Tên plugin	JetEngine
Loại lỗ hổng	Tiêm SQL
Số CVE	CVE-2026-4662
Tính cấp bách	Cao
Ngày xuất bản CVE	2026-03-25
URL nguồn	CVE-2026-4662

Lỗ hổng SQL Injection nghiêm trọng trong JetEngine (<= 3.8.6.1): Những gì chủ sở hữu trang WordPress cần làm ngay bây giờ

Ngày: 25 tháng 3 năm 2026
Tác giả: Nhóm bảo mật WP-Firewall

Bản tóm tắt: Một lỗ hổng SQL injection không xác thực nghiêm trọng (CVE-2026-4662) đã được công bố trong plugin JetEngine ảnh hưởng đến các phiên bản lên đến và bao gồm 3.8.6.1. Lỗi này được kích hoạt thông qua filtered_query tham số và cho phép các kẻ tấn công từ xa, không xác thực tiêm SQL vào cơ sở dữ liệu của trang web của bạn. Bài viết này giải thích về lỗ hổng bằng những thuật ngữ đơn giản, tại sao nó lại nguy hiểm, cách phát hiện dấu hiệu khai thác, các biện pháp giảm thiểu ngay lập tức và lâu dài (bao gồm cả vá ảo WAF), và một danh sách kiểm tra phục hồi được chuẩn bị bởi các kỹ sư bảo mật của WP-Firewall.

---

Tại sao điều này quan trọng ngay bây giờ

• CVSS: 9.3 — Mức độ nghiêm trọng cao.
• Các phiên bản bị ảnh hưởng: JetEngine <= 3.8.6.1.
• Đã được vá trong: JetEngine 3.8.6.2.
• Quyền hạn yêu cầu: Không — không xác thực (bất kỳ ai cũng có thể thử).
• Vector tấn công: Một tham số công khai được sử dụng bởi các widget Listing Grid — filtered_query.

Bởi vì lỗi này có thể bị khai thác mà không cần xác thực và có thể tương tác với cơ sở dữ liệu của bạn, nó đại diện cho một rủi ro cao đối với bất kỳ trang nào sử dụng các phiên bản bị ảnh hưởng. Các trình quét tự động và bot sẽ cố gắng khai thác hàng loạt ngay sau khi công bố công khai. Nếu bạn chạy JetEngine trên trang WordPress của mình, hãy coi đây là khẩn cấp.

---

Điều gì đang xảy ra (tiếng Anh đơn giản)

SQL injection là một loại lỗi mà dữ liệu đầu vào do một khách truy cập web cung cấp cuối cùng được nhúng trực tiếp vào một truy vấn cơ sở dữ liệu mà không được làm sạch hoặc tham số hóa đúng cách. Khi một kẻ tấn công có thể kiểm soát đầu vào đó, họ có thể ảnh hưởng đến những gì cơ sở dữ liệu thực thi — từ việc đọc dữ liệu nhạy cảm (danh sách người dùng, email, mật khẩu đã băm) đến việc sửa đổi hoặc xóa bản ghi, hoặc thậm chí viết các cửa hậu vĩnh viễn.

Trong trường hợp cụ thể này, plugin đã chấp nhận dữ liệu thông qua filtered_query tham số được sử dụng bởi các thành phần Listing Grid. Bởi vì việc xác thực đầu vào là không đủ, một filtered_query có thể thao tác SQL mà plugin chạy trên cơ sở dữ liệu của trang web. Phần tồi tệ nhất: không cần đăng nhập hoặc quyền hạn khác để thử điều này.

---

Tác động tiềm tàng đối với các trang bị ảnh hưởng

Nếu bị khai thác thành công, các kẻ tấn công có thể:

• Trích xuất dữ liệu nhạy cảm của trang (tài khoản người dùng, email, nội dung riêng tư, v.v.).
• Tạo hoặc nâng cấp tài khoản (chèn người dùng quản trị).
• Chỉnh sửa nội dung trang web (thay đổi bài viết/trang).
• Tiêm dữ liệu độc hại hoặc cửa hậu vào cơ sở dữ liệu để tạo điều kiện cho việc truy cập liên tục.
• Xóa hoặc làm hỏng cơ sở dữ liệu.
• Đạt được quyền kiểm soát toàn bộ trang web khi kết hợp với các lỗ hổng khác (tải tệp lên, ghi tệp tùy ý hoặc tài khoản cấp quản trị).

