Tên plugin	Bookory
Loại lỗ hổng	Bao gồm tệp cục bộ
Số CVE	CVE-2025-68530
Tính cấp bách	Cao
Ngày xuất bản CVE	2026-01-05
URL nguồn	CVE-2025-68530

Lỗ hổng Bao gồm Tệp Địa phương trong Giao diện WordPress Bookory (CVE-2025-68530) — Những gì chủ sở hữu trang web cần biết và làm ngay bây giờ

Đã xuất bản: 1 Tháng 1 Năm 2026
Tác giả: Nhóm bảo mật WP‑Firewall

Một lỗ hổng Bao gồm Tệp Địa phương (LFI) vừa được công bố ảnh hưởng đến giao diện WordPress Bookory (tất cả các phiên bản đến và bao gồm 2.2.7, đã được sửa trong 2.2.8) có khả năng tiết lộ các tệp nhạy cảm từ hệ thống tệp của trang web và dẫn đến việc tiết lộ thông tin xác thực, xâm phạm trang web hoặc các cuộc tấn công chuỗi tiếp theo. Lỗ hổng này đã được gán CVE‑2025‑68530.

Là những người tạo ra Tường lửa Ứng dụng Web WordPress được quản lý (WAF) và các dịch vụ bảo mật, chúng tôi muốn giải thích bằng các thuật ngữ thực tiễn, không mang tính kỹ thuật:

lỗ hổng này là gì và cách nó hoạt động ở mức cao,
ai bị ảnh hưởng và tại sao rủi ro khác nhau giữa các trang web,
cách phát hiện các nỗ lực và xác nhận xem trang web của bạn có bị ảnh hưởng hay không, và
các biện pháp giảm thiểu ngay lập tức, trung gian và dài hạn mà bạn nên áp dụng (bao gồm một quy tắc WAF khẩn cấp mà bạn có thể triển khai).

Thông báo này tránh chia sẻ mã khai thác, nhưng đủ chi tiết để các chủ sở hữu trang web, quản trị viên và đội ngũ bảo mật có thể hành động quyết đoán.

Tóm tắt điều hành

Một vấn đề Bao gồm Tệp Địa phương (LFI) ảnh hưởng đến các phiên bản giao diện Bookory <= 2.2.7 cho phép một kẻ tấn công — với vai trò WordPress cấp thấp (Người đóng góp) — gây ra việc trang web bao gồm và trả về nội dung của các tệp địa phương.
Nhà cung cấp đã phát hành bản sửa lỗi trong phiên bản 2.2.8; hãy cập nhật lên 2.2.8 hoặc phiên bản mới hơn ngay lập tức.
Tác động của lỗ hổng phụ thuộc vào cấu hình trang web: một LFI có thể tiết lộ các tệp cấu hình (ví dụ: wp-config.php), nhật ký, hoặc các tệp nhạy cảm khác có thể dẫn đến việc tiết lộ thông tin xác thực cơ sở dữ liệu và chiếm quyền kiểm soát toàn bộ trang web.
Nếu bạn không thể cập nhật ngay lập tức, hãy triển khai các quy tắc WAF/đắp vá ảo chặn các mẫu duyệt thư mục và các tham số bao gồm nghi ngờ, kiểm tra các tài khoản Người đóng góp, và thực hiện các bước phản ứng sự cố nếu bạn phát hiện khai thác.

Bao gồm Tập tin Địa phương (LFI) là gì?

Bao gồm Tệp Địa phương (LFI) là một loại lỗ hổng ứng dụng web mà trong đó một kẻ tấn công có thể kiểm soát một đường dẫn tệp mà một ứng dụng sử dụng với các nguyên tắc include/require hoặc tương tự để tải tệp. Thay vì cố ý bao gồm tệp an toàn dự kiến, ứng dụng cuối cùng lại bao gồm một tệp địa phương do kẻ tấn công chọn.

