Tên plugin	Đánh giá Sao
Loại lỗ hổng	Kiểm soát truy cập bị hỏng
Số CVE	CVE-2026-4301
Tính cấp bách	Thấp
Ngày xuất bản CVE	2026-05-12
URL nguồn	CVE-2026-4301

Lỗi kiểm soát truy cập trong “Đánh giá Sao” (<= 1.6.4): Những gì chủ sở hữu trang web cần làm ngay bây giờ

Bởi Đội bảo mật WP‑Firewall | 2026-05-12 | Thẻ: WordPress, WAF, Lỗ hổng, Kiểm soát truy cập bị hỏng, Bảo mật Plugin

---

Bản tóm tắt

Một lỗ hổng kiểm soát truy cập bị hỏng ảnh hưởng đến plugin “Đánh giá Sao” (các phiên bản ≤ 1.6.4) cho phép người dùng đã xác thực với quyền hạn cấp Đăng ký kích hoạt một điểm cuối AJAX có thể dẫn đến việc sửa đổi bài viết tùy ý. Bài viết này giải thích chi tiết kỹ thuật, đánh giá rủi ro, chỉ báo phát hiện, biện pháp giảm thiểu thực tiễn (bao gồm vá ảo thông qua WAF) và hướng dẫn cho nhà phát triển để khắc phục vĩnh viễn vấn đề.

---

Mục lục

• Tổng quan: điều gì đã xảy ra và tại sao nó quan trọng
• Phân tích kỹ thuật: tại sao đây là kiểm soát truy cập bị hỏng
• Kịch bản khai thác và tác động
• Cách kiểm tra xem trang của bạn có bị ảnh hưởng hay không
• Các bước giảm thiểu ngay lập tức (dành cho chủ sở hữu trang)
• Vá ảo / Chữ ký WAF được khuyến nghị
• Vá mã an toàn ngắn hạn (mu-plugin)
• Các biện pháp khắc phục lâu dài cho tác giả plugin
• Danh sách kiểm tra tăng cường và giám sát
• WP‑Firewall: kế hoạch bảo vệ miễn phí — bắt đầu ngay (mới)
• Kết luận và tài nguyên

---

Tổng quan: điều gì đã xảy ra và tại sao nó quan trọng

Một thông báo gần đây đã xác định một điểm yếu kiểm soát truy cập bị hỏng trong một plugin đánh giá/xếp hạng WordPress phổ biến. Nói ngắn gọn, một trình xử lý AJAX được plugin công khai chấp nhận các yêu cầu từ người dùng đã xác thực (bao gồm cả người dùng vai trò Đăng ký) mà không thực hiện kiểm tra ủy quyền và nonce đúng cách. Bởi vì trình xử lý sửa đổi dữ liệu bài viết, những kẻ tấn công có thể đăng nhập bằng tài khoản có quyền hạn thấp — hoặc lạm dụng một tài khoản Đăng ký đã bị xâm phạm — có thể thay đổi nội dung hoặc siêu dữ liệu bài viết mà họ không nên chạm vào.

Tại sao điều này lại quan trọng:

• Kiểm soát truy cập bị hỏng là một con đường phổ biến dẫn đến việc nâng cao quyền hạn và làm giả nội dung.
• Bề mặt tấn công rất lớn: bất kỳ trang web nào có phiên bản plugin bị ảnh hưởng được cài đặt và có tài khoản người dùng hoặc đăng ký được kích hoạt đều có nguy cơ.
• Các công cụ quét tự động và những kẻ tấn công cơ hội thường nhắm vào các điểm cuối AJAX (admin-ajax.php / các điểm cuối REST) vì chúng dễ tiếp cận và thường thiếu kiểm tra khả năng đúng cách.
• Mặc dù vai trò bị ảnh hưởng là “Đăng ký”, nhưng kết quả (sửa đổi bài viết tùy ý) có thể gây hại cho SEO, lòng tin của người dùng, quy trình kinh doanh, và trong một số trường hợp dẫn đến các xâm phạm thêm.

Bài viết này giải thích chính xác những gì cần tìm và cách bảo vệ trang web của bạn — cả ngay lập tức và lâu dài.

