
| Tên plugin | Plugin Composer Hybrid WordPress |
|---|---|
| Loại lỗ hổng | Lỗ hổng xác thực |
| Số CVE | CVE-2019-25738 |
| Tính cấp bách | Cao |
| Ngày xuất bản CVE | 2026-06-05 |
| URL nguồn | CVE-2019-25738 |
Khẩn cấp: Hybrid Composer (<= 1.4.6) Lỗi xác thực — Những gì chủ sở hữu trang WordPress phải làm ngay bây giờ
Bản tóm tắt
- Điểm yếu: Lỗi xác thực / Thay đổi cài đặt không xác thực trong plugin WordPress Hybrid Composer
- Các phiên bản bị ảnh hưởng: <= 1.4.6
- Đã vá trong: 1.4.7
- CVE: CVE-2019-25738
- CVSS: 9.8 (Nghiêm trọng / Cao)
- Quyền yêu cầu: Chưa xác thực (không cần đăng nhập)
- Rủi ro: Kẻ tấn công từ xa có thể thay đổi cài đặt plugin và có khả năng giành quyền kiểm soát cấp quản trị hoặc tạo cửa hậu cho một trang
Là một chuyên gia bảo mật WordPress tại WP-Firewall, tôi muốn cung cấp cho bạn một cái nhìn rõ ràng, thực tiễn, từng bước về lỗ hổng này: nó là gì, cách nó hoạt động, cách phát hiện khai thác, cách kiểm soát và phục hồi, và những biện pháp tăng cường lâu dài bạn nên áp dụng. Tôi cũng sẽ bao gồm các biện pháp giảm thiểu nhanh mà bạn có thể thực hiện nếu không thể ngay lập tức cập nhật plugin.
Đây là bài viết của một kỹ sư bảo mật WordPress thực thụ — không phải là nội dung tiếp thị. Nếu bạn quản lý các trang WordPress, hãy đọc ngay bây giờ và thực hiện các hành động được khuyến nghị.
Chuyện gì đã xảy ra (nói một cách đơn giản)
Plugin Hybrid Composer (các phiên bản lên đến và bao gồm 1.4.6) chứa một lỗ hổng vượt qua xác thực / lỗi xác thực (CVE-2019-25738). Nói ngắn gọn: một số điểm cuối của plugin cho phép các yêu cầu không xác thực thay đổi cài đặt plugin. Bởi vì những cài đặt đó có thể kiểm soát các hành vi được sử dụng bởi các quản trị viên, hoặc được sử dụng để duy trì một cấu hình độc hại, một kẻ tấn công từ xa không xác thực có thể khai thác điều này để thay đổi cấu hình trang, tạo cửa hậu, hoặc leo thang vào quyền truy cập quản trị đầy đủ.
Đây không phải là một lỗi nhỏ. Lỗ hổng này có thể bị khai thác một cách dễ dàng bởi các yêu cầu HTTP không xác thực và có điểm số CVSS là 9.8 — có nghĩa là nó cực kỳ khẩn cấp. Các kẻ tấn công thường xuyên quét internet để tìm các plugin có hồ sơ chính xác này và cố gắng khai thác hàng loạt.
Tại sao điều này lại nguy hiểm như vậy
- Không xác thực: Không cần tài khoản hoặc đăng nhập. Bất kỳ kẻ tấn công nào cũng có thể kích hoạt các yêu cầu.
- Thay đổi cài đặt là rất mạnh: Thay đổi cấu hình plugin có thể tạo ra hành vi độc hại kéo dài (chuyển hướng, rò rỉ dữ liệu, tạo tài khoản người dùng, kích hoạt đầu ra gỡ lỗi, chuyển đổi vượt qua xác thực).
- Thường được tự động hóa: Tội phạm biến những điều này thành bot quét và khai thác hàng ngàn trang.
- Tính bền vững & leo thang: Thay đổi cài đặt có thể được tận dụng để tạo tài khoản quản trị, chèn cửa hậu, hoặc tải mã từ xa.
Tóm tắt kỹ thuật (cách khai thác hoạt động)
- Một plugin tiết lộ một hành động quản trị (một điểm cuối, hành động AJAX, tuyến REST, hoặc tương tự) cập nhật cài đặt plugin.