Tại sao điều đó quan trọng trong các giao diện WordPress:

Các giao diện thường triển khai chức năng quản trị hoặc giao diện người dùng chấp nhận các tham số (ví dụ: page=, view=, template=, file=) và sau đó bao gồm hoặc yêu cầu một tệp dựa trên đầu vào đó.
Nếu đầu vào đó không được xác thực hoặc làm sạch theo danh sách cho phép nghiêm ngặt, một kẻ tấn công có thể cung cấp các chuỗi duyệt thư mục (../) hoặc các tải trọng khác để truy cập các tệp bên ngoài thư mục dự kiến.
Các tệp như wp‑config.php, nhật ký gỡ lỗi, tệp sao lưu và các tài nguyên cục bộ khác có thể chứa dữ liệu nhạy cảm (thông tin xác thực cơ sở dữ liệu, khóa API) mà kẻ tấn công có thể thu thập và sử dụng để hoàn toàn xâm phạm một trang web.

LFI cũng có thể được kết hợp với các lỗ hổng khác (ví dụ như thực thi mã từ xa qua tải tệp hoặc đầu độc nhật ký) để tăng cường tác động.

Tại sao vấn đề Bookory này lại nghiêm trọng (ngay cả khi được gán nhãn “ưu tiên thấp”)

Về việc công khai, lỗ hổng này được cấp độ ưu tiên nội bộ của Patchstack là “Thấp”, nhưng vector CVSS thì đáng chú ý (CVSS 7.5 trong tóm tắt đã công bố). Sự kết hợp đó xuất hiện vì:

Lỗ hổng này yêu cầu quyền hạn cấp thấp (Người đóng góp) là một loại tài khoản hạn chế trên WordPress. Nhiều trang web không cấp tài khoản Người đóng góp cho người dùng không đáng tin cậy, điều này làm giảm bề mặt tấn công.
Tuy nhiên, hậu quả của một LFI thành công có thể rất nghiêm trọng. Việc tiết lộ wp‑config.php hoặc các tệp cấu hình/sao lưu khác sẽ tiết lộ thông tin xác thực cơ sở dữ liệu. Với những thông tin xác thực đó, một kẻ tấn công có thể lấy dữ liệu ra ngoài hoặc chiếm quyền kiểm soát cơ sở dữ liệu và, có thể, toàn bộ trang web.

Nói tóm lại: Mặc dù các quyền hạn yêu cầu làm giảm xác suất khai thác trên nhiều trang web, nhưng tác động nếu bị khai thác có thể cao — đặc biệt đối với các trang cho phép đăng ký, tác giả khách hoặc sử dụng phân tách vai trò yếu.

Ai nên quan tâm?

Tất cả các trang web sử dụng giao diện Bookory (mặt hàng ThemeForest “Bookory — Book Store & WooCommerce Theme”) và chạy phiên bản <= 2.2.7.
Bất kỳ trang web nào cho phép người dùng bên ngoài đăng ký hoặc tạo bài viết với vai trò Người đóng góp hoặc vai trò tương tự.
Các nhà cung cấp dịch vụ và cơ quan quản lý nhiều trang web của khách hàng (đặc biệt nếu họ cho phép người đóng góp nội dung).
Các đội ngũ bảo mật ưu tiên giảm thiểu việc tiết lộ tệp và lộ thông tin xác thực.

Nếu bạn sử dụng Bookory, hãy cập nhật lên 2.2.8 ngay lập tức. Nếu bạn không thể cập nhật ngay, hãy áp dụng các biện pháp giảm thiểu bên dưới.

Hành động ngay lập tức (0–24 giờ)

