Củng cố WooCommerce Infinite Scroll chống lại Deserialization//Được xuất bản vào 2026-06-01//CVE-2025-11993

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

WooCommerce Infinite Scroll Vulnerability

Tên plugin WooCommerce Cuộn Vô Hạn
Loại lỗ hổng Lỗ hổng deserialization
Số CVE CVE-2025-11993
Tính cấp bách Cao
Ngày xuất bản CVE 2026-06-01
URL nguồn CVE-2025-11993

Khẩn cấp: CVE-2025-11993 — Tiêm đối tượng PHP trong WooCommerce Cuộn Vô Hạn (<= 1.8) — Những gì chủ sở hữu trang WordPress cần làm ngay bây giờ

Ngày: 2026-06-01
Tác giả: Nhóm bảo mật WP-Firewall
Thể loại: Bảo mật WordPress, WooCommerce, Lỗ hổng
Thẻ: CVE-2025-11993, giải tuần tự, tiêm đối tượng PHP, WooCommerce, WAF, phản ứng sự cố

Tóm tắt điều hành

Một lỗ hổng nghiêm trọng (CVE-2025-11993) đã được công bố trong plugin WooCommerce Cuộn Vô Hạn và Phân Trang Ajax (các phiên bản <= 1.8). Vấn đề là giải tuần tự dữ liệu không đáng tin cậy (Tiêm đối tượng PHP) có thể bị khai thác bởi một người dùng đã xác thực với quyền hạn Người đăng ký. Lỗ hổng này có điểm CVSS là 8.8 — mức độ nghiêm trọng cao — và có thể bị khai thác thực tế trong môi trường. Nếu bị khai thác, nó có thể dẫn đến việc xâm phạm trang web, thực thi mã từ xa, rò rỉ dữ liệu, leo thang quyền hạn và chiếm quyền quản trị hoàn toàn.

Nếu bạn chạy plugin này trên bất kỳ trang WordPress nào, hãy coi đây là một tình huống khẩn cấp. Bài viết này giải thích lỗ hổng là gì, cách mà kẻ tấn công lạm dụng nó, các bước phát hiện và giảm thiểu thực tế mà bạn có thể thực hiện ngay lập tức (bao gồm các quy tắc WAF mà bạn có thể triển khai), và hướng dẫn tăng cường lâu dài. Chúng tôi cũng giải thích cách sử dụng WP-Firewall để bảo vệ trang web của bạn trong khi bản vá chính thức chưa có sẵn.

Lỗ hổng là gì?

  • Định danh: CVE-2025-11993
  • Phần mềm bị ảnh hưởng: Plugin WooCommerce Cuộn Vô Hạn và Phân Trang Ajax — các phiên bản <= 1.8
  • Lớp dễ bị tổn thương: Giải tuần tự dữ liệu không đáng tin cậy / Tiêm đối tượng PHP
  • Quyền yêu cầu: Người đăng ký đã xác thực
  • CVSS (đã báo cáo): 8.8 (Cao)
  • Tình trạng tại thời điểm công bố: Không có bản vá chính thức nào có sẵn tại thời điểm viết bài

Nói ngắn gọn: plugin chấp nhận dữ liệu PHP đã tuần tự từ người dùng đã xác thực và chuyển nó đến một cuộc gọi unserialize() không an toàn (hoặc thực hiện giải tuần tự mà không xác thực dữ liệu). Điều này cho phép một kẻ tấn công có thể đăng nhập với tư cách là Người đăng ký tạo ra các đối tượng PHP đã tuần tự mà, khi được tái tạo, khiến thời gian chạy PHP gọi các phương thức ma thuật nguy hiểm (ví dụ __wakeup(), __destruct()) hoặc tận dụng các chuỗi gadget bên trong WordPress hoặc các plugin/theme khác để kích hoạt thực thi mã tùy ý hoặc leo thang quyền hạn.