- Điểm cuối không xác minh đúng rằng yêu cầu được thực hiện bởi một người dùng đã xác thực và được ủy quyền — thiếu kiểm tra khả năng (current_user_can()), thiếu kiểm tra nonce (wp_verify_nonce()), hoặc cả hai.
- Các kẻ tấn công gửi các yêu cầu POST/GET được chế tạo đến điểm cuối đó, chuyển đổi các tùy chọn hoặc chèn các giá trị tồn tại trong cơ sở dữ liệu (tùy chọn hoặc meta bài viết).
- Khi các tùy chọn được thay đổi, kẻ tấn công sử dụng các cài đặt mới đó để:
- Tiêm mã JavaScript/CSS hoặc tải trọng PHP,
- Thêm người dùng quản trị (nếu plugin hỗ trợ tạo người dùng hoặc tương tác với dữ liệu người dùng),
- Kích hoạt việc bao gồm tệp từ xa hoặc kết nối bên ngoài,
- Sửa đổi URL chuyển hướng (lừa đảo / đầu độc SEO),
- Duy trì một backdoor bằng cách chỉ định mã plugin tải một tập lệnh từ xa.
Chỉ số của sự xâm phạm (IoCs) — Những gì cần tìm kiếm ngay bây giờ
Nếu bạn chạy plugin Hybrid Composer (<= 1.4.6) trên bất kỳ trang nào, hãy kiểm tra ngay các dấu hiệu sau:
- Cài đặt plugin không mong đợi đã thay đổi (kiểm tra các trang cài đặt plugin và tùy chọn plugin trong
wp_tùy_chọnbảng). - Tài khoản quản trị hoặc biên tập viên mới không được tạo bởi một quản trị viên con người.
- Các tác vụ cron đã lên lịch đáng ngờ (các mục wp_cron) được tạo gần đây.
- Các sửa đổi tệp không mong đợi (đặc biệt trong
/wp-content/plugins/hybrid-composer/,/wp-content/tải lên/, hoặc các thư mục chủ đề). - Các tệp PHP mới trong wp-content/uploads hoặc các thư mục có thể ghi khác.
- Các kết nối ra ngoài không mong đợi từ trang (gọi đến các IP hoặc miền từ xa).
- Thay đổi trong hành vi của trang: chuyển hướng, cảnh báo phần mềm độc hại trong các công cụ tìm kiếm, email spam được gửi từ trang.
- Nhật ký lỗi tăng cao, các mục gỡ lỗi, hoặc thay đổi đột ngột trong việc sử dụng tài nguyên.
Các lệnh nhanh để giúp phân loại (chạy từ shell máy chủ nếu bạn có quyền truy cập):
- Tìm các tệp plugin đã thay đổi trong vòng X ngày qua:
find /path/to/site/wp-content/plugins/hybrid-composer -type f -mtime -14 -ls
- Liệt kê các tệp đã sửa đổi gần đây trên toàn trang:
tìm /path/to/site -type f -mtime -14 -ls
- Kiểm tra các người dùng quản trị được tạo gần đây (chạy trong WP-CLI):
wp user list --role=administrator --format=csv
Hành động ngay lập tức (giới hạn sự cố / phân loại)
Ưu tiên các hành động sau theo thứ tự. Nếu bạn quản lý nhiều trang, hãy phân loại các trang có rủi ro cao nhất (công khai, lưu lượng truy cập cao, thương mại điện tử) trước.
- Cập nhật plugin lên phiên bản đã được vá (1.4.7)
- Hành động an toàn nhất là cập nhật Hybrid Composer ngay lập tức.
- Nếu bạn có nhiều trang, hãy lập lịch cập nhật ngay lập tức và ưu tiên các trang bị lộ nhiều nhất.