Cập nhật giao diện lên 2.2.8 (hoặc phiên bản mới hơn) ngay lập tức.
Đây là bản sửa lỗi cuối cùng. Xác nhận phiên bản giao diện trong Giao diện → Giao diện hoặc bằng cách kiểm tra nhật ký thay đổi giao diện của bạn / tệp giao diện. Nếu bạn sử dụng giao diện con, hãy xác minh tính tương thích trước khi cập nhật trên môi trường sản xuất; nhưng đừng trì hoãn các bản cập nhật bảo mật — nếu cần, hãy cập nhật trong khoảng thời gian bảo trì hoặc tạm thời đưa trang web ngoại tuyến.
Hạn chế hoặc kiểm tra các tài khoản Người đóng góp.
- Tạm ngưng hoặc xóa các tài khoản Người đóng góp không cần thiết.
- Đặt lại mật khẩu cho các tài khoản có rủi ro cao.
- Yêu cầu MFA cho bất kỳ tài khoản nào có quyền hạn cao (Biên tập viên, Quản trị viên).
Triển khai quy tắc WAF / bản vá ảo trong khi cập nhật.
Nếu bạn quản lý một WAF (quản lý hoặc tại chỗ), hãy thêm một quy tắc tạm thời để chặn các nỗ lực trông giống như các vector LFI — các chuỗi duyệt thư mục, các tham số include nghi ngờ, hoặc các yêu cầu trực tiếp cố gắng lấy các tệp hệ thống cục bộ. Xem các ví dụ quy tắc được khuyến nghị bên dưới.
Vô hiệu hóa chỉnh sửa tệp trong WordPress.
Thêm vào wp-config.php:
```
định nghĩa('DISALLOW_FILE_EDIT', đúng);
```
Điều này ngăn chặn việc chỉnh sửa các tệp plugin hoặc theme từ giao diện quản trị và giảm các vector tấn công nếu một tài khoản bị xâm phạm.
Lấy một bản sao lưu gần đây.
Xuất một bản sao lưu mới (tệp + cơ sở dữ liệu) và lưu trữ ngoại tuyến. Nếu bạn cần quay lại hoặc thực hiện điều tra sau này, một bản sao lưu hiện tại là rất cần thiết.

Các quy tắc WAF / vá ảo được khuyến nghị (ví dụ)

Dưới đây là các mẫu phòng thủ và các quy tắc mẫu mà bạn có thể điều chỉnh cho môi trường Apache ModSecurity hoặc Nginx/WAF của bạn. Đây là các mẫu phòng thủ, cấp cao nhằm chặn các cuộc tấn công LFI rõ ràng; điều chỉnh chúng để tránh các cảnh báo sai cho trang của bạn.

Quan trọng: không công bố các payload khai thác; sử dụng các quy tắc này một cách nghiêm ngặt để chặn các yêu cầu nghi ngờ.

Ví dụ Apache ModSecurity (khái niệm — điều chỉnh cho môi trường của bạn):

Chặn các mẫu duyệt thư mục rõ ràng và các nỗ lực LFI"

Nginx (sử dụng ngx_http_rewrite_module hoặc sản phẩm WAF) quy tắc khái niệm:

nếu ($request_uri ~* "\.\./|\.\.\\||/etc/passwd|wp-config\.php|/proc/self/environ") {

Các mẫu phòng thủ chính cần xem xét:

Chặn hoặc theo dõi các yêu cầu chứa ../ (dấu chấm-dấu chấm gạch chéo) hoặc các tương đương mã hóa URL (%2e%2e%2f).
Chặn các yêu cầu cho các tên tệp nhạy cảm đã biết: wp-config.php, .env, /etc/passwd, /proc/self/environ.
Chặn các tên tham số truy vấn nghi ngờ thường được sử dụng để chỉ ra cơ chế include: file=, trang=, mẫu=, tpl=, xem=, inc= (nhưng hãy cẩn thận — một số plugin/theme hợp pháp sử dụng những tên đó). Sử dụng sự kết hợp giữa tên tham số + mẫu tải độc hại để tránh các báo cáo sai.
Giới hạn tỷ lệ hoặc chặn các cuộc dò hỏi lặp lại từ một địa chỉ IP.

Nếu bạn sử dụng WP‑Firewall (WAF được quản lý), hãy bật vá ảo (giảm thiểu tự động) và hồ sơ bảo vệ LFI. Dịch vụ của chúng tôi có thể đẩy các chữ ký tạm thời để chặn rủi ro này trong khi bạn cập nhật theme.

Phát hiện và điều tra

Nếu bạn nghi ngờ có sự khai thác cố gắng hoặc thành công, những bước này giúp bạn phát hiện các chỉ số và thực hiện phân loại.