Bởi vì lỗ hổng này không yêu cầu xác thực và tương đối dễ dàng để tự động hóa, nó là một ứng cử viên hàng đầu cho việc khai thác hàng loạt. Các trang web nhỏ và các trang web có lưu lượng truy cập cao đều có nguy cơ.

---

Cách mà kẻ tấn công thường khai thác những loại vấn đề này (khái niệm)

Kẻ tấn công thường tự động quét trên web để tìm các điểm cuối chấp nhận đầu vào và trả về kết quả. Khi họ gặp một tham số tương tác với cơ sở dữ liệu (tham số lọc, trường tìm kiếm, tham số yêu cầu API), họ kiểm tra hành vi SQL. Nếu phản hồi khác nhau khi các ký tự hoặc từ khóa SQL được bao gồm, điều đó có thể tiết lộ các điểm tiêm có thể khai thác. Từ đó, các công cụ tự động có thể liệt kê cấu trúc cơ sở dữ liệu và trích xuất dữ liệu.

Chúng tôi sẽ không công bố mã khai thác hoặc bằng chứng về khái niệm ở đây, nhưng hãy hiểu rằng rủi ro là có thật và ngay lập tức. Đối xử với các điểm cuối công khai chấp nhận dữ liệu truy vấn như nguy hiểm cho đến khi được vá.

---

Các hành động ngay lập tức bạn nên thực hiện (theo thứ tự ưu tiên)

1. Vá plugin ngay bây giờ
   • Cập nhật JetEngine lên phiên bản 3.8.6.2 hoặc mới hơn. Đây là bước quan trọng nhất.
   • Nếu bạn không thể cập nhật ngay lập tức (do yêu cầu staging/testing), hãy cam kết thực hiện cập nhật ngay khi có thể và làm theo các biện pháp giảm thiểu bên dưới trong khi bạn trì hoãn.
2. Áp dụng một bản vá ảo bằng cách sử dụng WAF của bạn (nếu bạn có một cái)
   • Sử dụng tường lửa của bạn để chặn hoặc làm sạch các yêu cầu bao gồm filtered_query đầu vào hoặc mẫu SQL nghi ngờ. Vá ảo ngăn chặn việc khai thác ngay cả khi plugin vẫn chưa được vá trong một thời gian ngắn.
   • Xem phần “hướng dẫn giảm thiểu WAF” bên dưới để biết các phương pháp quy tắc an toàn.
3. Tạm thời vô hiệu hóa tính năng bị ảnh hưởng
   • Nếu bạn có thể vô hiệu hóa Listing Grid hoặc bất kỳ chức năng nào chấp nhận một filtered_query tham số trên trang web công khai, hãy làm như vậy cho đến khi bạn vá.
   • Thay thế bất kỳ điểm cuối danh sách nào có thể truy cập công khai bằng các danh sách tĩnh hoặc các lựa chọn thay thế được máy chủ tạo nếu có thể.
4. Giám sát nhật ký và lưu lượng
   • Tìm kiếm máy chủ web, ứng dụng (WordPress) và nhật ký WAF cho các yêu cầu bao gồm filtered_query tham số và bất kỳ mã trạng thái (500s) hoặc thông báo lỗi bất thường nào.
   • Xác định và điều tra các bất thường: sự gia tăng đột ngột của các yêu cầu đến các điểm cuối danh sách, các yêu cầu lặp lại từ một dải IP duy nhất, hoặc các chuỗi truy vấn bất thường.
5. Sao lưu và chụp ảnh pháp y
   • Thực hiện sao lưu đầy đủ (tệp + cơ sở dữ liệu) trước và sau khi áp dụng các biện pháp giảm thiểu. Giữ các bản sao không thay đổi tách biệt khỏi môi trường sản xuất.
   • Nếu bạn nghi ngờ bị xâm phạm, hãy ghi lại nhật ký và danh sách tệp để phân tích sau.
6. Thay đổi khóa và mật khẩu nếu có khả năng bị xâm phạm
   • Nếu bạn tìm thấy bằng chứng về việc khai thác thành công, hãy thay đổi thông tin xác thực cơ sở dữ liệu, muối WordPress, khóa API và mật khẩu quản trị viên. Thực hiện điều này chỉ sau khi đã chụp ảnh pháp y.
7. Quét trang web để tìm các chỉ số của sự xâm phạm
   • Chạy quét phần mềm độc hại trên các tệp và cơ sở dữ liệu; tìm kiếm người dùng quản trị mới, tệp plugin/theme đã chỉnh sửa, hoặc các sự kiện đã lên lịch mới (công việc cron).
   • Kiểm tra các mục cơ sở dữ liệu đáng ngờ (người dùng quản trị ẩn, tùy chọn không mong đợi, bài viết spam).