- Nếu bạn không thể cập nhật ngay lập tức, hãy xóa hoặc vô hiệu hóa plugin
- Vô hiệu hóa plugin qua quản trị WordPress hoặc WP-CLI:
wp plugin deactivate hybrid-composer
- Nếu bạn không thể đăng nhập vào quản trị, hãy đổi tên thư mục plugin qua SFTP/SSH:
mv wp-content/plugins/hybrid-composer wp-content/plugins/hybrid-composer.disabled
- Vô hiệu hóa plugin qua quản trị WordPress hoặc WP-CLI:
- Đặt một quy tắc giảm thiểu tường lửa ứng dụng web (WAF)
- Chặn truy cập không xác thực đến các điểm cuối cài đặt của plugin.
- Chặn các yêu cầu POST đến các tuyến admin-ajax / REST cụ thể của plugin không yêu cầu xác thực.
- Giới hạn tỷ lệ yêu cầu đến các điểm cuối đó và chặn các IP đáng ngờ.
- Thay đổi thông tin xác thực và muối
- Đặt lại tất cả mật khẩu quản trị viên và bất kỳ tài khoản nào có quyền cao.
- Xoay vòng các muối và khóa WordPress trong
wp-config.php(tạo muối mới tại https://api.wordpress.org/secret-key/1.1/salt/). - Nếu bạn sử dụng thông tin xác thực hoặc khóa API chia sẻ trong cài đặt plugin, hãy thay đổi chúng.
- Kiểm tra các lỗ hổng và dọn dẹp
- Quét bằng trình quét phần mềm độc hại để tìm các tệp đã được chèn và mã đáng ngờ.
- Kiểm tra các thư mục chủ đề và plugin để tìm các tệp PHP không xác định.
- Ôn tập
wp_tùy_chọnbảng cho các giá trị đáng ngờ.
- Xem lại nhật ký và khôi phục nếu cần
- Kiểm tra nhật ký máy chủ web cho các yêu cầu đến các điểm cuối plugin và các tải trọng POST đáng ngờ.
- Nếu bạn phát hiện khai thác và có một bản sao lưu sạch gần đây, hãy khôi phục từ một bản sao lưu được thực hiện trước khi bị xâm phạm.
- Thông báo cho các bên liên quan
- Thông báo cho nhóm của bạn hoặc nhà cung cấp dịch vụ lưu trữ và đặt trang web ở chế độ bảo trì nếu cần trong khi bạn dọn dẹp.
Cách phát hiện lưu lượng khai thác (mạng & nhật ký)
Tìm kiếm nhật ký truy cập của bạn cho các cuộc gọi đáng ngờ đến các điểm cuối trông giống như các điểm cuối cài đặt plugin. Các mẫu ví dụ để tìm kiếm:
- POST yêu cầu tới
/wp-admin/admin-ajax.phpvới các tham số hành động phù hợp với các hành động cụ thể của plugin. - Yêu cầu POST/GET đến
/wp-json/*/*nơi mà đường dẫn REST bao gồm các định danh plugin. - Các yêu cầu đến các trang quản trị cụ thể của plugin, ví dụ.
/wp-admin/options-general.php?page=hybrid_composer_settings(ví dụ — kiểm tra slug trang thực tế của plugin của bạn). - Chuỗi tác nhân người dùng bất thường hoặc chuỗi yêu cầu lớn từ cùng một địa chỉ IP.
Ví dụ lệnh grep:
grep -i "admin-ajax.php" /var/log/apache2/access.log | grep "hybrid"
Liên kết thời gian của các yêu cầu đáng ngờ với các thay đổi trong các mục cơ sở dữ liệu (cập nhật tùy chọn) và thời gian tệp.
Các biện pháp giảm thiểu dựa trên WAF mà bạn có thể áp dụng ngay lập tức
Nếu bạn chạy một tường lửa ứng dụng web trước trang WordPress của mình (được khuyến nghị), hãy triển khai các quy tắc cụ thể để chặn các nỗ lực khai thác cho đến khi bạn có thể cập nhật plugin:
- Chặn các POST không xác thực đến các điểm cuối của plugin
- Từ chối các yêu cầu POST đến các điểm cuối quản trị cụ thể của plugin trừ khi có cookie xác thực WordPress hợp lệ hoặc nonce.
- Thực thi kiểm tra nonce và khả năng thông qua các chữ ký WAF
- Phát hiện các mẫu wpnonce bị thiếu hoặc nonce không hợp lệ và chặn những yêu cầu đó.