Tìm kiếm nhật ký truy cập cho các yêu cầu đáng ngờ.
Tìm kiếm các yêu cầu chứa các mẫu như ../, mã hóa URL .., etc/passwd, wp-config.php, hoặc các tham số có tên tài liệu, bản mẫu, trang, xem, inc, v.v. Ghi lại thời gian, địa chỉ IP nguồn và chuỗi tác nhân người dùng.
Tìm kiếm nhật ký máy chủ và nhật ký ứng dụng.
- Nhật ký truy cập và lỗi của Apache / Nginx.
- Nhật ký lỗi PHP cho các cảnh báo/lỗi về việc bao gồm tệp.
- Nhật ký bảng điều khiển quản lý web host.
Kiểm tra sự lộ diện của wp-config.php hoặc các tệp khác trong phản hồi web.
Nếu bạn tìm thấy các yêu cầu trả về 200 OK với nội dung giống như wp‑config.php (chứa DB_NAME, DB_USER, DB_PASSWORD, AUTH_KEY), hãy coi đó là sự lộ diện đã được xác nhận.
Kiểm tra ngày sửa đổi tệp và các tệp không xác định.
Kẻ tấn công thường viết backdoor hoặc web shell. Tìm kiếm các tệp PHP mới được thêm vào trong wp‑content, thư mục uploads, hoặc thư mục theme với tên lạ hoặc thời gian khớp với hoạt động đáng ngờ.
Kiểm tra cơ sở dữ liệu và người dùng quản trị.
- Tìm kiếm người dùng quản trị mới hoặc tài khoản đã có vai trò nâng cao.
- Kiểm tra các bài viết/trang gần đây để tìm liên kết hoặc nội dung bị chèn.
Bảo tồn chứng cứ pháp y.
Nếu bạn nghi ngờ bị xâm phạm, hãy cách ly trang web (đưa vào chế độ bảo trì hoặc đưa nó ngoại tuyến), sao chép nhật ký và các tệp liên quan đến một vị trí an toàn, và ghi lại các hành động. Điều này bảo tồn chứng cứ cho phân tích sau này.

Nếu bạn tìm thấy bằng chứng về việc khai thác — phản ứng sự cố

Cô lập trang web: tạm thời chặn lưu lượng truy cập đến từ các IP nghi ngờ và đưa trang web vào chế độ bảo trì.
Lấy một bản sao lưu hình ảnh của trang web hiện tại (tệp + cơ sở dữ liệu) và bảo tồn nhật ký. Bức ảnh chụp này rất quan trọng cho công việc pháp y sau này.
Xoay vòng thông tin xác thực: ngay lập tức thay đổi mật khẩu quản trị, mật khẩu cơ sở dữ liệu (cập nhật wp-config.php với thông tin xác thực mới) và bất kỳ khóa API nào bị lộ trong quá trình điều tra.
Dọn dẹp hoặc khôi phục:
- Nếu bạn có một bản sao lưu sạch đã biết từ trước khi bị xâm phạm, hãy khôi phục từ bản sao lưu đó và áp dụng các bản cập nhật giao diện/plugin trước khi đưa trang web trở lại.
- Nếu bạn phải làm sạch tại chỗ, hãy loại bỏ các cửa hậu đã xác định, các tệp độc hại và các tài khoản quản trị không được ủy quyền. Sau đó, tăng cường bảo mật cho trang web và thay đổi thông tin xác thực.
Xây dựng lại nếu cần thiết: trong nhiều trường hợp, việc xây dựng lại hoàn toàn từ một nguồn sạch đã biết (cài đặt lại lõi WordPress, cài đặt lại các gói giao diện/plugin từ các nguồn nhà cung cấp, khôi phục nội dung chỉ từ cơ sở dữ liệu) thường sạch hơn và an toàn hơn so với việc cố gắng loại bỏ một cách phẫu thuật.
Thông báo cho các bên liên quan: nếu có sự lộ dữ liệu (thông tin khách hàng, thông tin xác thực), hãy tuân theo các quy tắc thông báo vi phạm áp dụng theo khu vực pháp lý và thông báo cho khách hàng/khách hàng.
Báo cáo sau sự cố: biên soạn một dòng thời gian, nguyên nhân gốc rễ và các bước giảm thiểu để bạn có thể tránh các sự cố tương tự.