Tại sao điều này lại nguy hiểm

Các lỗ hổng giải tuần tự đặc biệt nguy hiểm trong PHP vì các chuỗi đã tuần tự có thể khởi tạo các đối tượng của các lớp tùy ý. Nếu các lớp đó bao gồm các phương thức ma thuật thực hiện tương tác với tệp, cơ sở dữ liệu hoặc hệ thống, kẻ tấn công có thể tạo ra các đối tượng đã tuần tự kích hoạt hành vi không được ứng dụng dự kiến. Các hậu quả phổ biến bao gồm:

  • Thực thi mã từ xa (RCE) dẫn đến việc chiếm quyền hoàn toàn trang web
  • Tạo người dùng quản trị hoặc sửa đổi các tài khoản hiện có
  • Tải lên hoặc thực thi các shell web và backdoor
  • Đánh cắp dữ liệu (hồ sơ người dùng, đơn hàng, mã thanh toán)
  • Thay đổi giao diện trang web hoặc tham gia vào các chiến dịch khai thác hàng loạt
  • Di chuyển bên và duy trì trong môi trường lưu trữ

Điều làm cho CVE-2025-11993 thực tế là một tài khoản Người đăng ký đã xác thực là đủ. Nhiều trang WooCommerce cho phép đăng ký người dùng hoặc có tài khoản khách hàng, điều này có nghĩa là kẻ tấn công có thể đăng ký hàng loạt và cố gắng khai thác quy mô.

Cách mà kẻ tấn công thường khai thác loại lỗ hổng này

  1. Đăng ký nhiều tài khoản (nếu đăng ký mở) hoặc có được quyền truy cập Người đăng ký thông qua kỹ thuật xã hội / nhồi thông tin xác thực.
  2. Xác định điểm cuối dễ bị tổn thương (thường là một điểm cuối AJAX, tuyến REST, hoặc biểu mẫu cụ thể của plugin) chấp nhận dữ liệu đã tuần tự.
  3. Tạo các payload tuần tự chứa các mẫu khởi tạo đối tượng PHP (ví dụ: chuỗi O:…). Các payload nhắm vào các lớp tồn tại trong môi trường (lõi WordPress, các plugin khác hoặc chính plugin) với các phương thức ma thuật thực hiện các hành động nhạy cảm.
  4. Gửi các payload qua yêu cầu POST đến điểm cuối. Nếu unserialize() được gọi không được bảo vệ, PHP sẽ xây dựng lại đối tượng và gọi bất kỳ phương thức ma thuật nào.
  5. Đạt được kết quả độc hại (RCE, nâng cao quyền hạn, ghi tệp, v.v.).

Các chiến dịch quy mô lớn thường theo sau các kịch bản tự động cố gắng các chuỗi gadget phổ biến. Thực tế rằng các tài khoản Người đăng ký đủ điều kiện có nghĩa là ngay cả những người dùng có quyền hạn thấp cũng có thể bị vũ khí hóa.

Phát hiện ngay lập tức: những gì cần tìm

Nếu bạn nghi ngờ có các nỗ lực hoặc bị xâm phạm, hãy bắt đầu bằng cách kiểm tra:

  • Nhật ký máy chủ web cho các yêu cầu POST đến admin-ajax.php hoặc các điểm cuối cụ thể của plugin đến từ những người dùng đã đăng nhập với hành vi Người đăng ký.
  • Các yêu cầu chứa các mẫu payload tuần tự: khớp regex cho O:\d+: hoặc C: hoặc các chuỗi tuần tự dài bất ngờ trong thân POST.
  • Người dùng mới đáng ngờ (các tài khoản người đăng ký được tạo hàng loạt với email liên tiếp).
  • Hoạt động bất thường của người dùng bình thường: sự kiện đặt lại mật khẩu, mua hàng với siêu dữ liệu bất thường, thay đổi đột ngột trong siêu dữ liệu người dùng.
  • Sửa đổi tệp trong wp-content/uploads, wp-content/plugins và các tệp PHP lõi. Kiểm tra thời gian và các tệp không xác định (đặc biệt là các tệp .php).
  • Các tác vụ cron đã sửa đổi, các sự kiện đã lên lịch không xác định (các mục cron wp_options), hoặc các bổ sung vào mu-plugins.
  • Kết nối ra ngoài từ trang web (nếu hosting cho phép ghi nhật ký), đặc biệt là đến các miền/ip đáng ngờ.