- Chặn các yêu cầu chứa các tham số nghi ngờ phổ biến trong API cài đặt của plugin
- Ví dụ: chặn các yêu cầu với tên tham số mà chỉ plugin chấp nhận (kiểm tra mã plugin của bạn để xác định những điều này).
- Giới hạn tỷ lệ các yêu cầu quá mức
- Nếu một IP đơn lẻ phát sinh hơn N yêu cầu đến các điểm cuối liên quan đến plugin trong khoảng thời gian ngắn, hãy chặn hoặc giảm tốc độ nó.
- Chặn hoặc thách thức (CAPTCHA) các IP / quốc gia nghi ngờ
- Tạm thời chặn các IP thực hiện các nỗ lực không xác thực.
- Bản vá ảo (quy tắc lập trình)
- Tạo một chữ ký WAF cụ thể chặn mẫu được sử dụng bởi các payload khai thác (ví dụ: hình dạng payload POST cụ thể, JSON với các khóa nhất định).
Những biện pháp này giảm thiểu rủi ro nhanh chóng và đáng kể, nhưng nên được sử dụng như một biện pháp tạm thời cho đến khi plugin được cập nhật hoàn toàn và trang web được dọn dẹp.
Hướng dẫn cho nhà phát triển — cách mà plugin nên được viết
Nếu bạn là một nhà phát triển plugin hoặc chịu trách nhiệm về mã, hãy đảm bảo:
- Luôn kiểm tra xác thực và khả năng
- Sử dụng
người dùng hiện tại có thể()để xác thực quyền cho bất kỳ hành động nào thay đổi cài đặt hoặc dữ liệu. - Ví dụ:
if ( ! current_user_can( 'manage_options' ) ) { wp_die( 'Quyền truy cập không đủ' ); }
- Sử dụng
- Luôn xác minh nonces cho các biểu mẫu gửi và các điểm cuối AJAX
- Sử dụng
check_admin_referer()hoặcwp_verify_nonce()
- Sử dụng
- Làm sạch và xác thực đầu vào
- Không bao giờ lưu trực tiếp đầu vào thô vào cơ sở dữ liệu mà không có sự làm sạch (
sanitize_text_field,esc_url_raw,wp_kses_post, vân vân.)
- Không bao giờ lưu trực tiếp đầu vào thô vào cơ sở dữ liệu mà không có sự làm sạch (
- Tránh việc công khai các điểm cuối nhạy cảm.
- Đặt các hành động AJAX chỉ dành cho quản trị viên sau các kiểm tra khả năng.
- Sử dụng các thực tiễn tốt nhất của REST API
- Khi công khai các tuyến REST, hãy sử dụng
permission_callbackđể xác thực khả năng người dùng và xác thực nonce hoặc cookie.
- Khi công khai các tuyến REST, hãy sử dụng
- Ghi lại các hoạt động đáng ngờ
- Ghi lại các nỗ lực cập nhật cài đặt mà không có xác thực hợp lệ để các sự cố có thể được điều tra.
Việc thực hiện các biện pháp kiểm soát này sẽ ngăn chặn một lớp lớn các lỗ hổng xác thực bị hỏng.
Danh sách kiểm tra phản ứng sự cố đầy đủ (chi tiết)
Sự ngăn chặn
- Ngay lập tức vô hiệu hóa plugin dễ bị tổn thương (hủy kích hoạt hoặc gỡ bỏ).
- Đưa trang web vào chế độ bảo trì.
- Áp dụng các quy tắc WAF để chặn truy cập công khai đến các điểm cuối nghi ngờ.
Tiêu diệt
- Đặt lại mật khẩu quản trị/người dùng và xoay vòng các khóa API.
- Tái tạo muối và khóa bí mật của WordPress.
- Quét tìm phần mềm độc hại và cửa hậu:
- Tìm kiếm các tệp PHP đã được sửa đổi gần đây hoặc mới được tạo.
- Kiểm tra các thư mục tải lên và plugin/theme.
- Dọn dẹp hoặc gỡ bỏ các tệp độc hại bằng tay hoặc từ các bản sao lưu.