Tăng cường bảo mật và phòng ngừa lâu dài

Ngay cả sau khi vá lỗi Bookory, hãy sử dụng các thực hành sau để giảm thiểu rủi ro của các lỗ hổng tương tự gây ra các vụ xâm phạm trong tương lai.

Giữ cho các giao diện, plugin và lõi được cập nhật. Đây là biện pháp kiểm soát hiệu quả nhất. Áp dụng các bản cập nhật bảo mật kịp thời; đối với các trang web sản xuất, phối hợp các khoảng thời gian bảo trì đã lên lịch cho các bản vá quan trọng.
Giảm thiểu số lượng giao diện và plugin đã cài đặt. Loại bỏ các giao diện không sử dụng (bao gồm các giao diện WordPress mặc định) và các plugin. Ít thành phần hơn có nghĩa là bề mặt tấn công nhỏ hơn.
Sử dụng quyền tối thiểu cho người dùng. Gán quyền tối thiểu cần thiết. Tránh cấp vai trò Người đóng góp/Tác giả/Biên tập viên cho các tài khoản không đáng tin cậy. Xem xét danh sách người dùng thường xuyên.
Củng cố quyền truy cập tệp. Tệp nên có quyền 644 và thư mục 755 (điều chỉnh cho máy chủ của bạn). wp-config.php có thể được làm hạn chế hơn nếu máy chủ cho phép.
Vô hiệu hóa thực thi PHP khi tải lên (nếu có thể). Ngăn chặn thực thi PHP trong wp-content/uploads bằng cách đặt quy tắc máy chủ web hoặc .htaccess từ chối thực thi.
Tắt trình chỉnh sửa tệp trong Bảng điều khiển (DISALLOW_FILE_EDIT) như đã trình bày trước đó.
Sử dụng mật khẩu mạnh, độc nhất và MFA cho tất cả các tài khoản có quyền.
Sử dụng quét bảo mật và giám sát: giám sát tính toàn vẹn tệp, quét phần mềm độc hại và nhật ký WAF giúp phát hiện hoạt động đáng ngờ sớm.
Sử dụng môi trường staging và xem xét mã cho bất kỳ phát triển chủ đề hoặc plugin tùy chỉnh nào.

Tại sao WAF và vá ảo lại quan trọng

WAF không thay thế việc vá lỗi, nhưng nó giúp bạn có thời gian và bảo vệ trong khi bạn áp dụng các bản cập nhật. Lợi ích:

Chặn quét tự động và các nỗ lực khai thác theo thời gian thực.
Có thể triển khai các bản vá ảo (quy tắc chữ ký) ngăn chặn chính xác loại yêu cầu được sử dụng để cố gắng thực hiện LFI, ngay cả trước khi các bản cập nhật chủ đề được áp dụng.
Cung cấp khả năng nhìn thấy cuộc tấn công thông qua nhật ký và cảnh báo để bạn có thể phân loại và phản ứng nhanh chóng.

Nếu bạn quản lý nhiều trang web hoặc quản lý trang web của khách hàng, một WAF được quản lý hỗ trợ triển khai chữ ký nhanh chóng là một yếu tố tăng cường — nó giảm chi phí hoạt động trong khi cải thiện tư thế bảo mật.

Quy tắc phát hiện & gợi ý giám sát (SIEM / Splunk / Ghi nhật ký đám mây)

Dưới đây là các ý tưởng phát hiện ví dụ mà bạn có thể triển khai dưới dạng tìm kiếm/cảnh báo trong nền tảng ghi nhật ký của bạn. Đây là các phương pháp suy diễn để kích hoạt điều tra.