---

Phân tích kỹ thuật: tại sao đây là kiểm soát truy cập bị hỏng

Ở mức độ cao, lỗ hổng phát sinh từ ba lỗi lập trình phổ biến trong các trình xử lý AJAX của plugin WordPress:

1. Kiểm tra khả năng còn thiếu
   • Trình xử lý chấp nhận các yêu cầu và xử lý các sửa đổi đối với nội dung bài viết hoặc postmeta nhưng không bao giờ xác minh xem người dùng yêu cầu có khả năng cần thiết để sửa đổi bài viết mục tiêu hay không (ví dụ, chỉnh sửa_bài_viết khả năng).
2. Thiếu hoặc xác minh nonce không đúng
   • Nonces (thông qua check_ajax_referer hoặc wp_verify_nonce) đảm bảo rằng các yêu cầu xuất phát từ một trang hợp lệ hoặc phiên người dùng. Nếu trình xử lý không xác minh nonce hoặc sử dụng một luồng nonce có thể dự đoán/không hợp lệ, kẻ tấn công có thể giả mạo các yêu cầu từ các ngữ cảnh tùy ý.
3. Tin tưởng mù quáng vào các định danh do người dùng cung cấp
   • Trình xử lý tin tưởng các tham số POST/GET như post_id, meta_key, meta_value, v.v., mà không kiểm tra kiểu, làm sạch, hoặc hạn chế phạm vi sửa đổi.

Kết hợp lại, những vấn đề này cho phép một kẻ tấn công có thể xác thực với tư cách là một Người đăng ký kích hoạt hành động của plugin (thường thông qua admin-ajax.php hoặc một điểm cuối REST) và thay đổi các bài viết mà họ không sở hữu. Vấn đề là “kiểm soát truy cập bị hỏng” vì mã không thực thi các quy tắc ủy quyền đúng liên quan đến hành động đang được thực hiện.

Các điều khiển WordPress quan trọng mà lẽ ra nên được sử dụng

• check_ajax_referer('expected_action_nonce', 'nonce_field', true) (hoặc wp_verify_nonce)
• current_user_can( 'edit_post', $post_id ) hoặc kiểm tra khả năng chi tiết hơn
• Làm sạch và thoát đúng tất cả các đầu vào được sử dụng cho các hoạt động DB hoặc tệp

---

Kịch bản khai thác và tác động

Đường dẫn khai thác điển hình (mức cao, không có mã khai thác từng bước):

1. Kẻ tấn công đăng ký một tài khoản (nếu việc đăng ký được phép) hoặc xâm phạm một tài khoản Người đăng ký hiện có.
2. Kẻ tấn công tạo một yêu cầu HTTP đến admin-ajax.php (hoặc đường dẫn AJAX của plugin), thiết lập tham số hành động cụ thể của plugin kích hoạt trình xử lý dễ bị tổn thương.
3. Trình xử lý thực thi, nhận các tham số như post_id, nội dung mới, hoặc siêu dữ liệu, và áp dụng những thay đổi đó vào các hàng cơ sở dữ liệu bài viết mà không xác minh quyền của người dùng để làm như vậy.
4. Kẻ tấn công sửa đổi các bài viết (nội dung, trạng thái, tác giả, meta), chèn spam hoặc liên kết độc hại, hoặc làm hỏng dữ liệu trang web.

Các tác động có thể xảy ra:

• Can thiệp nội dung: thay đổi các bài viết/trang đã xuất bản, chèn spam hoặc liên kết lừa đảo.
• Thiệt hại danh tiếng: hình phạt SEO, sự thiếu tin tưởng của người dùng, mất doanh thu.
• Tăng quyền gián tiếp: các bài viết hoặc meta đã được chỉnh sửa có thể ẩn giấu cửa hậu hoặc tạo điều kiện cho việc nâng cao quyền hạn hơn nữa.
• Gián đoạn quy trình làm việc kinh doanh: mô tả sản phẩm, giá cả hoặc nội dung liên quan đến đơn hàng đã bị thay đổi.

Đánh giá mức độ nghiêm trọng

• Điểm số giống như CVSS trong các báo cáo công khai xếp loại lỗ hổng này là “thấp đến trung bình” vì điều kiện tiên quyết là truy cập đã được xác thực. Tuy nhiên, nhiều trang web cho phép đăng ký người dùng, và quyền truy cập của Người đăng ký là phổ biến — điều này làm tăng rủi ro trong thực tế. Xem đây là ưu tiên cao cho các trang web công khai có đăng ký hoặc nơi có tài khoản Người đăng ký.