Ví dụ quick-grep (trên shell có quyền truy cập vào nhật ký hoặc mã plugin):

# Tìm kiếm thư mục plugin cho các sử dụng không an toàn của unserialize

Các bước giảm thiểu ngay lập tức (thứ tự ưu tiên)

  1. Lấy một bản sao lưu / sao chép trang web ngay bây giờ (tệp + cơ sở dữ liệu). Nếu trang web bị xâm phạm, bạn sẽ cần một bản sao không thể thay đổi cho phân tích pháp y.
  2. Nếu bạn có thể làm điều đó một cách an toàn, hãy tạm thời vô hiệu hóa plugin dễ bị tổn thương. Đây là biện pháp giảm thiểu đáng tin cậy nhất.
    • Bảng điều khiển WP: Plugins → vô hiệu hóa WooCommerce Infinite Scroll
    • WP-CLI: 
      wp plugin deactivate sb-woocommerce-infinite-scroll
  3. Nếu bạn không thể vô hiệu hóa (do hạn chế của trang web), hãy hạn chế quyền truy cập:
    • Vô hiệu hóa đăng ký công khai nếu đã được bật.
    • Tạm thời hạn chế truy cập vào trang web chỉ cho người dùng đã đăng nhập theo vai trò (hoặc chỉ cho quản trị viên).
  4. Buộc xác thực lại và đặt lại thông tin đăng nhập quan trọng:
    • Đặt lại tất cả mật khẩu quản trị viên và tài khoản có quyền cao.
    • Buộc đặt lại mật khẩu cho người dùng có hoạt động đáng ngờ.
    • Thay đổi khóa API và thông tin đăng nhập dịch vụ bên thứ ba được sử dụng bởi trang web.
  5. Quét các chỉ số của sự xâm phạm (web shells, tệp đáng ngờ). Nếu tìm thấy, cách ly trang web, đưa nó ngoại tuyến và tiến hành dọn dẹp bằng một bản sao lưu sạch đã biết.
  6. Đặt một quy tắc WAF mục tiêu (xem phần bên dưới) để chặn các nỗ lực khai thác chống lại các điểm cuối dễ bị tổn thương.
  7. Theo dõi nhật ký chặt chẽ để phát hiện các mẫu lặp lại, đăng ký người dùng mới và thay đổi sự kiện đã lên lịch.

Các biện pháp giảm thiểu WAF được khuyến nghị (quy tắc và ví dụ)

Nếu bạn không thể ngay lập tức gỡ bỏ hoặc vá plugin, việc vá ảo bằng các quy tắc WAF có thể chặn các nỗ lực khai thác. Dưới đây là các ý tưởng quy tắc được đề xuất và các quy tắc kiểu ModSecurity ví dụ. Vui lòng điều chỉnh chúng cho môi trường của bạn và kiểm tra để phát hiện các dương tính giả.

Chiến lược cấp cao:

  • Chặn các thân POST chứa các mẫu đối tượng PHP đã tuần tự (O:\d+:").
  • Chặn hoặc thách thức các yêu cầu đến các tuyến đường AJAX hoặc REST cụ thể của plugin từ các người đăng ký đã xác thực nếu không cần thiết.
  • Yêu cầu nonce hợp lệ cho các hành động AJAX (nếu plugin không thực thi chúng).
  • Giới hạn tỷ lệ và thách thức các hành động từ các tài khoản mới.