So khớp chuỗi truy vấn nhật ký truy cập với các chuỗi dấu chấm:
- regex: (\.\./|\.\.\\|)
Phát hiện các yêu cầu bao gồm tên tệp nhạy cảm:
- regex: (wp-config\.php|\.env|etc/passwd|/proc/self/environ)
Phát hiện sự gia tăng lỗi 4xx/5xx từ cùng một IP với chuỗi truy vấn nghi ngờ — thường thì các công cụ quét sẽ kiểm tra nhiều biến thể tải trọng.
Cảnh báo về các tệp mới được thêm vào thư mục chủ đề hoặc tải lên với .php phần mở rộng mà trước đây không có.

Đặt ngưỡng thấp cho việc phân loại ban đầu (ví dụ: hơn 3 yêu cầu nghi ngờ từ cùng một IP trong vòng 10 phút).

Truyền đạt rủi ro đến các bên liên quan không kỹ thuật

Nếu bạn phải tóm tắt cho các giám đốc hoặc khách hàng, hãy giữ cho nó ngắn gọn và có thể hành động:

“Một lỗ hổng trong chủ đề Bookory cho phép các tài khoản hạn chế yêu cầu các tệp cục bộ trên máy chủ. Nếu bị khai thác, nó có thể tiết lộ các tệp cấu hình bao gồm thông tin xác thực cơ sở dữ liệu. Chúng tôi đã vá (hoặc sẽ vá) lên phiên bản 2.2.8. Chúng tôi cũng đã triển khai một quy tắc tường lửa bảo vệ, kiểm tra các tài khoản đóng góp và đang quét các chỉ số của sự xâm phạm. Chưa có dấu hiệu nào của một cuộc tấn công thành công được tìm thấy cho đến nay, nhưng chúng tôi đang giữ trang web trong trạng thái giám sát cao độ trong 72 giờ.”

Tránh quá tải chi tiết kỹ thuật; cung cấp các bước đã thực hiện, rủi ro còn lại và các biện pháp tiếp theo.

Danh sách kiểm tra — Ngay lập tức, Ngắn hạn và Trung hạn

Ngay lập tức (trong vòng 24 giờ)

Cập nhật Bookory lên phiên bản 2.2.8 (hoặc mới hơn).
Lấy bản sao lưu mới (tệp + DB).
Kiểm tra các tài khoản Người đóng góp và tác giả; vô hiệu hóa các tài khoản không sử dụng.
Áp dụng bản vá tạm thời WAF/ảo để chặn các mẫu LFI.
Bật giám sát và cảnh báo cho các yêu cầu nghi ngờ.

Ngắn hạn (1–7 ngày)

Quét trang web để tìm các tệp đã chỉnh sửa hoặc không xác định.
Thay đổi mật khẩu quản trị và thông tin xác thực cơ sở dữ liệu nếu nghi ngờ có sự rò rỉ tệp.
Thiết lập DISALLOW_FILE_EDIT trong wp-config.php.

Trung hạn (1–3 tháng)

Thực hiện kiểm soát truy cập mạnh mẽ hơn và MFA cho người dùng có quyền hạn.
Củng cố quyền tệp và vô hiệu hóa thực thi PHP khi có thể.
Thêm quét lỗ hổng liên tục và vá tự động cho các thành phần khi an toàn.

Những câu hỏi thường gặp

Hỏi: Nếu tôi đang chạy Bookory trên một máy chủ tự động áp dụng cập nhật giao diện, tôi vẫn cần hành động không?
MỘT: Xác minh phiên bản giao diện trên mỗi trang web. Một số máy chủ không tự động cập nhật các giao diện thị trường cao cấp. Luôn xác nhận rằng phiên bản đã triển khai là 2.2.8 hoặc mới hơn.

Hỏi: Tôi không sử dụng tài khoản Người đóng góp — tôi có an toàn không?
MỘT: Mức độ rủi ro của bạn thấp hơn nhưng không bằng không. Nếu không có người dùng không đáng tin cậy nào có quyền hạn người đóng góp hoặc cao hơn và có kiểm soát vai trò mạnh mẽ, khả năng khai thác sẽ ít hơn. Vẫn cập nhật giao diện và theo dõi lưu lượng truy cập.