Sự hồi phục
- Khôi phục từ một bản sao lưu sạch đã được xác minh nếu có.
- Cập nhật lõi WordPress, tất cả các plugin và theme lên các phiên bản được hỗ trợ mới nhất.
- Kích hoạt lại các plugin chỉ sau khi chúng đã được vá và bạn đã quét tìm các tệp độc hại.
Hậu sự cố
- Thực hiện phân tích nguyên nhân gốc và ghi lại thời gian.
- Củng cố cấu hình trang web (xem phần củng cố bên dưới).
- Xem xét phản ứng sự cố chuyên nghiệp nếu vi phạm nghiêm trọng (làm lộ dữ liệu, thay đổi quy mô lớn).
Các bước củng cố để giảm thiểu sự tiếp xúc (dài hạn).
- Giữ cho lõi WordPress, các plugin và chủ đề được cập nhật.
- Sử dụng mật khẩu mạnh, độc đáo cho tất cả các tài khoản quản trị và kích hoạt xác thực hai yếu tố (2FA).
- Giới hạn số lượng tài khoản quản trị và áp dụng quyền tối thiểu.
- Sử dụng WAF với khả năng vá ảo để chặn các lỗ hổng zero-day.
- Kích hoạt sao lưu tự động với lưu trữ ngoài máy chủ; kiểm tra quy trình khôi phục.
- Quét thường xuyên để phát hiện phần mềm độc hại và lỗ hổng.
- Giới hạn quyền truy cập tệp và thư mục (ví dụ: tệp 644, thư mục 755).
- Vô hiệu hóa XML-RPC nếu không cần thiết (hoặc hạn chế nó qua plugin).
- Sử dụng hosting an toàn (củng cố PHP, OpenSSL mới nhất, cài đặt bảo mật máy chủ web).
- Thiết lập HTTPS ở mọi nơi và đặt tiêu đề bảo mật (HSTS, CSP khi phù hợp).
- Giám sát nhật ký để phát hiện hành vi bất thường và thiết lập cảnh báo cho các mẫu đáng ngờ.
Nếu trang web của bạn đã bị xâm phạm — chi tiết hơn
Khi việc khai thác đã xảy ra, kẻ tấn công thường để lại nhiều cơ chế duy trì. Một quy trình dọn dẹp toàn diện bao gồm:
Kiểm tra cơ sở dữ liệu:
- Kiểm tra
wp_tùy_chọntìm kiếm các tùy chọn tự động tải lạ hoặc tải trọng đã tuần tự. - Kiểm tra
wp_người dùngtìm kiếm các tài khoản không xác định, vàwp_usermetacho các khả năng đã thay đổi.
Kiểm tra hệ thống tệp:
- Tìm kiếm PHP bị làm mờ, tệp trong
wp-content/tải lênvới phần mở rộng PHP, hoặc các tệp chủ đề đã chỉnh sửa (header.php,chức năng.php).
Công việc Cron:
- Kiểm tra các sự kiện đã lên lịch với WP-CLI:
danh sách sự kiện wp cron
Kết nối ra ngoài:
- Tìm kiếm mã sử dụng cURL/file_get_contents để gọi các miền từ xa.
Nhật ký:
- Xác định dấu thời gian của lỗ hổng và tìm kiếm nhật ký xung quanh thời điểm đó để tìm IP và nội dung yêu cầu.
Nếu bạn phát hiện dấu hiệu của sự xâm phạm sâu (xuất dữ liệu cơ sở, cửa hậu được cài đặt trên nhiều tệp), hãy đưa trang web ngoại tuyến và xem xét việc xây dựng lại từ một bản sao lưu sạch cộng với phục hồi dữ liệu sau khi cài đặt lại hoàn toàn.
Những gì chủ sở hữu trang web nên làm hôm nay (danh sách kiểm tra tóm tắt)
- Kiểm tra xem Hybrid Composer có được cài đặt và phiên bản nào.
- Nếu <= 1.4.6: cập nhật lên 1.4.7 ngay lập tức.
- Nếu bạn không thể cập nhật plugin ngay bây giờ: vô hiệu hóa hoặc gỡ bỏ nó.
