy tắc có thể được triển khai nhanh chóng để chặn các mẫu khai thác nhắm vào các điểm cuối plugin (vá ảo).
  Chặn thời gian thực các POST đáng ngờ đến các điểm cuối quản trị và các điểm cuối REST được sử dụng cho các hành động thay thế.
• Quét phần mềm độc hại và giám sát tính toàn vẹn tệp
  Quét tự động các tệp tải lên để phát hiện chữ ký phần mềm độc hại đã biết và các thay đổi tệp bất thường.
  Cảnh báo về tính toàn vẹn tệp khi các tệp phương tiện bị thay đổi một cách bất ngờ.
• Hướng dẫn thực thi vai trò và khả năng
  Hướng dẫn hỗ trợ của chúng tôi giúp bạn điều chỉnh cài đặt khả năng với nguyên tắc quyền tối thiểu.
• Hỗ trợ sự cố và khắc phục
  Đối với các gói trả phí, chúng tôi hỗ trợ quy trình khắc phục và có thể giúp dọn dẹp và khôi phục sau khi xác nhận bị xâm phạm.
• Cập nhật tự động & quản lý bản vá (chọn gói)
  Tùy chọn tự động cập nhật các plugin an toàn để nâng cấp, giảm thiểu thời gian tiếp xúc.

Bảo vệ trang web của bạn miễn phí với WP-Firewall Basic

Tiêu đề: Bắt đầu bảo vệ phương tiện và tài sản của bạn với WP-Firewall Basic

Bảo vệ các trang web khỏi các rủi ro ở cấp độ plugin bắt đầu với một tường lửa được quản lý và quét liên tục. WP-Firewall Basic (Miễn phí) cung cấp bảo vệ thiết yếu bao gồm tường lửa được quản lý, băng thông không giới hạn, quy tắc WAF, quét phần mềm độc hại và giảm thiểu các rủi ro OWASP Top 10 — một hàng phòng thủ thực tế đầu tiên cho các trang web WordPress. Nếu trang web của bạn sử dụng Enable Media Replace hoặc các plugin bên thứ ba khác, việc thêm lớp này có thể chặn nhiều nỗ lực khai thác trong khi bạn cập nhật và dọn dẹp. Đăng ký gói miễn phí và nhận bảo vệ ngay lập tức: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Nếu bạn cần bảo vệ nâng cao hơn, các gói Standard và Pro của chúng tôi thêm việc loại bỏ phần mềm độc hại tự động, danh sách đen/danh sách trắng, báo cáo hàng tháng, vá lỗi ảo và dịch vụ bảo mật được quản lý.)

Các khuyến nghị cuối cùng và thực tiễn tốt nhất

1. Cập nhật ngay: Nếu bạn chạy Enable Media Replace, hãy cập nhật lên 4.1.8 ngay lập tức.
2. Nguyên tắc quyền tối thiểu: Đánh giá lại ai thực sự cần quyền tải lên/thay thế.
3. Vô hiệu hóa tải lên SVG hoặc làm sạch chúng một cách nghiêm ngặt.
4. Áp dụng WAF và vá lỗi ảo trong khi bạn thử nghiệm và triển khai các bản cập nhật.
5. Duy trì chiến lược sao lưu không thay đổi với khả năng khôi phục nhanh chóng.
6. Theo dõi nhật ký và thay đổi thư viện phương tiện liên tục.
7. Thử nghiệm các bản cập nhật trong môi trường staging và tự động hóa các bản cập nhật bảo mật khi có thể.

Một lỗ hổng kiểm soát truy cập bị phá vỡ như thế này là một lời nhắc nhở rằng thường thì không chỉ là một lỗ hổng thực thi mã từ xa nghiêm trọng — các cấu hình sai lệch quyền vừa phải có thể dẫn đến những kết quả đáng kể tùy thuộc vào cách một trang web được sử dụng. Hành động nhanh chóng, thực tiễn ngay bây giờ sẽ giảm thiểu rủi ro đó.

Nếu bạn muốn được giúp đỡ trong việc thực hiện các biện pháp giảm thiểu, kiểm toán vai trò, thiết lập quy tắc WAF, hoặc thực hiện một cuộc quét dọn, đội ngũ WP-Firewall có thể hỗ trợ. Bắt đầu với bảo vệ cơ bản miễn phí của chúng tôi để chặn các nỗ lực khai thác phổ biến và quét trang web của bạn hôm nay: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Nếu bạn có câu hỏi về việc khắc phục kỹ thuật, cần giúp đỡ trong việc viết một permission_callback cho các tuyến REST của bạn, hoặc muốn hướng dẫn về việc kiểm toán vai trò người dùng, đội ngũ của chúng tôi sẵn sàng giúp đỡ — chúng tôi đã hỗ trợ hàng trăm chủ sở hữu trang web WordPress qua các sự cố tương tự và có thể cung cấp các bước thực tiễn, ưu tiên phù hợp với môi trường của bạn.