Hỏi: Một quy tắc WAF đơn lẻ có đủ không?
MỘT: Một quy tắc WAF là một biện pháp tạm thời và là một giải pháp quan trọng, nhưng hành động quyết định là áp dụng bản sửa lỗi của nhà cung cấp. Sử dụng cả hai: bản vá ảo + bản vá.

Mới: Bảo mật trang web của bạn hôm nay với kế hoạch bảo vệ miễn phí của WP‑Firewall

Tiêu đề: Nhận bảo vệ thiết yếu, luôn hoạt động cho trang WordPress của bạn — miễn phí

Chúng tôi tin rằng bảo mật trang web không bao giờ nên nằm ngoài tầm với. Kế hoạch Miễn phí Cơ bản của WP‑Firewall cung cấp một bộ bảo vệ thiết yếu ngăn chặn các cuộc tấn công phổ biến và giúp bạn duy trì an toàn trong khi vá các thành phần dễ bị tổn thương như giao diện Bookory. Kế hoạch Miễn phí bao gồm tường lửa được quản lý, WAF hiệu suất cao, quét phần mềm độc hại, băng thông không giới hạn và các biện pháp bảo vệ giảm thiểu rủi ro OWASP Top 10 — mọi thứ bạn cần để giảm thiểu rủi ro ngay lập tức trong khi cập nhật và củng cố trang web của bạn.

Nếu bạn muốn thử ngay bây giờ, hãy đăng ký kế hoạch miễn phí tại đây:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Nâng cấp sau này rất đơn giản — hãy xem xét kế hoạch Tiêu chuẩn nếu bạn muốn loại bỏ phần mềm độc hại tự động và tùy chọn danh sách đen/trắng IP tùy chỉnh, hoặc kế hoạch Pro cho báo cáo bảo mật hàng tháng, vá ảo lỗ hổng tự động và hỗ trợ cao cấp.

Lời cuối — hành động ngay bây giờ, sau đó kiểm tra

Sự tiết lộ LFI của Bookory này là một lời nhắc nhở kịp thời rằng các giao diện và plugin của bên thứ ba là một bề mặt tấn công quan trọng. Các bước bạn thực hiện trong 24 giờ tới rất quan trọng:

Cập nhật giao diện lên 2.2.8 (hoặc mới hơn) — hành động quan trọng nhất.
Triển khai các quy tắc WAF ngắn hạn / bản vá ảo trong khi bạn cập nhật.
Kiểm tra người dùng và thông tin xác thực, sau đó củng cố trang web.

Nếu bạn chạy nhiều trang web, hãy tự động hóa các kiểm tra này: kiểm kê phiên bản theme/plugin, áp dụng cập nhật một cách tập trung, và sử dụng WAF được quản lý để bạn có thể triển khai bảo vệ mục tiêu ngay lập tức khi có lỗ hổng mới được công bố.

Nếu bạn không chắc chắn về bất kỳ bước nào — hoặc muốn chúng tôi quản lý bảo vệ khẩn cấp và phân tích pháp y cho bạn — đội ngũ WP‑Firewall của chúng tôi sẵn sàng giúp đỡ. Đăng ký gói miễn phí để nhận bảo vệ thiết yếu ngay lập tức, sau đó hãy xem xét các gói trả phí của chúng tôi cho việc gỡ bỏ tự động, vá ảo và hỗ trợ tận tâm.

Tài liệu tham khảo và đọc thêm

CVE‑2025‑68530 — Chủ đề Bookory Bao gồm Tệp Địa phương (lỗ hổng được công bố công khai)
Tài liệu củng cố WordPress (chính thức): hướng dẫn về quyền tệp, DISALLOW_FILE_EDIT và vai trò người dùng
OWASP: Hướng dẫn giảm thiểu Bao gồm Tệp Địa phương và tiết lộ tệp

(Nếu bạn thích sự trợ giúp trực tiếp: hãy liên hệ với nhà cung cấp dịch vụ lưu trữ của bạn hoặc một đối tác bảo mật đáng tin cậy để hỗ trợ việc vá lỗi, triển khai quy tắc WAF và đánh giá bảo mật sau khi cập nhật.)

