Thông báo về mối đe dọa thực thi mã từ xa JetEngine//Xuất bản vào 2026-02-28//CVE-2026-28134

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

JetEngine CVE-2026-28134 Vulnerability

Tên plugin JetEngine
Loại lỗ hổng Thực thi mã từ xa
Số CVE CVE-2026-28134
Tính cấp bách Cao
Ngày xuất bản CVE 2026-02-28
URL nguồn CVE-2026-28134

Khẩn cấp: CVE-2026-28134 — Thực thi mã từ xa trong JetEngine (<= 3.7.2) — Những gì chủ sở hữu trang WordPress cần làm ngay bây giờ

Một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến các phiên bản JetEngine lên đến và bao gồm 3.7.2 đã được công bố công khai vào ngày 26 tháng 2 năm 2026 (CVE‑2026‑28134). Lỗi này cho phép người dùng đã xác thực với quyền hạn cấp Contributor tiêm đầu vào có thể dẫn đến thực thi mã tùy ý trên trang web. Lỗ hổng này có điểm số 8.5 trên CVSS và đã được phân loại là rủi ro nghiêm trọng đối với các trang WordPress sử dụng các phiên bản plugin bị ảnh hưởng.

Nếu bạn chạy JetEngine trên bất kỳ trang công khai nào, vui lòng đọc thông báo này ngay lập tức và làm theo hướng dẫn bên dưới. Chúng tôi đã viết điều này như một hướng dẫn thực tế, chuyên gia — không phải một bài viết học thuật — để bạn có thể thực hiện các hành động cụ thể nhằm bảo vệ doanh nghiệp, khách hàng và cơ sở hạ tầng của bạn.

Ghi chú: WP‑Firewall là tác giả của thông báo này. Chúng tôi cung cấp dịch vụ tường lửa quản lý, WAF, quét và giảm thiểu phần mềm độc hại — bao gồm một kế hoạch miễn phí bao phủ bảo vệ thiết yếu. Chi tiết bên dưới.

Tóm tắt điều hành (dành cho các chủ sở hữu trang cần hành động ngay lập tức)

  • Plugin bị ảnh hưởng: JetEngine (plugin thường được sử dụng cho các loại bài đăng tùy chỉnh, danh sách, biểu mẫu và nội dung động).
  • Các phiên bản dễ bị tổn thương: <= 3.7.2
  • Phiên bản đã vá: 3.8.1.2 (nâng cấp ngay lập tức)
  • CVE: CVE‑2026‑28134
  • Mức độ nghiêm trọng: Cao — CVSS 8.5 — Thực thi mã từ xa (RCE)
  • Quyền hạn yêu cầu: Contributor (người dùng đã xác thực với quyền hạn thấp)
  • Hành động ngay lập tức:
    1. Nếu có thể, hãy cập nhật JetEngine ngay lập tức lên 3.8.1.2 hoặc phiên bản mới hơn.
    2. Nếu bạn không thể cập nhật ngay lập tức, hãy vô hiệu hóa plugin và chặn quyền truy cập qua WAF của bạn.
    3. Kiểm tra tài khoản người dùng (xóa hoặc xem xét người dùng Contributor) và thay đổi thông tin xác thực.
    4. Quét để phát hiện sự xâm phạm và tìm kiếm các chỉ số được liệt kê bên dưới.
    5. Nếu bạn phát hiện sự xâm phạm, hãy làm theo hướng dẫn phản ứng sự cố bên dưới.

Tại sao điều này lại nguy hiểm như vậy

Các lỗ hổng RCE cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ web của bạn. Ngay cả khi quyền truy cập ban đầu yêu cầu một tài khoản đã xác thực với quyền hạn thấp, rủi ro là đáng kể vì nhiều lý do:

  • Nhiều trang WordPress chấp nhận đăng ký hoặc cho phép hoạt động cấp contributor (tác giả blog, người đóng góp cộng đồng, người thử nghiệm). Một kẻ tấn công có thể tạo ra hoặc chiếm đoạt một tài khoản như vậy và sau đó khai thác lỗi.
  • Khi thực thi mã được thực hiện, kẻ tấn công có thể cài đặt một cửa hậu, tạo tài khoản quản trị, sửa đổi mẫu để duy trì, đánh cắp dữ liệu, chuyển sang các trang khác trên máy chủ, hoặc sử dụng máy chủ của bạn cho việc khai thác tiền điện tử và spam.
  • Công cụ khai thác tự động có thể tăng tốc độ xâm nhập một cách đáng kể — một lỗ hổng có mức độ nghiêm trọng này thường bị quét và khai thác rộng rãi trong vòng vài ngày.