---

Cách kiểm tra xem trang của bạn có bị ảnh hưởng hay không

1. Xác định plugin và phiên bản
   • Từ WP Admin → Plugins, kiểm tra phiên bản đã cài đặt của plugin “Rate Star Review”. Nếu phiên bản là ≤ 1.6.4 thì trang web có thể bị tổn thương.
   • Nếu bạn có quyền truy cập shell, sử dụng WP-CLI:

     wp plugin get rate-star-review --field=version

2. Tìm kiếm tên hành động AJAX của plugin
   • Xem xét mã nguồn của plugin cho add_action( 'wp_ajax_*' ) hoặc add_action( 'wp_ajax_nopriv_*' ) mục nhập.
   • Tìm kiếm các chuỗi hành động có khả năng trong các tệp plugin (ví dụ: “vote”, “ajax_vote”, “vote_ajax_reviews”, “rate_vote”).
3. Kiểm tra nhật ký truy cập cho các yêu cầu đáng ngờ
   • Tìm kiếm nhật ký truy cập máy chủ web cho các yêu cầu đến admin-ajax.php hoặc các điểm cuối REST của plugin chứa tham số hành động hoặc các POST đáng ngờ:

     grep 'admin-ajax.php' /var/log/nginx/access.log | grep -i 'vote'

   • Tìm kiếm các yêu cầu lặp lại từ cùng một địa chỉ IP, hoặc các yêu cầu từ các tài khoản người dùng đã biết tương ứng với dấu thời gian sửa đổi bài viết đáng ngờ.
4. Kiểm tra các phiên bản bài viết gần đây và tác giả
   • Kiểm tra lịch sử sửa đổi và ngày sửa đổi cuối cùng cho các bài viết:

     wp post list --post_type=post --format=csv --fields=ID,post_title,post_modified,post_modified_gmt

   • Nếu nội dung bài viết thay đổi một cách bất ngờ, hãy xem xét các phiên bản qua trình chỉnh sửa WP Admin.
5. Kiểm tra cơ sở dữ liệu để tìm siêu dữ liệu bất thường
   • Tìm kiếm những thay đổi đột ngột đối với postmeta hoặc các khóa tùy chỉnh được thêm bởi plugin.
6. Xem xét các tài khoản có vai trò Người đăng ký
   • Liệt kê người dùng có vai trò Người đăng ký và tìm kiếm các tài khoản hoặc đăng ký đáng ngờ.
7. Quét phần mềm độc hại
   • Chạy một trình quét phần mềm độc hại đáng tin cậy (plugin hoặc dựa trên máy chủ) để kiểm tra mã được chèn hoặc các tệp đáng ngờ.

---

Các bước giảm thiểu ngay lập tức (dành cho chủ sở hữu trang)

Nếu trang web của bạn sử dụng phiên bản plugin bị ảnh hưởng, hãy thực hiện các hành động sau ngay lập tức. Thực hiện theo thứ tự tốc độ/tác động:

1. Cập nhật plugin nếu có phiên bản đã được sửa lỗi
   • Nếu tác giả plugin phát hành bản sửa lỗi, hãy cập nhật ngay lập tức. Luôn xác nhận cập nhật qua WP Admin hoặc WP-CLI:

     wp plugin cập nhật rate-star-review

2. Nếu không có bản vá, tạm thời vô hiệu hóa plugin.
   • Vô hiệu hóa plugin từ WP Admin hoặc qua WP-CLI:

     wp plugin vô hiệu hóa rate-star-review

   • Việc vô hiệu hóa sẽ loại bỏ bề mặt tấn công nhưng có thể làm mất chức năng; cân nhắc nhu cầu kinh doanh.
3. Thực thi các quy tắc đăng ký mạnh mẽ hơn
   • Tạm thời vô hiệu hóa đăng ký công khai nếu bạn không cần (Cài đặt → Chung → Thành viên).
   • Yêu cầu xác minh email hoặc phê duyệt thủ công cho các đăng ký.
4. Yêu cầu đặt lại mật khẩu cho các tài khoản có quyền hạn thấp
   • Nếu bạn nghi ngờ có hành vi lạm dụng, yêu cầu đặt lại mật khẩu hoặc xóa các tài khoản đáng ngờ.
5. Bản vá ảo qua WAF
   • Áp dụng quy tắc WAF để chặn các yêu cầu đến hành động AJAX dễ bị tổn thương trừ khi có nonce hợp lệ, hoặc chặn hoàn toàn hành động đó. Xem các gợi ý chữ ký WAF bên dưới.
6. Áp dụng mu-plugin guard (sửa lỗi mã ngắn hạn)
   • Cài đặt một mu-plugin nhỏ (plugin phải sử dụng) chặn các yêu cầu AJAX cho hành động của plugin và thực thi kiểm tra nonce và khả năng (ví dụ được bao gồm bên dưới).
7. Giám sát nhật ký và quay lại nếu cần thiết
   • Nếu bạn phát hiện thay đổi độc hại, khôi phục từ một bản sao lưu sạch được thực hiện trước khi bị xâm phạm. Giữ nhật ký cho điều tra.
8. Thông báo cho các bên liên quan
   • Nếu nội dung bị sửa đổi, công bố một tuyên bố ngắn gọn nếu dữ liệu khách hàng hoặc nội dung nhạy cảm bị ảnh hưởng.