Ví dụ quy tắc ModSecurity (khái niệm):

# Chặn các đối tượng PHP đã tuần tự trong thân POST (ngăn chặn các nỗ lực khai thác đơn giản)"

Ví dụ quy tắc cho lạm dụng admin-ajax của WordPress:

# Chặn các cuộc gọi admin-ajax đáng ngờ chứa các đối tượng đã tuần tự"

Ví dụ quy tắc để chặn một điểm cuối REST cụ thể của plugin (thay thế bằng tuyến đường thực tế nếu biết):

# Chặn truy cập vào điểm cuối của plugin chấp nhận dữ liệu đã tuần tự"

Ghi chú quan trọng về việc thực hiện:

  • Những quy tắc này mang tính phòng thủ và có thể gây ra các cảnh báo sai nếu dữ liệu hợp pháp bao gồm các chuỗi ‘O:…’ (hiếm). Kiểm tra cẩn thận trên môi trường staging.
  • Sử dụng giới hạn tỷ lệ và thách thức (CAPTCHA) cho các tài khoản nghi ngờ thay vì chặn hoàn toàn trong các tình huống cảnh báo sai có nguy cơ cao.
  • Nếu bạn đang sử dụng WAF được quản lý, hãy yêu cầu một bản vá ảo tùy chỉnh sử dụng các chỉ số này từ nhóm bảo mật của bạn.

Các phương pháp phòng thủ ngắn gọn bạn có thể thêm vào WordPress (triển khai nhanh)

Nếu bạn có thể thêm một plugin nhỏ hoặc mu-plugin để chặn các tải trọng POST nghi ngờ, hãy sử dụng cách tiếp cận này. Đây là một giải pháp tạm thời — không phải là một bản sửa lỗi.

<?php
// mu-plugins/stop-serialized-objects.php
add_action('init', function() {
    if ( $_SERVER['REQUEST_METHOD'] !== 'POST' ) return;
    $body = file_get_contents('php://input');
    if ( ! $body ) return;
    if ( preg_match('/O:\s*\d+\s*:|C:\s*\d+\s*:/i', $body) ) {
        // optional: log attempt for analysis
        error_log('Blocked suspicious serialized payload from ' . $_SERVER['REMOTE_ADDR']);
        wp_die('Suspicious request blocked', 'Blocked', array('response' => 403));
    }
}, 1);

Ghi chú:

  • Đặt tệp vào wp-content/mu-plugins/ để nó được tải trước khi các plugin chạy.
  • Điều này chặn bất kỳ POST nào chứa các chuỗi đối tượng tuần tự điển hình — giảm khả năng khai thác nhưng có thể gây cản trở với các tích hợp hợp pháp gửi PHP tuần tự (hiếm).
  • Xóa hoặc tinh chỉnh khi bản vá chính thức được áp dụng.

Dành cho các nhà phát triển plugin: cách sửa lỗi loại bug này

  1. KHÔNG BAO GIỜ gọi unserialize() trên dữ liệu không đáng tin cậy. Nếu bạn phải giải tuần tự, hãy ưu tiên JSON: 
    // Sử dụng json_decode() cho dữ liệu có cấu trúc từ khách hàng
  2. Nếu bạn phải sử dụng hủy tuần tự hóa(), sử dụng tùy chọn allowed_classes (PHP 7+): 
    $data = @unserialize($raw, ['allowed_classes' => false]); // không cho phép đối tượng hoàn toàn
  3. Xác thực và làm sạch tất cả đầu vào trước khi giải tuần tự. Xác thực loại, phạm vi giá trị, khóa mong đợi.
  4. Thực thi kiểm tra khả năng và nonce trên các điểm cuối AJAX và REST: 
    check_ajax_referer('your_action_nonce', 'security');
  5. Tránh sử dụng dữ liệu tuần tự do người dùng cung cấp cho các thao tác có trạng thái; duy trì trạng thái phía máy chủ bằng cách sử dụng tùy chọn, tạm thời hoặc usermeta thay vào đó.
  6. Viết các bài kiểm tra đơn vị cố gắng giải tuần tự các tải trọng độc hại để đảm bảo hành vi an toàn.