Nói một cách đơn giản: coi đây là vấn đề nghiêm trọng và khắc phục ngay lập tức.

Những gì chúng tôi biết về lỗ hổng (mức độ cao)

Báo cáo công khai cho thấy:

  • Lỗ hổng là một vấn đề thực thi mã từ xa (RCE), được phân loại dưới dạng tiêm/xử lý đầu vào không an toàn (OWASP A3 / lớp tiêm).
  • Nó ảnh hưởng đến các phiên bản JetEngine <= 3.7.2 và đã được vá trong 3.8.1.2.
  • Nó chỉ yêu cầu quyền truy cập cấp Contributor để khai thác — một tiêu chuẩn tương đối thấp trên nhiều trang web chấp nhận nội dung của người dùng.

Các chi tiết kỹ thuật có thể cho phép vũ khí hóa khai thác đã được công bố một cách có trách nhiệm cho nhà phát triển trước khi phát hành công khai. Khi đã công khai, các kẻ tấn công thường nhanh chóng điều chỉnh mã khai thác hoạt động. Hướng đi an toàn nhất là vá và/hoặc chặn ngay các vectơ khai thác.

Các bước giảm thiểu ưu tiên ngay lập tức (cần làm gì ngay bây giờ)

Thực hiện các bước này theo thứ tự — chúng được sắp xếp theo tác động và tốc độ.

  1. Cập nhật JetEngine lên 3.8.1.2 (được khuyến nghị, sửa lỗi nhanh nhất)
    • Đăng nhập vào quản trị WordPress của bạn.
    • Đi tới Plugins → Installed Plugins → cập nhật JetEngine lên phiên bản mới nhất.
    • Nếu bạn chạy một multisite hoặc có nhiều trang, hãy lên lịch cập nhật hàng loạt ngay bây giờ.
  2. Nếu bạn không thể cập nhật ngay lập tức, hãy vô hiệu hóa plugin
    • Vô hiệu hóa sẽ loại bỏ bề mặt tấn công ngay lập tức. Bạn có thể khôi phục chức năng sau khi vá và xác minh tính toàn vẹn.
  3. Áp dụng vá ảo thông qua WAF của bạn.
    • Nếu bạn sử dụng WP‑Firewall hoặc một WAF khác, hãy kích hoạt quy tắc giảm thiểu đã công bố cho lỗ hổng này hoặc tạo các quy tắc tạm thời để chặn các tải trọng khai thác (các ví dụ bên dưới).
    • Vá ảo là một biện pháp tạm thời trong khi bạn nâng cấp.
  4. Giảm quyền trên các tài khoản trang web
    • Kiểm tra tất cả người dùng có quyền Contributor hoặc cao hơn.
    • Xóa hoặc tạm thời hạ cấp các tài khoản mà bạn không nhận ra hoặc không cần thiết.
    • Buộc đặt lại mật khẩu cho các tài khoản có quyền nâng cao.
  5. Khóa khu vực quản trị
    • Thực thi mật khẩu mạnh, kích hoạt xác thực hai yếu tố cho biên tập viên và cấp cao hơn.
    • Hạn chế truy cập vào /wp-admin và /wp-login.php theo IP khi có thể.
    • Nếu nhóm của bạn sử dụng mạng chia sẻ, hãy sử dụng VPN hoặc các biện pháp kiểm soát giống như VPN cho các tác vụ quản trị.
  6. Vô hiệu hóa chỉnh sửa tệp và thiết lập quyền tệp an toàn
    • Thêm vào định nghĩa('DISALLOW_FILE_EDIT', đúng); cho wp-config.php để ngăn chặn chỉnh sửa giao diện/plugin qua giao diện quản trị.
    • Đảm bảo quyền tệp hạn chế (thông thường 644 cho tệp, 755 cho thư mục; người dùng máy chủ web không nên sở hữu các tệp cốt lõi trừ khi cần thiết).
  7. Sao lưu trước khi bạn thay đổi bất kỳ điều gì khác
    • Tạo một bản sao lưu đầy đủ (tệp + cơ sở dữ liệu) ngay bây giờ và lưu trữ nó ngoài máy chủ. Nếu bạn tìm thấy bằng chứng về sự xâm phạm, bản sao lưu này có thể hữu ích cho điều tra và phục hồi.
  8. Quét tìm phần mềm độc hại và các chỉ số xâm phạm (chi tiết bên dưới)

