Bảo mật Learnify chống lại việc bao gồm tệp cục bộ//Xuất bản vào 2026-04-25//CVE-2025-60085

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

Learnify LFI Vulnerability

Tên plugin Learnify
Loại lỗ hổng Bao gồm tệp cục bộ
Số CVE CVE-2025-60085
Tính cấp bách Cao
Ngày xuất bản CVE 2026-04-25
URL nguồn CVE-2025-60085

Lỗ hổng Bao gồm Tệp cục bộ nghiêm trọng trong Chủ đề Learnify (≤ 1.15.0) — Các bước ngay lập tức cho Chủ sở hữu trang WordPress

2026-04-25 | Đội ngũ Bảo mật WP‑Firewall

Bản tóm tắt

Một lỗ hổng Bao gồm Tệp cục bộ (LFI) nghiêm trọng đã được công bố trong chủ đề WordPress Learnify ảnh hưởng đến các phiên bản ≤ 1.15.0 (CVE-2025-60085). Vấn đề này cho phép các kẻ tấn công không xác thực bao gồm và hiển thị các tệp cục bộ từ máy chủ web. Lỗ hổng được báo cáo có mức độ nghiêm trọng cao (CVSS 8.1) và có thể bị khai thác quy mô lớn — cho phép kẻ tấn công rò rỉ các tệp nhạy cảm như wp-config.php, tệp môi trường, hoặc bất kỳ tệp nào có thể đọc được từ phía máy chủ. Điều này có thể dẫn đến việc tiết lộ thông tin xác thực, xâm phạm cơ sở dữ liệu và chiếm quyền kiểm soát toàn bộ trang web tùy thuộc vào môi trường.

Nếu bạn chạy Learnify hoặc các trang sử dụng nó, hãy đọc bài viết này một cách cẩn thận. Chúng tôi giải thích ý nghĩa của lỗ hổng, cách các kẻ tấn công lạm dụng nó, cách phát hiện dấu hiệu khai thác, và quy trình giảm thiểu và phản ứng sự cố từng bước mà chúng tôi khuyến nghị. Chúng tôi cũng cung cấp các quy tắc WAF thực tiễn và hướng dẫn tăng cường máy chủ để giảm bề mặt tấn công ngay lập tức.

Bao gồm Tập tin Địa phương (LFI) là gì?

Bao gồm Tệp cục bộ (LFI) là một loại lỗ hổng trong các ứng dụng web xảy ra khi đầu vào do người dùng kiểm soát được sử dụng để chọn và bao gồm các tệp trên máy chủ mà không có xác thực đúng cách. Trong một trang dựa trên PHP, ví dụ, điều này có thể trông như sau:

  • include($_GET['template']);
  • require_once($_REQUEST['page']);

Nếu một kẻ tấn công có thể kiểm soát đầu vào xác định tệp nào được bao gồm, họ có thể chỉ định ứng dụng đến các tệp cục bộ tùy ý và buộc máy chủ đọc và xuất nội dung của chúng. Hậu quả phổ biến:

  • Tiết lộ bí mật (thông tin xác thực cơ sở dữ liệu, khóa API).
  • Thu thập thông tin để chuẩn bị cho các cuộc tấn công tiếp theo.
  • Trong các môi trường cho phép các wrapper nguy hiểm (php://input, php://filter) hoặc nơi bao gồm tệp từ xa được bật, việc thực thi mã từ xa (RCE) có thể xảy ra.

LFI có thể bị khai thác bằng cách sử dụng các chuỗi duyệt đơn giản (../../../../) và kỹ thuật wrapper (php://filter) để đọc tệp một cách an toàn trong các ngữ cảnh mà việc bao gồm trực tiếp sẽ không in nội dung tệp.