Danh sách kiểm tra phát hiện và phục hồi (từng bước một)

Nếu bạn nghi ngờ có sự xâm nhập:

  1. Chụp ảnh và cách ly:
    • Ngay lập tức sao lưu toàn bộ tệp và cơ sở dữ liệu và lưu trữ nó ngoài máy chủ.
    • Đưa trang web vào chế độ bảo trì/offline nếu có thể.
  2. Xác định phạm vi:
    • Kiểm tra nhật ký máy chủ web và nhật ký WordPress để tìm các yêu cầu đáng ngờ (tải trọng tuần tự).
    • Liệt kê các tệp đã được sửa đổi gần đây: 
      find . -type f -mtime -30 -print
    • Tìm kiếm các người dùng quản trị mới được thêm vào hoặc các nâng cấp vai trò.
  3. Bao gồm:
    • Vô hiệu hóa plugin dễ bị tổn thương.
    • Nếu cần thiết, tạm thời vô hiệu hóa đăng ký công khai và xóa các người đăng ký đáng ngờ.
    • Thay đổi tất cả thông tin đăng nhập cho quản trị/FTP/lưu trữ/DB.
  4. Lau dọn:
    • Xóa các tệp PHP không xác định (chỉ sau khi xác minh).
    • Thay thế các tệp WordPress cốt lõi từ một nguồn sạch, chính thức.
    • Cài đặt lại các plugin và chủ đề từ các nguồn đáng tin cậy.
    • Nếu có các cửa hậu tồn tại, hãy xem xét khôi phục về một bản sao lưu sạch.
  5. Reassess: Đánh giá lại:
    • Quét lại bằng một công cụ phát hiện phần mềm độc hại đáng tin cậy.
    • Thực hiện kiểm tra tính toàn vẹn của tệp và so sánh với một bản sao tốt đã biết.
  6. Sau sự cố:
    • Kiểm toán và xoay vòng bất kỳ khóa/bí mật bên ngoài nào được sử dụng bởi trang web.
    • Xem xét nhật ký lưu trữ để tìm các nỗ lực chuyển tiếp của kẻ tấn công.
    • Thực hiện đánh giá bảo mật và chiến lược quản lý bản vá.

Danh sách kiểm tra tăng cường (phòng ngừa lâu dài)

  • Thực thi nguyên tắc quyền hạn tối thiểu cho các tài khoản người dùng. Tránh cấp quyền truy cập quản trị cho khách hàng.
  • Sử dụng mật khẩu mạnh, độc nhất và thực thi chính sách mật khẩu mạnh.
  • Kích hoạt xác thực hai yếu tố cho các quản trị viên.
  • Giữ cho cốt lõi WordPress, các chủ đề và plugin được cập nhật. Theo dõi các thông báo từ nhà cung cấp về bất kỳ lỗ hổng nào.
  • Giới hạn việc sử dụng plugin cho các tiện ích mở rộng được bảo trì tốt, được hỗ trợ tích cực. Xóa các plugin/chủ đề không sử dụng.
  • Bật các biện pháp bảo vệ ghi tệp khi có thể (ví dụ: bảo mật wp-config.php, không cho phép định nghĩa('DISALLOW_FILE_EDIT', đúng);).
  • Sử dụng WAF với khả năng vá ảo và duy trì các quy tắc tùy chỉnh cho các điểm cuối có rủi ro cao.
  • Giám sát nhật ký để phát hiện bất thường và thiết lập cảnh báo cho các hoạt động đáng ngờ.
  • Thường xuyên sao lưu và kiểm tra quy trình khôi phục.