Chỉ số của sự xâm phạm (IoCs) — những gì cần tìm kiếm

Sau một RCE, kẻ xâm nhập thường để lại các dấu vết. Tìm kiếm các điều sau:

  • Người dùng quản trị mới hoặc nghi ngờ:
    • Các mục wp_users với email nghi ngờ, tên hiển thị kỳ lạ, hoặc tài khoản được tạo gần đây.
    • Sử dụng WP-CLI để liệt kê người dùng nhanh chóng: 
      danh sách người dùng wp --role=administrator --fields=ID,user_login,user_email,user_registered
  • Các tệp PHP không mong đợi trong thư mục tải lên hoặc thư mục giao diện/plugin:
    • Kiểm tra thư mục tải lên cho các tệp .php: 
      tìm wp-content/uploads -type f -name "*.php"
    • Tìm kiếm các mẫu webshell phổ biến: 
      grep -R --line-number -E "base64_decode|gzuncompress|eval\(|preg_replace\(.*/e" wp-content
  • Tệp lõi, chủ đề hoặc plugin đã chỉnh sửa:
    • So sánh các tệp với một bản sao tốt đã biết, hoặc sử dụng các plugin WordPress Site Health / file integrity để liệt kê các tệp đã thay đổi.
    • Với WP-CLI: 
      wp core xác minh-kiểm tra tổng
  • Các tác vụ đã lên lịch hoặc cron đáng ngờ:
    • Xem xét wp_options cho các mục cron và sử dụng: 
      danh sách sự kiện wp cron
  • Kết nối mạng ra ngoài bất thường từ máy chủ web hoặc sử dụng CPU bất thường
    • Kiểm tra danh sách quy trình máy chủ, kết nối mạng và các kết nối ra ngoài đến các IP độc hại đã biết.
  • Các mục cơ sở dữ liệu lạ hoặc nội dung không mong đợi trong bài viết/trang
    • Kẻ tấn công thường chèn nội dung spam hoặc liên kết làm giảm SEO.
  • Các tệp không xác định trong thư mục gốc web hoặc các quy tắc .htaccess đã được sửa đổi
    • Tìm kiếm các quy tắc chuyển hướng, tệp sitemap giả mạo hoặc chuỗi base64.

Nếu bạn tìm thấy bất kỳ điều gì ở trên, hãy coi trang web như có thể bị xâm phạm và làm theo các bước phản ứng sự cố bên dưới.

Các bước phát hiện và pháp y (nếu bạn nghi ngờ bị xâm phạm)

Nếu bạn phát hiện hoạt động đáng ngờ, hãy bảo tồn chứng cứ và làm theo quy trình nhận thức pháp y:

  1. Chụp lại trạng thái máy chủ hiện tại (tệp, cơ sở dữ liệu, nhật ký) và lưu trữ bản sao ngoại tuyến.
  2. Bật ghi nhật ký chi tiết (máy chủ web, PHP, cơ sở dữ liệu) và giữ nhật ký để phân tích.
  3. Xác định vector truy cập ban đầu và phạm vi thay đổi (các tệp hoặc hàng DB nào đã được sửa đổi).
  4. Nếu một kẻ tấn công đã thêm một backdoor vĩnh viễn, hãy xóa nó và thay thế các tệp bị nhiễm bằng các bản sao sạch từ kho gói hoặc sao lưu.
  5. Thay đổi tất cả thông tin xác thực: người dùng WP, mật khẩu cơ sở dữ liệu, FTP/SFTP, bảng điều khiển hosting, khóa API.
  6. Kiểm tra chuyển động bên — các trang khác trên cùng một máy chủ hoặc thông tin xác thực chia sẻ có thể bị xâm phạm.
  7. Nếu bạn có nhà cung cấp bảo mật hoặc dịch vụ quản lý, hãy liên hệ với họ để thực hiện dọn dẹp hoàn toàn và phân tích nguyên nhân gốc rễ.