Ghi chú: Đừng áp dụng mù quáng các PoC khai thác công khai; những điều đó có thể gây hại. Tập trung vào phát hiện, kiểm soát và vá lỗi.

---

Vá ảo / Chữ ký WAF được khuyến nghị

Tường lửa ứng dụng web (WAF) có thể cung cấp một bản vá ảo hiệu quả trong khi chờ đợi bản sửa lỗi từ nhà cung cấp. Dưới đây là các chữ ký an toàn, cấp cao để chặn hoặc giám sát mẫu tấn công. Điều chỉnh theo cú pháp WAF của bạn.

Ngữ nghĩa quy tắc cấp cao:

• Chặn hoặc thách thức các yêu cầu đến admin-ajax.php khi:
  • tham số hành động bằng với điểm cuối bỏ phiếu của plugin (ví dụ, "bình_chọn_ajax_đánh_giá" hoặc "đánh_giá_sao_bình_chọn") VÀ
  • yêu cầu không có tiêu đề hoặc cookie nonce WordPress hợp lệ (X-WP-Nonce hoặc X-XSRF-TOKEN) VÀ/HOẶC
  • yêu cầu xuất phát từ một địa chỉ IP có khối lượng bất thường.

Ví dụ quy tắc giống ModSecurity (mã giả — điều chỉnh theo nền tảng của bạn):

# Chặn hành động bỏ phiếu admin-ajax mà không có nonce WP"

Thay thế: Chặn tất cả các POST đến admin-ajax.php với hành động mục tiêu trừ khi có tiêu đề hoặc nonce tham chiếu cụ thể. Hãy cẩn thận: chặn admin-ajax.php toàn cầu có thể làm hỏng các plugin khác; giới hạn quy tắc cho hành động chính xác.

Chữ ký giám sát (chỉ ghi nhật ký):

• Ghi lại các yêu cầu phù hợp với hành động và nơi current_user là Người đăng ký (nếu có) hoặc thiếu tiêu đề nonce; tăng cường nếu nhiều sự kiện xảy ra từ cùng một IP.

Giới hạn tỷ lệ:

• Thực hiện giới hạn tỷ lệ yêu cầu trên các điểm cuối hành động mục tiêu để giảm lạm dụng.

Lưu ý: WAF cũng có thể được điều chỉnh để trả về thách thức CAPTCHA hoặc 401. Chọn tùy chọn ít gây rối nhất mà vẫn chặn lưu lượng tự động độc hại.

---

Vá mã an toàn ngắn hạn (mu-plugin)

Nếu bạn không thể ngay lập tức cập nhật hoặc vô hiệu hóa plugin, hãy tạo một plugin nhỏ phải sử dụng (mu-plugin) để xác thực các yêu cầu trước khi trình xử lý dễ bị tổn thương chạy. Đây là một bản vá ảo tạm thời thực thi kiểm tra nonce + khả năng.

Tạo tệp wp-content/mu-plugins/wpfw-ajax-guard.php và dán:

<?php <= 0 ) {

Ghi chú:

• Mã này là bảo thủ: nó chặn các yêu cầu mà nonce bị thiếu/không hợp lệ hoặc nơi người dùng không thể chỉnh sửa bài viết mục tiêu. Điều chỉnh nonces/kiểm tra để phù hợp với triển khai của plugin của bạn nếu bạn biết chúng.
• Bởi vì đây là một mu-plugin, nó chạy sớm và không thể bị vô hiệu hóa qua giao diện quản trị — điều này hữu ích cho các biện pháp bảo vệ khẩn cấp.
• Xóa mu-plugin khi nhà cung cấp plugin phát hành một bản sửa chữa thích hợp, hoặc thay thế nó bằng một triển khai khả năng thích hợp trong mã plugin.