- Thay đổi mật khẩu quản trị viên và muối WordPress.
- Quét trang web để tìm các thay đổi độc hại và tài khoản không được ủy quyền.
- Áp dụng quy tắc WAF để chặn truy cập không xác thực vào các điểm cuối của plugin.
- Xem xét nhật ký để tìm các yêu cầu đáng ngờ đến các điểm cuối của plugin.
- Xác minh các bản sao lưu và chuẩn bị cho việc phục hồi có thể xảy ra.
- Tăng cường bảo mật cho trang web (2FA, quyền tối thiểu, sao lưu, quét).
Tránh các lỗ hổng tương tự — giảm thiểu rủi ro cho các plugin
Tác giả và người duy trì plugin nên áp dụng quy trình phát triển ưu tiên bảo mật:
- Mô hình mối đe dọa cho các tính năng plugin thay đổi cấu hình hoặc dữ liệu người dùng.
- Xem xét mã với các kiểm tra cho:
- Kiểm tra năng lực
- Xác minh Nonce
- Xử lý và xác thực đầu vào đúng cách
- Phân tích tĩnh và kiểm tra bảo mật tự động bao phủ các lỗ hổng WordPress phổ biến (bỏ qua xác thực, XSS, SQLi).
- Quy trình công bố trách nhiệm công khai để các nhà nghiên cứu bảo mật có thể báo cáo vấn đề một cách an toàn.
Chủ sở hữu trang web nên ưu tiên các plugin có bảo trì tích cực, nhật ký thay đổi rõ ràng và một liên hệ bảo mật được tài liệu hóa.
Quy tắc WAF ví dụ (khái niệm) — để được điều chỉnh bởi nhà cung cấp của bạn
Lưu ý: Thích ứng với cú pháp của nhà cung cấp WAF của bạn. Đây là hướng dẫn khái niệm.
- Chặn các yêu cầu POST không xác thực đến điểm cuối cài đặt plugin:
NẾU request_method == POST VÀ request_uri CHỨA “/wp-admin/admin-ajax.php” VÀ request_body CHỨA “hybrid_composer” VÀ cookie KHÔNG CHỨA “wordpress_logged_in_” THÌ CHẶN. - Giới hạn tần suất các yêu cầu lặp lại nhắm vào các điểm cuối của plugin:
NẾU request_uri CHỨA “hybrid-composer” THÌ giới hạn xuống 5 req/phút cho mỗi IP. - Thách thức số lượng lớn các yêu cầu bằng CAPTCHA:
NẾU requests_to_endpoint > 50 mỗi phút TỪ cùng một IP THÌ trình bày CAPTCHA / chặn.
Sử dụng những điều này như các bản vá ảo tạm thời cho đến khi bạn có thể cập nhật.
Các câu hỏi thường gặp (câu trả lời ngắn)
H: Tôi có thể ở lại phiên bản plugin cũ nếu tôi hạn chế quyền truy cập của quản trị viên không?
Đ: Không. Hạn chế quyền truy cập của quản trị viên giúp nhưng không loại bỏ hoàn toàn rủi ro. Lỗ hổng là không xác thực; các vectơ khác vẫn có thể tiếp cận điểm cuối. Cập nhật plugin.
Q: WAF có bảo vệ tôi hoàn toàn không?
Đ: Một WAF giảm rủi ro và có thể cung cấp bảo vệ ngay lập tức; nó không phải là sự thay thế cho một bản vá bảo mật hoặc một trang web sạch. Sử dụng cả hai: bản vá và WAF.
H: Làm thế nào tôi có thể kiểm tra xem tôi đã bị khai thác chưa?
Đ: Kiểm tra các cài đặt plugin đã thay đổi, người dùng quản trị mới, các tệp không mong đợi và các mục nhật ký xung quanh thời gian các yêu cầu nghi ngờ được thực hiện. Nếu không chắc chắn, thực hiện quét pháp y hoặc tham khảo ý kiến của một người phản ứng sự cố.
Khuyến nghị của chuyên gia (hướng dẫn thực tiễn của tôi)
- Cập nhật Hybrid Composer lên 1.4.7 ngay lập tức trên tất cả các trang web. Đây là bản sửa lỗi hoàn chỉnh duy nhất.