---

Hướng dẫn giảm thiểu WAF (vá ảo)

Nếu bạn chạy một tường lửa ứng dụng web (WAF) — được quản lý hoặc dựa trên plugin — hãy áp dụng vá ảo để chặn các nỗ lực khai thác. Vá ảo nên được xếp lớp và bảo thủ đủ để tránh làm hỏng chức năng hợp pháp.

Các phương pháp phòng thủ được khuyến nghị (khái niệm; điều chỉnh theo ngôn ngữ quy tắc WAF của bạn):

• Chặn hoặc thách thức các yêu cầu chứa một filtered_query tham số với các ký tự điều khiển SQL hoặc từ khóa SQL.
  • Ví dụ về các mã thông báo cần coi là đáng ngờ (chỉ để phát hiện): ký tự hoặc chuỗi SQL đặc biệt như LỰA CHỌN, LIÊN ĐOÀN, CHÈN, CẬP NHẬT, XÓA BỎ, XÓA, --, #, /*, */. Lưu ý: quy tắc nên không phân biệt chữ hoa chữ thường và xem xét việc làm mờ.
• Giới hạn các ký tự, độ dài và định dạng được chấp nhận:
  • Nếu filtered_query được mong đợi chỉ chứa các ID số đơn giản, buộc nhập chỉ số.
  • Nếu nó mong đợi JSON, hãy thực thi loại nội dung JSON hợp lệ + kiểm tra phân tích.
• Áp dụng một quy tắc chặn cho bất kỳ yêu cầu nào bao gồm filtered_query như một tham số GET hoặc POST đến từ các phiên không xác thực nếu trường hợp sử dụng của bạn không yêu cầu truy cập ẩn danh công khai.
• Giới hạn tỷ lệ yêu cầu đến điểm cuối danh sách và giảm tốc độ yêu cầu lặp lại từ cùng một địa chỉ IP hoặc subnet.
• Để giảm thiểu khẩn cấp ngay lập tức, hãy chặn hoàn toàn các yêu cầu đến điểm cuối danh sách cụ thể tại WAF hoặc ở cấp độ máy chủ web trong khi bạn vá lỗi.

Quan trọng: Đừng loại bỏ chức năng hợp pháp nếu bạn phụ thuộc nhiều vào Listing Grid cho nội dung công khai. Thay vào đó, hãy ưu tiên các bản vá ảo có mục tiêu (chặn theo tham số, kiểm tra từ khóa) và thử nghiệm trong môi trường staging trước khi triển khai vào sản xuất.

Ví dụ về các khái niệm quy tắc WAF (không thể thực thi, mã giả):

• Nếu yêu cầu chứa tham số filtered_query VÀ giá trị tham số chứa các từ khóa/metacharacters SQL → chặn hoặc trình bày captcha/thách thức.
• Nếu yêu cầu chứa tham số filtered_query và yêu cầu xuất phát từ các tác nhân người dùng ẩn danh với tỷ lệ yêu cầu cao → chặn.
• Nếu đường dẫn yêu cầu khớp với các điểm cuối danh sách đã biết VÀ phương thức yêu cầu là GET/POST với filtered_query hiện có → thách thức.