Quan trọng: Nếu bạn không có kinh nghiệm với phản ứng sự cố hoặc có một trang web có giá trị cao (thương mại điện tử, thành viên, lưu lượng truy cập lớn), hãy thuê một đội ngũ bảo mật chuyên nghiệp. Dọn dẹp không đúng cách có thể để lại các backdoor vĩnh viễn.

Các quy tắc WAF / vá ảo được khuyến nghị (ví dụ)

Dưới đây là các ví dụ và mẫu quy tắc chung mà bạn có thể sử dụng để tăng cường bảo mật cho trang web của mình với WAF hoặc cấu hình máy chủ web cho đến khi bạn có thể áp dụng bản cập nhật plugin. Sửa đổi để phù hợp với môi trường của bạn và kiểm tra trước khi triển khai vào sản xuất.

Ghi chú: Đây là các quy tắc phòng thủ, chung chung nhằm giảm thiểu rủi ro cho các mẫu tải trọng RCE phổ biến. Chúng không thay thế cho việc vá lỗi.

1) Chặn các thân POST nghi ngờ chứa mã PHP hoặc tải trọng base64 dài
(quy tắc giả kiểu mod_security)

SecRule REQUEST_METHOD "POST" "chain,deny,status:403,id:100001,log,msg:'Chặn POST nghi ngờ chứa thẻ PHP hoặc tải trọng base64 dài'"

2) Chặn truy cập trực tiếp vào các tệp PHP nội bộ của plugin (nếu biết)
Nếu lỗ hổng nhắm vào các điểm cuối plugin cụ thể trong wp-content/plugins/jet-engine/, hãy chặn truy cập trực tiếp vào các tệp PHP đó thông qua các quy tắc máy chủ web.

Ví dụ Nginx (chặn truy cập php trực tiếp vào thư mục plugin):

location ~* /wp-content/plugins/jet-engine/(.*\.php)$ {

Ghi chú: Kiểm tra cẩn thận — việc chặn có thể làm hỏng các tính năng hợp pháp của plugin. Sử dụng điều này như một biện pháp khẩn cấp tạm thời nếu kẻ tấn công nhắm vào các tệp plugin trực tiếp.

3) Chặn tải lên các tệp PHP trong thư mục uploads
Apache (.htaccess bên trong uploads):

<FilesMatch "\.(php|phtml|php3|php4|php5|phps|shtml|pl|py|jsp|asp|sh)$">
  Order allow,deny
  Deny from all
</FilesMatch>

4) Chặn các mẫu chuỗi truy vấn nghi ngờ và tác nhân người dùng
Nhiều trình quét tự động sử dụng các chữ ký cụ thể. Chặn các tác nhân người dùng nghi ngờ hoặc chặn các POST với các tham số nghi ngờ.

Ví dụ (quy tắc giả):

SecRule REQUEST_URI|ARGS|REQUEST_HEADERS:User-Agent "(?:(sqlmap|curl|python-requests|nmap|nikto))" "deny,log,id:100002,msg:'Chặn các trình quét phổ biến'"

5) Giới hạn tỷ lệ và chặn các nỗ lực tạo tài khoản và đăng nhập nghi ngờ

Tạm thời tăng giới hạn tỷ lệ cho các điểm cuối tạo tài khoản / đăng nhập và yêu cầu CAPTCHA cho các đăng ký mới.