Tại sao LFI Learnify này lại nguy hiểm

Những thông tin chính về sự cố này:

  • Ảnh hưởng đến các phiên bản chủ đề Learnify ≤ 1.15.0.
  • CVE: CVE-2025-60085.
  • Quyền hạn yêu cầu: không có (không xác thực).
  • CVSS: 8.1 (Cao).
  • Hiện tại không có bản vá chính thức từ nhà cung cấp (các chủ sở hữu trang web phải áp dụng các biện pháp giảm thiểu).

Tại sao LFI này lại là một vấn đề ưu tiên cao:

  1. Không xác thực: Kẻ tấn công không cần thông tin xác thực để cố gắng khai thác.
  2. Dễ tự động hóa: Các kiểm tra LFI có thể được thực hiện bởi các công cụ quét tự động trên hàng ngàn trang web.
  3. Tệp nhạy cảm: WordPress lưu trữ thông tin xác thực cơ sở dữ liệu và muối trong wp-config.php, làm cho tệp này trở thành mục tiêu chính.
  4. Tính chuỗi: LFI có thể được kết hợp với các cấu hình sai khác (quyền tệp yếu, thư mục plugin/theme có thể ghi, các wrapper PHP nguy hiểm) để leo thang lên RCE hoặc cài đặt backdoor vĩnh viễn.

Vì những yếu tố này, các trang web chạy các phiên bản Learnify dễ bị tổn thương nên hành động ngay lập tức.

Chi tiết kỹ thuật (cách kẻ tấn công thường khai thác LFI)

Trong khi tên tham số dễ bị tổn thương chính xác có thể khác nhau giữa các phiên bản theme, mẫu khai thác cho LFI theo các bước chung. Dưới đây chúng tôi giải thích phương pháp chung mà một kẻ tấn công sẽ sử dụng — để bạn có thể nhận ra và phòng thủ chống lại nó.

  1. Tìm điểm vào
    – Kẻ tấn công tìm kiếm các tệp theme gọi bao gồm, yêu cầu, file_get_contents, hoặc các chức năng tương tự với các biến bị ảnh hưởng bởi giá trị GET/POST/cookie.
    – Ví dụ về mẫu rủi ro: include( $theme_dir . '/' . $_GET['tpl'] );
  2. Đường dẫn truy cập
    – Kẻ tấn công gửi các payload chứa các chuỗi truy cập:
        – ../../../../etc/passwd
        – ../../../../wp-config.php
    – Nhiều máy chủ ngăn chặn việc đọc tệp bằng cách trả về lỗi khi bao gồm các tệp nhị phân. Kẻ tấn công sau đó sử dụng các wrapper.
  3. Sử dụng các wrapper để đọc tệp (kỹ thuật phổ biến)
    php://filter/convert.base64-encode/resource=path/to/file — áp dụng một bộ lọc để mã hóa base64 một tệp khi được bao gồm, làm cho nó có thể in được trong các phản hồi.
    – Ví dụ về payload:
        – ?tpl=php://filter/convert.base64-encode/resource=../../../../wp-config.php
  4. Byte null và các thủ thuật mã hóa
    – Trên các thiết lập PHP và máy chủ cũ, kẻ tấn công có thể sử dụng byte null (%00) cắt ngắn để vượt qua các kiểm tra hậu tố. Nhiều phiên bản hiện đại giảm thiểu điều này, nhưng nó vẫn là một payload phổ biến trong các quét tự động:
        – ?tpl=../../../../wp-config.php
  5. Các bước sau khai thác
    – Nếu tìm thấy thông tin xác thực wp-config, kẻ tấn công sử dụng chúng để truy cập cơ sở dữ liệu hoặc tạo một người dùng quản trị, tải lên backdoor, hoặc lấy thêm bí mật.
    – Nếu các tệp tải lên có thể truy cập và không được làm sạch, kẻ tấn công có thể tải lên các shell PHP và đạt được RCE.

Một thông báo tiết lộ có trách nhiệm đã chỉ ra rằng logic bao gồm của chủ đề Learnify không làm sạch đúng cách các đường dẫn do người dùng cung cấp, cho phép các kỹ thuật trên.