Bởi vì ngôn ngữ quy tắc WAF khác nhau, khách hàng WP-Firewall có thể dựa vào bảng điều khiển quản lý của chúng tôi để triển khai một bản vá ảo tùy chỉnh nhanh chóng. Nếu bạn sử dụng WAF khác, hãy tham khảo nhà cung cấp của bạn về việc thêm các quy tắc tương đương.

---

Phát hiện: những gì cần tìm trong nhật ký và màn hình quản trị

Tìm kiếm dấu hiệu có thể chỉ ra các nỗ lực khai thác hoặc một cuộc tấn công thành công.

• Nhật ký máy chủ web/WAF:
  • Yêu cầu chứa filtered_query trong URL hoặc thân POST.
  • Các yêu cầu với các giá trị chuỗi truy vấn bất thường bao gồm các từ khóa SQL, dấu câu (dấu nháy đơn, dấu chấm phẩy).
  • Phản hồi HTTP 500 Lỗi Máy chủ Nội bộ từ điểm cuối (có thể chỉ ra các tải trọng gây ra lỗi DB).
  • Số lượng lớn yêu cầu đến các điểm cuối danh sách từ một tập hợp nhỏ các địa chỉ IP.
• Quản trị viên WordPress:
  • Người dùng quản trị mới mà bạn không tạo ra.
  • Thay đổi đối với các tùy chọn cốt lõi hoặc các tệp plugin/theme nghi ngờ.
  • Các tác vụ đã lên lịch (crons) mà bạn không nhận ra.
  • Thay đổi bất ngờ trong các bài viết hoặc trang (nội dung mới, nội dung đã chỉnh sửa).
• Cơ sở dữ liệu:
  • Các bảng mới hoặc các bản ghi bất ngờ.
  • Các hàng nghi ngờ trong wp_users, wp_options, wp_posts (mã backdoor được lưu trữ dưới dạng nội dung bài viết hoặc tùy chọn).
  • Quyền hạn người dùng bị thay đổi hoặc người dùng mới với vai trò cao.
• Hệ thống tập tin:
  • Các tệp PHP vừa được chỉnh sửa trong wp-content/uploads hoặc thư mục plugin/theme.
  • Các tệp PHP trong các thư mục tải lên.

Nếu bạn tìm thấy bằng chứng, cách ly trang web và tiếp tục với các bước phản ứng sự cố (xem các phần bên dưới).

---

Sau khi nghi ngờ bị xâm phạm: danh sách kiểm tra phục hồi

1. Cách ly trang web (đưa trang vào chế độ bảo trì; chặn lưu lượng nếu cần thiết).
2. Bảo tồn bằng chứng: sao chép nhật ký, bản sao lưu và bản sao cơ sở dữ liệu đến một vị trí an toàn ngoại tuyến.
3. Thực hiện quét malware kỹ lưỡng và kiểm tra tính toàn vẹn của tệp. So sánh với các bản sao sạch.
4. Loại bỏ backdoor (loại bỏ thủ công có rủi ro; ưu tiên phản ứng sự cố chuyên nghiệp nếu không chắc chắn).
5. Khôi phục từ một bản sao lưu sạch đã biết (nếu có) và sau đó vá plugin ngay lập tức.
6. Thay đổi tất cả thông tin đăng nhập: người dùng cơ sở dữ liệu, mật khẩu quản trị WordPress, khóa API, thông tin đăng nhập FTP/SFTP.
7. Thay thế muối WordPress trong wp-config.php.
8. Cập nhật WordPress core, tất cả các theme và plugin lên phiên bản mới nhất.
9. Tăng cường bảo mật: loại bỏ các plugin/theme không sử dụng, thiết lập quyền tệp đúng, vô hiệu hóa các tính năng không cần thiết (XML-RPC nếu không cần thiết).
10. Kích hoạt lại trang web với giám sát được bật và theo dõi sự xuất hiện lại của các chỉ số.
11. Xem xét hỗ trợ dọn dẹp chuyên nghiệp từ bên thứ ba nếu bạn thiếu chuyên môn nội bộ.