Cách WP‑Firewall giúp (cách tiếp cận của chúng tôi — những gì chúng tôi làm)

Là một nhà cung cấp tường lửa và bảo mật WordPress, WP‑Firewall tập trung vào các biện pháp phòng thủ nhiều lớp:

  • WAF được quản lý và quy tắc thời gian thực — chúng tôi áp dụng các bản vá ảo nhanh chóng khi các lỗ hổng có nguy cơ cao được công bố để chặn các nỗ lực khai thác.
  • Quét phần mềm độc hại và phát hiện nhiễm trùng — trình quét của chúng tôi tìm kiếm các mẫu webshell đã biết, các thay đổi tệp đáng ngờ và các thay đổi cơ sở dữ liệu bất thường.
  • Mặc định được củng cố — chúng tôi thực thi các thực tiễn tốt nhất phổ biến (vô hiệu hóa chỉnh sửa tệp, khuyến nghị quyền truy cập mạnh, hỗ trợ 2FA).
  • Hướng dẫn phản ứng sự cố và các tùy chọn dọn dẹp được quản lý (dành cho khách hàng trên các gói cao cấp).
  • Tinh chỉnh liên tục — chúng tôi theo dõi thông tin tình báo về mối đe dọa và điều chỉnh các quy tắc để giảm thiểu các cảnh báo sai trong khi tối đa hóa bảo vệ.

Nếu bạn dựa vào hệ sinh thái plugin và chấp nhận đầu vào hoặc đăng ký của người dùng, việc đặt một WAF trước trang web của bạn và chạy quét phần mềm độc hại tự động sẽ giảm đáng kể khoảng thời gian tiếp xúc giữa việc công bố công khai và vá lỗi.

Khuyến nghị tăng cường (dài hạn)

  1. Quyền hạn tối thiểu là điều cơ bản
    • Cấp quyền cho người dùng chỉ những quyền họ cần. Tài khoản người đóng góp nên được cấp quyền tối thiểu và sử dụng một cách tiết kiệm.
  2. Quản lý danh mục và cập nhật
    • Giữ một danh sách đã được kiểm toán về các plugin và chủ đề. Áp dụng các bản cập nhật thường xuyên và sử dụng môi trường thử nghiệm cho các thay đổi lớn.
  3. Cập nhật tự động cho bảo mật
    • Bật cập nhật tự động cho các plugin/chủ đề được đánh dấu là bảo mật hoặc phiên bản nhỏ khi có thể.
  4. Triển khai 2FA và xác thực mạnh
    • Làm cho xác thực hai yếu tố trở thành bắt buộc cho các tài khoản biên tập viên/quản trị viên. Sử dụng chính sách mật khẩu và trình quản lý mật khẩu.
  5. Giới hạn dấu chân của plugin
    • Vô hiệu hóa và gỡ bỏ các plugin và chủ đề không sử dụng. Ít thành phần hơn đồng nghĩa với ít bề mặt tấn công hơn.
  6. Sao lưu và phục hồi
    • Duy trì các bản sao lưu thường xuyên, không thay đổi ở bên ngoài. Thường xuyên kiểm tra việc khôi phục.
  7. Giám sát và cảnh báo
    • Giám sát nhật ký, tính toàn vẹn tệp và hành vi người dùng. Cảnh báo về các sự kiện đáng ngờ (ví dụ: tạo quản trị viên mới, tải lên PHP không xác định).
  8. Phân đoạn
    • Lưu trữ nhiều trang web của khách hàng trên các tài khoản tách biệt; tránh người dùng hệ thống chia sẻ giữa các khách hàng.