Ví dụ: xác nhận lỗ hổng plugin trên trang của bạn

Sử dụng WP-CLI để xem các phiên bản plugin đã cài đặt:

# Liệt kê plugin và phiên bản

Nếu phiên bản trả về là 1.8 hoặc thấp hơn, coi đó là có lỗ hổng cho đến khi nhà cung cấp phát hành phiên bản đã vá.

Tìm kiếm mã plugin để sử dụng unserialize:

grep -RIn "unserialize" wp-content/plugins/sb-woocommerce-infinite-scroll || true

Nếu bạn tìm thấy unserialize() mà không có xác thực hoặc bảo vệ allowed_classes — đó là bằng chứng mạnh mẽ về lỗ hổng.

Phải làm gì nếu bạn phụ thuộc vào nhà cung cấp dịch vụ lưu trữ hoặc đại lý

  • Thông báo cho nhà cung cấp của bạn ngay lập tức và yêu cầu họ chặn lưu lượng khai thác đến trang của bạn.
  • Yêu cầu họ áp dụng một bản vá ảo hoặc quy tắc WAF tùy chỉnh để chặn các nỗ lực khai thác cho điểm cuối bị ảnh hưởng.
  • Làm việc với nhà phát triển của bạn để gỡ bỏ hoặc vô hiệu hóa plugin cho đến khi một bản vá an toàn được phát hành.
  • Nếu bạn lưu trữ nhiều trang trên cùng một tài khoản, coi tất cả chúng là có thể bị ảnh hưởng cho đến khi điều tra hoàn tất.

Thời gian phản ứng sự cố (được khuyến nghị)

  • Giờ 0: Sao lưu trang, vô hiệu hóa plugin, hạn chế đăng ký, thay đổi mật khẩu cho quản trị viên.
  • Giờ 1–6: Đặt bản vá ảo WAF vào vị trí (chặn các mẫu đối tượng đã tuần tự), hoặc triển khai đoạn mã MU-plugin để chặn các yêu cầu.
  • Ngày 1: Chạy quét phần mềm độc hại toàn diện, tìm kiếm các chỉ số và bắt đầu danh sách kiểm tra pháp y.
  • Ngày 1–3: Quét để tìm sự tồn tại (các sự kiện đã lên lịch không xác định, mu-plugins, các tệp lõi đã sửa đổi).
  • Ngày 3–7: Dọn dẹp hoặc khôi phục từ bản sao lưu sạch; kích hoạt lại các dịch vụ với giám sát.
  • Tuần 1+: Tăng cường bảo mật trang theo danh sách kiểm tra và theo dõi nhật ký cho các nỗ lực thử lại.

Tại sao bạn không nên chỉ dựa vào sự sẵn có của bản vá

Ngay cả sau khi nhà cung cấp phát hành bản vá, các trang có thể vẫn dễ bị tổn thương trong thời gian dài do cập nhật bị trì hoãn, quy trình cập nhật staging/sản xuất, hoặc thông tin liên lạc bị bỏ lỡ. Bảo vệ ảo (WAF), tăng cường bảo mật và giám sát cung cấp sự phòng thủ sâu. Một chuỗi khai thác có thể liên quan đến nhiều plugin — vì vậy một bản vá đơn lẻ không loại bỏ nhu cầu giám sát liên tục và bảo vệ WAF.

WP-Firewall giúp gì trong khi bạn chờ bản vá từ nhà cung cấp

Chúng tôi đã xây dựng WP-Firewall như một lớp phòng thủ cho các trang WordPress. Nền tảng của chúng tôi cung cấp:

  • WAF được quản lý với khả năng triển khai các bản vá ảo nhắm mục tiêu cho các lỗ hổng mới như CVE-2025-11993.
  • Bộ quy tắc để phát hiện và chặn các payload đối tượng tuần tự và chữ ký khai thác cụ thể của plugin.
  • Quét tính toàn vẹn tệp và kiểm tra phần mềm độc hại theo lịch trình.
  • Cảnh báo sự cố tích hợp với email và Slack.
  • Các bước khắc phục hướng dẫn cho các nhà phát triển và chủ sở hữu trang.