- Nếu không thể cập nhật ngay lập tức, hãy vô hiệu hóa plugin và đặt các quy tắc WAF để chặn các mẫu khai thác đã biết.
- Thay đổi thông tin xác thực và kiểm tra dấu hiệu bị xâm phạm trước khi kích hoạt lại plugin.
- Thực hiện các biện pháp tăng cường bảo mật trang web sau khi khắc phục.
- Cân nhắc một giải pháp tường lửa quản lý liên tục có thể áp dụng các bản vá ảo và chặn lưu lượng khai thác ngay lập tức như một phần của các lớp phòng thủ.
Bảo vệ các trang web của bạn với Kế hoạch Miễn phí WP-Firewall — Bắt đầu bảo vệ ngay hôm nay.
Tiêu đề: Nhận bảo vệ thiết yếu ngay lập tức — Bắt đầu với Kế hoạch Miễn phí WP-Firewall
Chúng tôi hiểu sự cấp bách của việc bảo vệ các trang WordPress khỏi các lỗ hổng plugin di chuyển nhanh như thế này. Nếu bạn cần bảo vệ ngay lập tức, được quản lý trong khi cập nhật và dọn dẹp các trang, kế hoạch Cơ bản (Miễn phí) của WP-Firewall cung cấp cho bạn các biện pháp phòng thủ thiết yếu bao gồm tường lửa được quản lý, băng thông không giới hạn, WAF, quét phần mềm độc hại và giảm thiểu các rủi ro OWASP Top 10. Nó được thiết kế cho các chủ sở hữu trang web cần bảo vệ nhanh chóng, tự động mà không phức tạp. Đăng ký kế hoạch miễn phí ngay bây giờ và thêm một lớp bảo vệ để ngăn chặn lưu lượng khai thác trong khi bạn thực hiện cập nhật và phản ứng sự cố:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/
(Nếu bạn muốn tự động hóa bổ sung như vá lỗ hổng ảo tự động, loại bỏ phần mềm độc hại tự động và báo cáo bảo mật hàng tháng, các kế hoạch trả phí của chúng tôi có thể mở rộng để phù hợp với nhu cầu của bạn.)
Suy nghĩ kết thúc
Các lỗ hổng xác thực bị hỏng trong các plugin được sử dụng rộng rãi là một trong những vấn đề nguy hiểm nhất đối với các trang WordPress. Chúng dễ dàng bị kẻ tấn công phát hiện và khai thác trên quy mô lớn. Hành động tốt nhất duy nhất bạn có thể thực hiện ngay bây giờ: cập nhật plugin Hybrid Composer lên phiên bản đã được vá (1.4.7) trên mọi trang bạn quản lý. Nếu bạn không thể làm điều đó ngay lập tức, hãy vô hiệu hóa plugin và áp dụng các biện pháp giảm thiểu WAF như đã mô tả ở trên.
Nếu bạn cần giúp đỡ trong việc triển khai các quy tắc WAF, quét tìm sự xâm phạm, hoặc tăng cường nhiều trang trên quy mô lớn, WP-Firewall có thể giúp. Chúng tôi cung cấp các biện pháp bảo vệ tường lửa được quản lý và quét mà ngăn chặn các mẫu khai thác đã biết trong vòng vài phút, giúp bạn có không gian để cập nhật và dọn dẹp các trang một cách an toàn.
Nếu bạn cần một danh sách kiểm tra hoặc các ví dụ lệnh cụ thể phù hợp với môi trường của bạn (cPanel, Plesk, chỉ SSH, lưu trữ được quản lý), hãy trả lời với chi tiết về thiết lập của bạn và tôi sẽ cung cấp hướng dẫn cụ thể từng bước.
Giữ an toàn,
[Nhóm Bảo mật WP-Firewall]
Tài liệu tham khảo & đọc thêm
- CVE-2019-25738 (hồ sơ công khai)
- Tài liệu phát triển WordPress: nonces, quyền REST API và kiểm tra khả năng
- OWASP Top 10: Các lỗi xác định và xác thực
(Kết thúc bài viết)