Các chỉ số ví dụ và mẫu yêu cầu độc hại cần tìm

Kiểm tra nhật ký máy chủ web và nhật ký WAF của bạn cho các yêu cầu chứa các mẫu này:

  • php://filter/convert.base64-encode/resource=
  • .... hoặc ../ lặp lại (duyệt đường dẫn)
  • %00 hoặc các nỗ lực mã hóa byte null
  • Các yêu cầu đến các tệp PHP của chủ đề với các chuỗi truy vấn bất thường như ?tpl=... hoặc ?page=... (kiểm tra bất kỳ tham số nào trông giống như nó chọn một mẫu)
  • Chuỗi base64 dài trong các phản hồi (cho thấy nội dung tệp đã được mã hóa và trả về)

Dòng yêu cầu nghi ngờ mẫu:

GET /wp-content/themes/learnify/somefile.php?template=php://filter/convert.base64-encode/resource=../../../../wp-config.php HTTP/1.1

Nếu bạn thấy mẫu này, hãy coi đó là ưu tiên cao — ngay lập tức cách ly và điều tra.

Danh sách kiểm tra hành động ngay lập tức (cần làm trong những giờ đầu tiên)

Nếu bạn vận hành một trang web sử dụng Learnify ≤1.15.0, hãy thực hiện các hành động sau ngay lập tức:

  1. Đưa trang web vào chế độ bảo trì (nếu khả thi) hoặc áp dụng các biện pháp kiểm soát truy cập tạm thời (danh sách cho phép IP) để giảm thiểu rủi ro.
  2. Chuyển sang một giao diện sạch (mặc định của WordPress) hoặc loại bỏ giao diện dễ bị tổn thương khỏi các thư mục công khai. Không để giao diện dễ bị tổn thương hoạt động.
  3. Nếu một phiên bản giao diện đã được vá được công bố, hãy áp dụng bản cập nhật ngay lập tức. Nếu chưa có bản vá chính thức, hãy tiến hành các biện pháp giảm thiểu bên dưới.
  4. Đặt một quy tắc WAF vào vị trí (vá ảo) để chặn các yêu cầu chứa các chuỗi duyệt hoặc sử dụng wrapper (xem các quy tắc ví dụ trong phần “Quy tắc WAF”).
  5. Thay đổi mật khẩu cơ sở dữ liệu WordPress và bất kỳ thông tin xác thực dịch vụ nào có thể được lưu trữ trong wp-config.php và các tệp cấu hình khác — nhưng chỉ sau khi bạn đã đảm bảo sao lưu và kiểm tra tính toàn vẹn, vì sự xâm phạm có thể vẫn tồn tại.
  6. Xoay vòng các khóa bí mật và muối trong wp-config.php sau khi khắc phục.
  7. Quét trang web để tìm webshells, tệp nghi ngờ và dấu thời gian đã sửa đổi.
  8. Khôi phục từ một bản sao lưu sạch đã được xác minh nếu bạn phát hiện sự xâm phạm.
  9. Tăng cường giám sát: kích hoạt giám sát tính toàn vẹn tệp, nhật ký kiểm toán và cảnh báo.

Nếu bạn không có khả năng kỹ thuật để thực hiện tất cả các bước, hãy liên hệ với nhà cung cấp dịch vụ lưu trữ của bạn hoặc một đội ngũ bảo mật và cung cấp cho họ các chỉ số mà bạn đã tìm thấy.

Cách phát hiện xem trang web của bạn đã bị khai thác hay chưa

Ngay cả khi bạn đóng lỗ hổng, bạn phải xác minh xem nó đã bị khai thác trước đó hay chưa.