Nếu trang web của bạn đã bị xâm phạm — danh sách kiểm tra phản ứng sự cố

  1. Đưa trang web vào chế độ bảo trì hoặc tạm thời đưa nó ngoại tuyến để ngăn chặn thiệt hại thêm.
  2. Bảo tồn chứng cứ pháp y: chụp ảnh các tệp, cơ sở dữ liệu và nhật ký.
  3. Xác định và loại bỏ webshell, tệp PHP độc hại và người dùng quản trị không được phép.
  4. Thay thế các tệp lõi, chủ đề và plugin đã bị sửa đổi bằng các bản sao tốt đã biết.
  5. Đặt lại tất cả mật khẩu: người dùng WordPress (đặc biệt là quản trị viên), mật khẩu người dùng cơ sở dữ liệu, FTP/SFTP, bảng điều khiển lưu trữ.
  6. Thu hồi và cấp lại bất kỳ khóa API, mã thông báo OAuth và thông tin xác thực nào bị rò rỉ được sử dụng ở nơi khác.
  7. Áp dụng plugin đã vá (3.8.1.2) và tất cả các bản cập nhật khác.
  8. Quét lại bằng nhiều công cụ quét để xác nhận việc loại bỏ phần mềm độc hại/cửa hậu.
  9. Giám sát để phát hiện tái nhiễm trong ít nhất 30 ngày.
  10. Cân nhắc việc xây dựng lại hoàn toàn từ một bản sao lưu sạch nếu sự xâm phạm là sâu hoặc bạn không thể tự tin rằng bạn đã loại bỏ tất cả cửa hậu.

Nếu bạn không đủ khả năng để thực hiện các bước trên một cách an toàn, hãy tìm sự trợ giúp từ các chuyên gia phản ứng sự cố. Việc dọn dẹp không đúng cách có thể để lại quyền truy cập ẩn cho phép tái xâm nhập.

Các bước xác minh thực tế — lệnh nhanh

  • Kiểm tra phiên bản plugin qua WP‑CLI: 
    wp plugin status jet-engine --format=json
  • Danh sách người dùng được tạo gần đây: 
    wp user list --role=contributor --field=user_login,user_email,user_registered | awk '$3 > "2026-01-01"'
  • Tìm kiếm các tệp PHP được thêm vào trong thư mục uploads trong 14 ngày qua: 
    find wp-content/uploads -type f -name '*.php' -mtime -14 -print
  • Tìm kiếm các hàm đáng ngờ: 
    grep -R --line-number -E "(eval\(|base64_decode\(|gzinflate\(|gzuncompress\()" wp-content

Chạy những cái này ngay bây giờ — chúng có chi phí thấp và có thể nhanh chóng cho thấy các dấu hiệu xâm phạm rõ ràng.

Các kịch bản tấn công và tác động đến doanh nghiệp

Một kẻ tấn công khai thác CVE‑2026‑28134 có thể:

  • Cài đặt một backdoor vĩnh viễn (PHP webshell).
  • Tạo người dùng quản trị và khóa bạn lại.
  • Lấy cắp dữ liệu thanh toán hoặc dữ liệu cá nhân của khách hàng.
  • Thay đổi giao diện trang web hoặc chèn spam/spam SEO.
  • Sử dụng tài nguyên máy chủ của bạn để khai thác tiền điện tử, gửi spam hoặc quét các tài sản khác.
  • Xâm phạm các trang web khác trên cơ sở hạ tầng chia sẻ.

Tác động đến doanh nghiệp bao gồm thời gian ngừng hoạt động, thiệt hại danh tiếng, hình phạt SEO, khả năng tiếp xúc pháp lý/quy định nếu dữ liệu khách hàng bị ảnh hưởng, và chi phí dọn dẹp.

Thời gian & bối cảnh công bố

  • Ngày báo cáo của nhà nghiên cứu: 25 tháng 6 năm 2025 (phát hiện ban đầu được báo cáo riêng tư bởi nhà nghiên cứu bảo mật).
  • Công bố công khai / danh sách cơ sở dữ liệu: 26 tháng 2 năm 2026.
  • Phiên bản đã vá: 3.8.1.2 (nâng cấp được khuyến nghị ngay khi phát hành).

Giữa việc công bố cho các nhà phát triển upstream và phát hành công khai, các quy trình công bố có trách nhiệm đã được tuân theo. Khi một lỗ hổng trở thành công khai, các kẻ tấn công thường tự động hóa các cuộc tấn công — vì vậy hãy giả định rằng sẽ có những nỗ lực khai thác được thực hiện nhanh chóng.