---

Các biện pháp sửa chữa lâu dài và hướng dẫn cho nhà phát triển

Nếu bạn là một nhà phát triển plugin (hoặc báo cáo cho tác giả plugin), đây là những thay đổi cụ thể cần được áp dụng để ngăn chặn kiểm soát truy cập bị hỏng:

1. Không bao giờ tin tưởng một người dùng đã xác thực một cách mù quáng
   • Luôn kiểm tra khả năng cho bất kỳ hành động nào thay đổi bài viết hoặc dữ liệu trang web. Sử dụng current_user_can( 'edit_post', $post_id ) hoặc một khả năng hạn chế hơn.
2. Xác thực nonce một cách chính xác
   • Sử dụng check_ajax_referer( 'action_nonce_name', 'nonce_field', true ) bên trong các trình xử lý AJAX.
   • Đối với các điểm cuối REST, sử dụng permission_callback các hàm xác thực khả năng và nonce/token.
3. Vệ sinh và xác thực tất cả các đầu vào
   • Xem xét post_id dưới dạng số nguyên (absint hoặc intval), làm sạch chuỗi, và xác thực các khóa/giá trị meta được phép để đảm bảo chỉ có các cập nhật được phép.
4. Sử dụng các câu lệnh đã chuẩn bị hoặc API của WordPress
   • Khi tương tác với DB, ưu tiên các hàm WP (wp_insert_post, update_post_meta) và làm sạch trước khi chèn.
5. Nguyên tắc đặc quyền tối thiểu
   • Tránh cung cấp chức năng cho phép người dùng có quyền hạn thấp sửa đổi nội dung trừ khi có một trường hợp kinh doanh nghiêm ngặt và được tài liệu hóa rõ ràng cùng với xác thực chặt chẽ.
6. Các bài kiểm tra đơn vị và các bài kiểm tra tích hợp
   • Thêm các bài kiểm tra đảm bảo rằng vai trò Người đăng ký và Người đóng góp không thể thực hiện các hành động chỉ dành cho quyền cao hơn.
7. Xem xét mã bảo mật
   • Thêm một bước SAST tự động hoặc xem xét thủ công cho các hành động phơi bày admin-ajax hoặc các điểm cuối REST.
8. Tiết lộ và vá lỗi có trách nhiệm
   • Khi một bản sửa lỗi đã sẵn sàng, hãy tuân theo thời gian tiết lộ, thông báo cho người dùng và cung cấp hướng dẫn cập nhật rõ ràng.

---

Danh sách kiểm tra tăng cường và giám sát

Đối với tất cả các trang WordPress, hãy xem xét các cải tiến tư thế sau để giảm thiểu sự phơi bày với lỗ hổng này và tương tự:

Tăng cường bảo mật

• Cập nhật lõi, chủ đề và plugin của WordPress.
• Giới hạn đăng ký người dùng; nếu bạn phải cho phép đăng ký mở, hãy sử dụng xác minh email và ngăn chặn spam hiệu quả (reCAPTCHA, honeypots).
• Đặt quyền tệp ở mức cơ bản an toàn. Xóa quyền ghi cho các thư mục không cần thiết.
• Thực thi mật khẩu mạnh và sử dụng xác thực đa yếu tố cho bất kỳ tài khoản nào có quyền nâng cao.
• Hạn chế truy cập admin-ajax.php khi có thể (ví dụ: chặn các IP lạm dụng đã biết hoặc giới hạn tốc độ yêu cầu).

Sao lưu và phục hồi

• Duy trì sao lưu định kỳ, tách biệt và kiểm tra khôi phục. Nếu có sự thao tác nội dung, bạn có thể khôi phục nhanh chóng.

Phát hiện & giám sát

• Giám sát nhật ký truy cập và nhật ký hoạt động của quản trị viên. Theo dõi các POST đến admin-ajax.php với các hành động không nhận diện được.
• Ghi lại hoạt động WP REST và AJAX trong một SIEM hoặc máy chủ ghi nhật ký tập trung.
• Cấu hình cảnh báo cho các thay đổi nội dung hàng loạt hoặc số lượng lớn các bản sửa đổi bài viết.
• Quét định kỳ để phát hiện phần mềm độc hại và các thay đổi tệp không đều.

Phản ứng sự cố

• Chuẩn bị một kế hoạch sự cố: cách ly, bảo tồn nhật ký, khắc phục, thông báo cho các bên liên quan và khôi phục về trạng thái tốt đã biết.