Kiểm tra:

  • Các tệp mới hoặc đã sửa đổi trong wp-content/tải lên, wp-content/chủ đề, wp-content/plugin, hoặc các vị trí không mong đợi khác.
  • Người dùng quản trị mới trong WordPress (kiểm tra wp_người dùng bảng).
  • Các tác vụ đã lên lịch nghi ngờ (cron jobs) hoặc các mục cron không được phép trong cơ sở dữ liệu.
  • Các kết nối ra ngoài từ máy chủ đến các IP không xác định (kiểm tra nhật ký tường lửa/nhật ký máy chủ).
  • Sử dụng CPU/IO cao bất ngờ hoặc sự gia tăng lưu lượng truy cập.
  • Các truy vấn cơ sở dữ liệu bất thường trong nhật ký truy vấn chậm hoặc các truy vấn sử dụng các tài khoản chưa từng thấy trước đây.
  • Các tệp PHP không xác định hoặc các tập lệnh mã hóa chứa đánh giá, base64_decode, hoặc gzinflate.

Các công cụ được khuyến nghị:

  • Kiểm tra tính toàn vẹn tệp ở cấp máy chủ (kiểu tripwire).
  • Các công cụ quét bảo mật WordPress (ưu tiên những công cụ cung cấp quét mã và phương pháp suy diễn).
  • Quét phần mềm độc hại toàn bộ tệp và nội dung cơ sở dữ liệu.
  • Xem xét thủ công các tệp quan trọng (wp-config, .htaccess, index.php trong các thư mục plugin/theme).

Nếu bạn tìm thấy bằng chứng về sự xâm phạm, hãy làm theo các bước phản ứng sự cố trong phần tiếp theo.

Phản ứng sự cố: sách hướng dẫn từng bước

Nếu bạn xác nhận việc khai thác, hãy tiến hành như sau:

  1. Bao gồm
    – Đưa trang web ngoại tuyến hoặc chặn lưu lượng để ngăn chặn thiệt hại thêm.
    – Thu hồi các thông tin xác thực và khóa API bị xâm phạm.
    – Cách ly máy chủ khỏi mạng nếu có thể.
  2. Bảo tồn Bằng chứng
    – Sao lưu nhật ký (máy chủ web, cơ sở dữ liệu, nhật ký ứng dụng) và hình ảnh đĩa.
    – Không ghi đè lên nhật ký — bảo tồn dấu thời gian cho phân tích pháp y.
  3. Diệt trừ
    – Gỡ bỏ tất cả các cửa hậu, shell và tập lệnh độc hại đã phát hiện.
    – Cài đặt lại lõi WordPress, các plugin và chủ đề từ các nguồn sạch.
    – Xây dựng lại các máy chủ từ hình ảnh nếu nghi ngờ có sự tồn tại ở cấp máy chủ.
  4. Hồi phục
    – Khôi phục từ một bản sao lưu sạch (được thực hiện trước khi bị xâm phạm).
    – Áp dụng tất cả các bản vá bảo mật và biện pháp tăng cường có sẵn.
    – Thay đổi tất cả mật khẩu và xoay vòng khóa và muối.
  5. Hậu phục hồi
    – Tăng cường giám sát và ghi log.
    – Thực hiện một cuộc điều tra sau sự cố: làm thế nào sự xâm phạm xảy ra? Những biện pháp kiểm soát nào đã thất bại?
    – Đào tạo đội ngũ và cập nhật kế hoạch phản ứng sự cố của bạn.
  6. Thông báo
    – Thông báo cho các bên liên quan, nhà cung cấp dịch vụ lưu trữ, và, nếu cần thiết theo quy định của bạn, khách hàng hoặc cơ quan quản lý.