Lỗ hổng Bao gồm Tập tin Địa phương trong Chủ đề Bookory//Xuất bản vào 2026-01-05//CVE-2025-68530

Lỗ hổng Bao gồm Tệp Địa phương trong Giao diện WordPress Bookory (CVE-2025-68530) — Những gì chủ sở hữu trang web cần biết và làm ngay bây giờ

Tóm tắt điều hành

Bao gồm Tập tin Địa phương (LFI) là gì?

Tại sao vấn đề Bookory này lại nghiêm trọng (ngay cả khi được gán nhãn “ưu tiên thấp”)

Ai nên quan tâm?

Hành động ngay lập tức (0–24 giờ)

Các quy tắc WAF / vá ảo được khuyến nghị (ví dụ)

Ví dụ Apache ModSecurity (khái niệm — điều chỉnh cho môi trường của bạn):

Nginx (sử dụng ngx_http_rewrite_module hoặc sản phẩm WAF) quy tắc khái niệm:

Các mẫu phòng thủ chính cần xem xét:

Phát hiện và điều tra

Nếu bạn tìm thấy bằng chứng về việc khai thác — phản ứng sự cố

Tăng cường bảo mật và phòng ngừa lâu dài

Tại sao WAF và vá ảo lại quan trọng

Quy tắc phát hiện & gợi ý giám sát (SIEM / Splunk / Ghi nhật ký đám mây)

Truyền đạt rủi ro đến các bên liên quan không kỹ thuật

Danh sách kiểm tra — Ngay lập tức, Ngắn hạn và Trung hạn

Những câu hỏi thường gặp

Mới: Bảo mật trang web của bạn hôm nay với kế hoạch bảo vệ miễn phí của WP‑Firewall

Tiêu đề: Nhận bảo vệ thiết yếu, luôn hoạt động cho trang WordPress của bạn — miễn phí

Lời cuối — hành động ngay bây giờ, sau đó kiểm tra

Tài liệu tham khảo và đọc thêm

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Lỗ hổng Bao gồm Tập tin Địa phương trong Chủ đề Bookory//Xuất bản vào 2026-01-05//CVE-2025-68530

Lỗ hổng Bao gồm Tệp Địa phương trong Giao diện WordPress Bookory (CVE-2025-68530) — Những gì chủ sở hữu trang web cần biết và làm ngay bây giờ

Tóm tắt điều hành

Bao gồm Tập tin Địa phương (LFI) là gì?

Tại sao vấn đề Bookory này lại nghiêm trọng (ngay cả khi được gán nhãn “ưu tiên thấp”)

Ai nên quan tâm?

Hành động ngay lập tức (0–24 giờ)

Các quy tắc WAF / vá ảo được khuyến nghị (ví dụ)

Ví dụ Apache ModSecurity (khái niệm — điều chỉnh cho môi trường của bạn):

Nginx (sử dụng ngx_http_rewrite_module hoặc sản phẩm WAF) quy tắc khái niệm:

Các mẫu phòng thủ chính cần xem xét:

Phát hiện và điều tra

Nếu bạn tìm thấy bằng chứng về việc khai thác — phản ứng sự cố

Tăng cường bảo mật và phòng ngừa lâu dài

Tại sao WAF và vá ảo lại quan trọng

Quy tắc phát hiện & gợi ý giám sát (SIEM / Splunk / Ghi nhật ký đám mây)

Truyền đạt rủi ro đến các bên liên quan không kỹ thuật

Danh sách kiểm tra — Ngay lập tức, Ngắn hạn và Trung hạn

Những câu hỏi thường gặp

Mới: Bảo mật trang web của bạn hôm nay với kế hoạch bảo vệ miễn phí của WP‑Firewall

Tiêu đề: Nhận bảo vệ thiết yếu, luôn hoạt động cho trang WordPress của bạn — miễn phí

Lời cuối — hành động ngay bây giờ, sau đó kiểm tra

Tài liệu tham khảo và đọc thêm

Nhận WP Security Weekly miễn phí 👋Đăng ký ngay!!

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!