Nếu bạn không thể ngay lập tức vá hoặc gỡ bỏ plugin, việc đặt một WAF được quản lý trước trang của bạn sẽ giảm đáng kể khả năng khai thác thành công trong khi bạn thực hiện dọn dẹp và chờ đợi một bản sửa lỗi plugin chính thức.

Mới: Bảo vệ trang của bạn miễn phí — đăng ký gói WP-Firewall Basic

Tiêu đề: Bảo mật trang của bạn hôm nay với sự bảo vệ thiết yếu, luôn hoạt động

Chúng tôi hiểu rằng sự khẩn cấp là quan trọng. Gói Basic (Miễn phí) của chúng tôi cung cấp sự bảo vệ thiết yếu để bạn có thể giảm rủi ro ngay lập tức trong khi bạn làm việc trên việc vá và dọn dẹp. Gói Miễn phí bao gồm:

  • Tường lửa được quản lý và quy tắc WAF có thể được cập nhật theo thời gian thực
  • Bảo vệ băng thông không giới hạn
  • Quét phần mềm độc hại để phát hiện các tệp đáng ngờ
  • Giảm thiểu 10 rủi ro hàng đầu của OWASP

Nếu bạn thích tự động hóa nhiều hơn, các gói trả phí của chúng tôi thêm việc gỡ bỏ phần mềm độc hại tự động, danh sách đen/trắng IP, báo cáo bảo mật hàng tháng và vá lỗ hổng ảo tự động. Bắt đầu với gói Basic miễn phí và nâng cấp khi bạn sẵn sàng: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Các khuyến nghị cuối cùng (danh sách kiểm tra nhanh)

  • Nếu bạn chạy WooCommerce Infinite Scroll <= 1.8: chấp nhận rủi ro và hành động ngay.
  • Vô hiệu hóa plugin nếu có thể.
  • Nếu bạn không thể vô hiệu hóa: thêm mu-plugin stop-serialized-objects hoặc đặt một quy tắc WAF để chặn các payload đối tượng tuần tự.
  • Buộc thay đổi mật khẩu cho các tài khoản đặc quyền và xem xét tất cả các tài khoản người dùng để phát hiện hoạt động đáng ngờ.
  • Sao lưu trang web của bạn ngay lập tức và bắt đầu kiểm tra pháp y.
  • Đăng ký dịch vụ WAF hoặc bảo mật được quản lý (gói miễn phí cơ bản của chúng tôi bảo vệ các trang trong khi bạn vá lỗi).

Tài liệu tham khảo và đọc thêm

  • Danh sách CVE chính thức: CVE-2025-11993
  • Tài liệu phát triển WordPress: bảo mật AJAX, nonces, người dùng và khả năng
  • Tài liệu PHP: tùy chọn unserialize() (allowed_classes, loại bỏ hành vi không an toàn)
  • OWASP: Hướng dẫn tấn công Deserialization và Injection

Nếu bạn cần trợ giúp ngay bây giờ, đội ngũ hỗ trợ WP-Firewall của chúng tôi sẵn sàng hỗ trợ với việc vá lỗi ảo, hướng dẫn phản ứng sự cố và dọn dẹp được quản lý. Chúng tôi có thể triển khai các quy tắc tạm thời được điều chỉnh cho trang web của bạn và cung cấp hỗ trợ khắc phục từng bước để bạn có thể giảm thiểu rủi ro trong vài phút, không phải vài ngày.

wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Liên hệ với chúng tôi

Tường lửa WP
Tầng 6, The Rays, 71 Đường Hung To, Kwun Tong, Cửu Long, Hồng Kông

Đặc trưng Giá cả Blog Đăng nhập
Chính sách bảo mật Điều khoản dịch vụ Tài liệu Liên kết

© 2026 WP-Firewall™