Khuyến nghị tăng cường để giảm rủi ro LFI

Ngay cả sau khi giảm thiểu ngay lập tức, hãy áp dụng những biện pháp phòng thủ lâu dài này:

  1. Nguyên tắc đặc quyền tối thiểu
    – Đảm bảo quyền truy cập tệp và thư mục là tối thiểu. Hầu hết các tệp WordPress nên có thể đọc bởi máy chủ web nhưng không thể ghi, ngoại trừ wp-content/tải lên cái mà chỉ cần quyền ghi cho việc tải lên.
    – Tài khoản cơ sở dữ liệu được sử dụng bởi WordPress chỉ nên có các quyền cần thiết.
  2. Cấu hình PHP
    – Vô hiệu hóa allow_url_include.
    – Vô hiệu hóa các wrapper không sử dụng nếu có thể.
    - Sử dụng open_basedir để hạn chế quyền truy cập của PHP vào các thư mục.
    – Vô hiệu hóa exec, shell_exec, passthru, hệ thống nếu không cần thiết.
  3. Vô hiệu hóa trình chỉnh sửa plugin và chủ đề tích hợp sẵn
    – Thêm vào wp-config.php:
    định nghĩa('DISALLOW_FILE_EDIT', đúng);
    định nghĩa('DISALLOW_FILE_MODS', đúng); // hạn chế việc cài đặt/cập nhật plugin/chủ đề từ WP admin
  4. Tải lên an toàn
    – Ngăn chặn việc thực thi trực tiếp các tệp PHP trong wp-content/tải lên bằng cách thêm các quy tắc máy chủ (xem ví dụ khối .htaccess/nginx bên dưới).
  5. Sử dụng muối và khóa mạnh, độc nhất (xoay vòng khi khắc phục)
    – Thay đổi khóa sẽ làm vô hiệu hóa các cookie xác thực đang hoạt động — hữu ích sau một sự cố.
  6. Sao lưu định kỳ và kiểm tra phục hồi
    – Giữ các bản sao lưu thường xuyên ở nơi khác và kiểm tra phục hồi định kỳ.
  7. Sử dụng nâng cấp theo giai đoạn và xem xét mã
    – Đối với các chủ đề/plugin đang phát triển tích cực, xem xét mã của bên thứ ba hoặc hạn chế sử dụng cho đến khi tư thế bảo mật được xác minh.

Các quy tắc WAF thực tiễn và các biện pháp giảm thiểu cấp máy chủ

Bản vá ảo (WAF) có thể mua thời gian khi bản vá chính thức chưa có sẵn. Dưới đây là các quy tắc ví dụ bạn có thể sử dụng trong các hệ thống WAF phổ biến hoặc như các điều khiển cấp máy chủ web. Điều chỉnh và kiểm tra cẩn thận — các quy tắc không chính xác có thể chặn lưu lượng hợp pháp.

Phát hiện mẫu quan trọng để chặn:

  • Bất kỳ giá trị tham số nào chứa php://filter
  • Bất kỳ tham số nào chứa nhiều ../ chuỗi
  • Nỗ lực byte null %00
  • Nỗ lực bao gồm các tệp có tên nhạy cảm (wp-config.php, .env, /etc/passwd)

Ví dụ quy tắc kiểu ModSecurity/Core Rule Language (CRS):

# Chặn các chữ ký tấn công LFI phổ biến"

Quy tắc dựa trên vị trí Nginx để từ chối php://filter hoặc các nỗ lực duyệt:

if ($request_uri ~* "(php://filter||\.\./){1,}") {

Apache .htaccess Đoạn mã hiệu quả để chặn thực thi PHP trong các tệp tải lên:

# Bảo vệ tải lên - ngăn chặn thực thi PHP

Một cách tiếp cận tinh vi hơn: chỉ chặn các yêu cầu nghi ngờ, cho phép các yêu cầu an toàn. Kiểm tra các quy tắc trên môi trường staging trước khi áp dụng vào sản xuất.

Cách chúng tôi tại WP‑Firewall giúp (tường lửa quản lý + giảm thiểu)

Tại WP‑Firewall, chúng tôi hoạt động với giả định: các lỗ hổng sẽ được phát hiện trong các chủ đề/plugin. Bảo vệ nhanh nhất, ít gây gián đoạn nhất là vá lỗi ảo thông qua một WAF được quản lý, chặn các nỗ lực khai thác trong thời gian thực trong khi bạn lập kế hoạch và áp dụng các bản sửa lỗi vĩnh viễn.