---

Tại sao bề mặt tấn công lại hấp dẫn đối với kẻ tấn công

Ba yếu tố khiến loại lỗ hổng này đặc biệt hấp dẫn:

1. Nhập không xác thực: Không cần đăng nhập, vì vậy cơ sở kẻ tấn công rất lớn.
2. Tương tác SQL: Truy cập trực tiếp vào cơ sở dữ liệu có thể mang lại một kho báu phong phú (email, mật khẩu đã băm, mã thông báo API).
3. Dấu chân plugin rộng rãi: JetEngine thường được sử dụng cho danh sách động; nhiều trang web sẽ lộ ra tham số dễ bị tổn thương.

Khi các lỗ hổng kết hợp ba yếu tố đó, quét và khai thác hàng loạt tự động thường theo sau khi công bố. Hành động nhanh chóng bảo vệ bạn khỏi các botnet tự động tìm kiếm chính xác những mẫu này.

---

Thực hành bảo mật lâu dài tốt nhất cho chủ sở hữu trang WordPress

Quản lý bản vá và WAF là quan trọng, nhưng bảo mật là có nhiều lớp. Áp dụng những thói quen này:

• Giữ mọi thứ được cập nhật: lõi, chủ đề và plugin. Sử dụng môi trường thử nghiệm để kiểm tra các bản cập nhật khi có thể.
• Giảm thiểu plugin: chỉ giữ những gì bạn cần. Mỗi plugin là một bề mặt tấn công bổ sung.
• Sử dụng WAF (quản lý hoặc dựa trên plugin) và giữ cho các quy tắc luôn cập nhật.
• Thực thi quyền tối thiểu cho người dùng cơ sở dữ liệu - tránh sử dụng tài khoản DB với quyền DROP hoặc quyền mạnh mẽ khác nếu không cần thiết.
• Củng cố trang web: mật khẩu mạnh, xác thực hai yếu tố cho quản trị viên, giới hạn số lần đăng nhập.
• Sử dụng sao lưu an toàn (ngoài site và không thể thay đổi), và kiểm tra khôi phục định kỳ.
• Giám sát nhật ký và thiết lập cảnh báo tự động cho các hoạt động đáng ngờ.
• Thực hành phát triển an toàn: luôn sử dụng các câu lệnh đã chuẩn bị và xác thực đầu vào đúng cách khi phát triển mã tùy chỉnh.

---

Các chỉ số của sự xâm phạm (IoCs) để tìm kiếm.

Tìm kiếm (nhưng không giới hạn) các mục sau trong nhật ký và nội dung:

• Các yêu cầu lặp lại với filtered_query tham số, đặc biệt là với các tải trọng đáng ngờ.
• Người dùng quản trị mới không mong đợi hoặc nâng cao vai trò người dùng.
• Những thay đổi không mong đợi đối với các tùy chọn quan trọng hoặc tệp theme/plugin.
• Tệp trong các thư mục tải lên có mã PHP hoặc mã không mong đợi.
• Kết nối ra ngoài từ trang web mà không được mong đợi (có thể báo hiệu việc rò rỉ dữ liệu).
• Các truy vấn cơ sở dữ liệu tham chiếu wp_tùy_chọn, wp_người dùng, hoặc các bảng nhạy cảm khác với các mẫu bất thường.

Nếu bạn tìm thấy bất kỳ điều nào trong số này, hãy làm theo danh sách kiểm tra phục hồi và xem xét phân tích pháp y.