---

Kế hoạch bảo vệ WP‑Firewall — Bắt đầu mạnh mẽ với Bảo vệ Cơ bản

Bắt đầu mạnh mẽ: Nhận Bảo vệ Cơ bản WP‑Firewall (Miễn phí) ngay hôm nay

Tại WP‑Firewall, chúng tôi hiểu rằng bảo mật cần phải thực tế và ngay lập tức. Nếu bạn muốn bảo vệ nhanh chóng, liên tục mà không phức tạp, hãy xem xét kế hoạch Cơ bản (Miễn phí) của chúng tôi. Nó bao gồm các biện pháp bảo vệ thiết yếu mà mọi trang WordPress nên có: một tường lửa được quản lý, băng thông không giới hạn cho bảo vệ, một Tường lửa Ứng dụng Web (WAF) tùy chỉnh, một trình quét phần mềm độc hại, và các biện pháp giảm thiểu cho 10 rủi ro hàng đầu của OWASP. Đây là một cách nhẹ nhàng để giảm thiểu đáng kể sự tiếp xúc với các lỗ hổng như mô tả ở đây — và dễ dàng kích hoạt.

So sánh các kế hoạch một cách ngắn gọn:

• Cơ bản (Miễn phí): Tường lửa được quản lý, băng thông không giới hạn, WAF, trình quét phần mềm độc hại, các biện pháp giảm thiểu OWASP Top 10.
• Tiêu chuẩn ($50/năm): Tất cả mọi thứ trong Cơ bản, cộng với việc loại bỏ phần mềm độc hại tự động và quản lý danh sách đen/trắng IP (tối đa 20 IP).
• Chuyên nghiệp ($299/năm): Tất cả các tính năng Tiêu chuẩn, cộng với báo cáo bảo mật hàng tháng, vá lỗi ảo tự động cho các lỗ hổng, và các tiện ích bổ sung cao cấp như Quản lý Tài khoản Đặc biệt và Dịch vụ Bảo mật Quản lý.

Đăng ký kế hoạch Cơ bản (Miễn phí) và bảo vệ trang WordPress của bạn ngay bây giờ:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

---

Kết luận và khuyến nghị cuối cùng

Lỗ hổng kiểm soát truy cập bị phá vỡ trong plugin đánh giá/nhận xét là một ví dụ điển hình về “thiếu ủy quyền” trong một trình xử lý AJAX — một sai lầm có thể tránh được với những hậu quả thực sự. Nếu bạn đang chạy phiên bản plugin bị ảnh hưởng, hãy hành động ngay:

1. Kiểm tra phiên bản plugin đã cài đặt của bạn. Nếu có lỗ hổng, hãy cập nhật ngay lập tức nếu có bản vá.
2. Nếu bản vá chưa có sẵn, hãy vô hiệu hóa plugin hoặc áp dụng một bản vá ảo (quy tắc WAF hoặc mu-plugin).
3. Kiểm tra các bài viết, phiên bản sửa đổi và tài khoản người dùng của bạn để tìm dấu hiệu bị can thiệp.
4. Áp dụng các khuyến nghị của nhà phát triển lâu dài nếu bạn duy trì các plugin hoặc mã tùy chỉnh.
5. Xem xét việc thêm một WAF được quản lý và các biện pháp bảo vệ phần mềm độc hại (kế hoạch miễn phí Cơ bản của chúng tôi hoặc tương đương) để giảm khả năng bị khai thác.

Nếu bạn cần giúp đỡ trong việc phân loại sự cố, tăng cường bảo mật cho trang của bạn, hoặc áp dụng một bản vá ảo nhanh chóng, đội ngũ WP‑Firewall sẵn sàng hỗ trợ. Bảo vệ WordPress là sự kết hợp giữa phân loại nhanh chóng và những thay đổi lâu dài có suy nghĩ — chúng tôi khuyên bạn nên áp dụng cả hai một cách khẩn cấp.

---

Tài nguyên bổ sung

• Tham chiếu CVE: CVE-2026-4301 (danh sách công khai)
• Sổ tay nhà phát triển WordPress: Bảo mật/Nonces
• Kiểm tra khả năng của WordPress: current_user_can và ví dụ edit_post

(Nếu bạn cần một biện pháp giảm thiểu khẩn cấp tùy chỉnh hoặc bạn muốn được giúp đỡ trong việc triển khai mu-plugin hoặc quy tắc WAF ở trên, hãy liên hệ với nhà cung cấp dịch vụ của bạn hoặc với đội ngũ hỗ trợ của chúng tôi để được hướng dẫn.)