Khuyến nghị kết thúc của một chuyên gia

Nếu bạn đã cài đặt JetEngine, biện pháp khắc phục an toàn và nhanh nhất là nâng cấp lên phiên bản 3.8.1.2. Nếu bạn không thể nâng cấp ngay lập tức, hãy gỡ bỏ hoặc vô hiệu hóa plugin và áp dụng vá ảo thông qua WAF của bạn. Kiểm tra các tài khoản Contributor và thay đổi thông tin xác thực.

Chỉ dựa vào việc vá lỗi là không đủ; bạn cần một tư thế hoạt động: bảo vệ WAF, quét liên tục, kiểm soát người dùng với quyền hạn tối thiểu, sao lưu đã được kiểm tra và kế hoạch phản ứng sự cố. Cách tiếp cận nhiều lớp đó là cách bạn ngăn chặn một lỗ hổng trở thành một vi phạm.

Bắt đầu bảo vệ trang WordPress của bạn — Kế hoạch miễn phí có sẵn

Bắt đầu bảo vệ trang của bạn miễn phí

Nếu bạn muốn giảm thiểu rủi ro ngay bây giờ, WP‑Firewall cung cấp một kế hoạch Cơ bản không tốn chi phí cung cấp bảo vệ thiết yếu: một tường lửa được quản lý, một tường lửa ứng dụng web (WAF), một trình quét phần mềm độc hại tự động, và giảm thiểu cho các rủi ro OWASP Top 10. Kế hoạch Cơ bản cung cấp cho bạn vá ảo ngay lập tức và chặn các nỗ lực khai thác trong khi bạn cập nhật các plugin và thực hiện kiểm tra pháp y.

Đăng ký gói miễn phí tại đây:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Nếu bạn cần gỡ bỏ tự động, kiểm soát danh sách đen/danh sách trắng, báo cáo theo lịch, hoặc vá ảo được tùy chỉnh cho các môi trường lớn, các kế hoạch Standard và Pro của chúng tôi thêm những khả năng và dịch vụ quản lý đó. Nhưng cấp độ Cơ bản (Miễn phí) là một bước ngay lập tức tuyệt vời cho mọi chủ sở hữu trang web muốn bảo vệ ngay hôm nay.

Tài nguyên hữu ích và các bước tiếp theo (danh sách tóm tắt)

  • Ngay lập tức kiểm tra phiên bản JetEngine; cập nhật lên 3.8.1.2 nếu có thể.
  • Nếu bạn không thể cập nhật ngay bây giờ, hãy vô hiệu hóa plugin.
  • Áp dụng quy tắc WAF hoặc kích hoạt vá ảo để chặn các mẫu khai thác.
  • Kiểm tra vai trò người dùng (xóa hoặc vô hiệu hóa các Người đóng góp không cần thiết).
  • Tạo một bản sao lưu đầy đủ (tệp + cơ sở dữ liệu) và lưu trữ nó ngoài máy chủ.
  • Quét tìm webshell và các tệp nghi ngờ; làm theo danh sách kiểm tra IoC ở trên.
  • Thay đổi thông tin đăng nhập cho quản trị viên, cơ sở dữ liệu, FTP và bất kỳ tài khoản nào khác bị lộ.
  • Giám sát nhật ký và lưu lượng cho các đột biến bất thường và kết nối ra ngoài.
  • Nếu bị xâm phạm, bảo tồn chứng cứ và tham gia phản ứng sự cố.

Nếu bạn cần giúp đỡ với việc phát hiện, vá ảo, hoặc phân tích pháp y sâu hơn, đội ngũ Bảo mật WP‑Firewall có sẵn — cho dù bạn đăng ký gói miễn phí để nhận bảo vệ cơ bản hay cho một trong các gói quản lý của chúng tôi để nhận hỗ trợ giảm thiểu và dọn dẹp nhanh chóng.

Hãy giữ an toàn. Sự khác biệt giữa một lỗ hổng và một vi phạm thường là bạn hành động nhanh như thế nào.

wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Liên hệ với chúng tôi

Tường lửa WP
Tầng 6, The Rays, 71 Đường Hung To, Kwun Tong, Cửu Long, Hồng Kông

Đặc trưng Giá cả Blog Đăng nhập
Chính sách bảo mật Điều khoản dịch vụ Tài liệu Liên kết

© 2026 WP-Firewall™