---

Giao tiếp với người dùng và các bên liên quan của bạn

Nếu bạn quản lý một trang web có tài khoản người dùng:

• Nếu bạn xác nhận một sự xâm phạm và dữ liệu người dùng có thể đã bị lộ, hãy chuẩn bị thông báo rõ ràng và trung thực cho những người dùng bị ảnh hưởng theo yêu cầu pháp lý/quy định.
• Đặt lại mật khẩu người dùng khi thích hợp (đặc biệt là đối với người dùng quản trị).
• Cung cấp các bước khuyến nghị cho người dùng (thay đổi mật khẩu, theo dõi tài khoản, kích hoạt MFA).

Sự minh bạch giảm thiểu thiệt hại sau này và giúp duy trì niềm tin.

---

Cách WP-Firewall giúp (những gì chúng tôi cung cấp)

Tại WP-Firewall, chúng tôi thiết kế dịch vụ của mình để bảo vệ và phục hồi nhanh chóng, thực tiễn:

• Các quy tắc tường lửa được quản lý có thể được triển khai như các bản vá ảo nhắm mục tiêu để chặn các khai thác cụ thể như các nỗ lực tiêm SQL không xác thực.
• Phân tích lưu lượng thời gian thực và giới hạn tỷ lệ để giảm thiểu việc quét hàng loạt tự động.
• Quét phần mềm độc hại và kiểm tra tính toàn vẹn theo lịch trình.
• Hướng dẫn và tài liệu hỗ trợ sự cố để giúp bạn làm theo danh sách kiểm tra phục hồi ở trên.
• Quy trình cập nhật thân thiện với giai đoạn và giám sát để giảm rủi ro khi cập nhật plugin.

Chúng tôi đã xây dựng cách tiếp cận ưu tiên phòng ngừa để các chủ sở hữu trang web có thể nhanh chóng áp dụng các biện pháp phòng thủ nhắm mục tiêu và giảm thời gian tiếp xúc của họ trong khi lên lịch cập nhật đã lên kế hoạch.

---

Bắt đầu bảo vệ trang web của bạn với WP-Firewall — Kế hoạch miễn phí có sẵn

Tiêu đề: Bắt đầu Bảo vệ Trang web của Bạn Ngay Bây Giờ — Thử Kế hoạch Miễn phí WP-Firewall

Nếu bạn muốn bảo vệ ngay lập tức, được quản lý trong khi bạn vá lỗi hoặc thực hiện bảo trì, hãy xem xét kế hoạch miễn phí WP-Firewall. Nó bao gồm các biện pháp bảo vệ thiết yếu giúp giảm rủi ro từ các lỗ hổng công khai như tiêm SQL JetEngine:

• Cơ bản (Miễn phí): Bảo vệ thiết yếu — tường lửa được quản lý, băng thông không giới hạn, bộ quy tắc WAF, quét phần mềm độc hại và bảo hiểm giảm thiểu cho 10 rủi ro hàng đầu của OWASP.
• Tiêu chuẩn ($50/năm): Tất cả các tính năng Cơ bản, cộng với việc loại bỏ phần mềm độc hại tự động và khả năng đưa vào danh sách đen/trắng lên đến 20 IP.
• Pro ($299/năm): Tất cả các tính năng tiêu chuẩn, cộng với báo cáo bảo mật hàng tháng, vá lỗi ảo tự động cho lỗ hổng và các tiện ích mở rộng cao cấp (quản lý tài khoản chuyên dụng, tối ưu hóa bảo mật, mã thông báo hỗ trợ WP, dịch vụ được quản lý).

Đăng ký gói miễn phí và nhận bảo vệ ngay lập tức: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

---

Ví dụ thực tiễn về các quy tắc WAF an toàn (hướng dẫn)

Dưới đây là các hướng dẫn ở cấp độ khái niệm để xây dựng các quy tắc WAF bảo thủ. Các chi tiết sẽ phụ thuộc vào sản phẩm WAF của bạn.

1. Danh sách trắng tham số
   • Nếu filtered_query chỉ nên chứa các ID số (hoặc một lược đồ JSON cố định), thực thi điều đó một cách chính xác. Ví dụ: chỉ cho phép chữ số và dấu phẩy; chặn mọi thứ khác.
2. Phát hiện từ khóa
   • Chặn hoặc thách thức các yêu cầu chứa từ khóa SQL hoặc dấu hiệu bình luận khi chúng xuất hiện trong filtered_query. Sử dụng so khớp không phân biệt chữ hoa chữ thường và xem xét các nỗ lực làm mờ phổ biến.
3. Xác thực loại nội dung và phương thức
   • Nếu điểm cuối mong đợi các POST JSON, hãy chặn các yêu cầu GET bao gồm filtered_query hoặc tiêu đề loại nội dung bị sai.
4. Giới hạn tỷ lệ và danh tiếng
   • Giới hạn số lượng yêu cầu đến các điểm cuối danh sách theo IP và sử dụng nguồn cấp dữ liệu danh tiếng IP để điều chỉnh hoặc chặn những kẻ vi phạm lặp lại.
5. Chặn tạm thời dựa trên địa lý hoặc hành vi
   • Nếu hoạt động đáng ngờ tập trung ở các khu vực không liên quan đến doanh nghiệp của bạn, hãy sử dụng chặn địa lý tạm thời trong khi điều tra.

Luôn kiểm tra các quy tắc trong chế độ staging hoặc mô phỏng khi có thể để tránh các dương tính giả làm hỏng hành vi hợp pháp của trang web.

---

Kiểm tra sau khi giảm thiểu

• Xác minh phiên bản plugin đã được cập nhật và đang hoạt động.
• Kiểm tra tất cả chức năng danh sách trong môi trường staging và production để xác nhận nó hoạt động như mong đợi.
• Xác nhận rằng các quy tắc WAF không chặn lưu lượng hợp pháp (theo dõi nhật ký để phát hiện các trường hợp dương tính giả).
• Tiếp tục hoạt động bình thường chỉ khi các bài kiểm tra đạt yêu cầu và việc giám sát đã được thiết lập.

---

Danh sách kiểm tra cuối cùng (tham khảo nhanh)

• Cập nhật JetEngine lên phiên bản 3.8.6.2 hoặc mới hơn ngay lập tức.
• Nếu chưa thể cập nhật, áp dụng vá ảo WAF để chặn filtered_query lạm dụng.
• Tạm thời vô hiệu hóa các tính năng danh sách phụ thuộc vào filtered_query nếu có thể.
• Sao lưu và chụp ảnh pháp y trước khi thực hiện thay đổi.
• Theo dõi nhật ký để phát hiện các yêu cầu đáng ngờ và IoCs.
• Quét trang web để tìm phần mềm độc hại và các thay đổi không được phép.
• Thay đổi thông tin đăng nhập nếu nghi ngờ bị xâm phạm.
• Củng cố quyền truy cập của người dùng DB và gỡ bỏ các plugin/theme không sử dụng.
• Đăng ký bảo vệ quản lý nếu bạn muốn triển khai quy tắc WAF tự động và giám sát liên tục.

---

Những suy nghĩ cuối cùng từ đội ngũ an ninh của WP-Firewall

Các lỗ hổng cho phép người dùng không xác thực tương tác trực tiếp với cơ sở dữ liệu là những vấn đề cấp bách nhất cần giải quyết. Thời gian phơi bày sau khi công khai rất ngắn: các tác nhân tự động di chuyển nhanh. Nếu bạn sử dụng JetEngine, hãy ưu tiên cập nhật plugin và — nếu cần — vá ảo với WAF của bạn. Sử dụng danh sách kiểm tra ở trên để phân loại nhanh chóng và giảm thiểu rủi ro.

Nếu bạn cần trợ giúp trong việc triển khai quy tắc WAF, đánh giá nhật ký để tìm dấu hiệu khai thác, hoặc phản hồi với một sự cố nghi ngờ, các kỹ sư của WP-Firewall sẵn sàng hỗ trợ. Hành động nhanh chóng bây giờ bảo vệ người dùng của bạn, duy trì tính toàn vẹn dữ liệu, và giảm thời gian ngừng hoạt động cũng như chi phí khắc phục sau này.

Hãy giữ an toàn, và vui lòng cập nhật các cài đặt JetEngine của bạn ngay lập tức.