Các biện pháp bảo vệ cốt lõi mà chúng tôi cung cấp và khuyến nghị:

  • Các quy tắc WAF được quản lý tự động cập nhật theo phản hồi từ các thông báo mới — chặn các tải trọng khai thác (php://filter, chuỗi duyệt, nỗ lực lấy wp-config.php) trước khi chúng chạm vào PHP.
  • Quét phần mềm độc hại và phát hiện chữ ký để phát hiện webshells và các sửa đổi nghi ngờ ngay sau khi có nỗ lực khai thác.
  • Giám sát tính toàn vẹn của tệp và quét hàng ngày để phát hiện các thay đổi tệp không mong đợi.
  • Cảnh báo sự cố và hỗ trợ để giúp phân loại các phát hiện và thực hiện các biện pháp giảm thiểu.
  • Khả năng vá lỗi ảo để ngay cả khi một chủ đề không có bản vá chính thức, bạn vẫn có thể tiếp tục hoạt động trong khi rủi ro được giảm thiểu.

Chúng tôi khuyến nghị kết hợp vá lỗi ảo ngay lập tức với các bước tăng cường máy chủ được nêu ở trên, xoay vòng thông tin đăng nhập và thực hiện giám sát liên tục.

Mẫu phát hiện regex và mẹo phân tích nhật ký

Theo dõi nhật ký máy chủ web và thực hiện cảnh báo trên các mẫu này:

Regex (không phân biệt chữ hoa chữ thường) để phát hiện các cuộc thử nghiệm LFI khả thi:

(?i)(phpfilter|php://filter|(\.\./){2,}|(\.\.\\){2,}||wp-config\.php|/etc/passwd)

Các mục nhật ký kích hoạt cảnh báo:

  • GET /wp-content/themes/learnify/… ?…=php://filter/convert.base64-encode/resource=../../../../wp-config.php
  • Bất kỳ yêu cầu nào sử dụng php:// bao bì
  • Các yêu cầu trả về 200 với chuỗi mã hóa base64 — base64 trong các trang HTML thường là một chỉ báo của việc đọc nội dung tệp.

Thiết lập một công việc tự động để quét nhật ký hàng ngày cho các mẫu này và thông báo cho các quản trị viên.

Ví dụ kiểm tra an toàn để kiểm tra lỗ hổng (chỉ dành cho chủ sở hữu của trang web)

Nếu bạn là chủ sở hữu trang web và cần kiểm tra xem cài đặt Learnify của bạn có bị lỗ hổng hay không, hãy làm theo quy trình kiểm tra an toàn, chỉ đọc này. Đừng cố gắng khai thác các trang web của người khác.

  1. Sử dụng một yêu cầu không phá hủy php://filter yêu cầu chỉ đơn giản cố gắng mã hóa base64 một tệp đã được công nhận (ví dụ, readme.html trong thư mục chủ đề).
  2. Xây dựng một yêu cầu tương tự như:
GET /wp-content/themes/learnify/index.php?tpl=php://filter/convert.base64-encode/resource=inc/readme.html
  1. Nếu phản hồi chứa một chuỗi base64 mà giải mã thành nội dung tệp, chức năng trong chủ đề đó có lỗ hổng đối với việc lạm dụng mẫu bao gồm. Dừng kiểm tra và tiến hành giảm thiểu.

Quan trọng: Chỉ kiểm tra trên các trang web mà bạn sở hữu hoặc điều hành. Đừng thực hiện các bài kiểm tra trên các trang web của bên thứ ba.

Cây quyết định khắc phục: Cập nhật vs Giảm thiểu tạm thời vs Gỡ bỏ

  • Nếu một chủ đề đã được vá chính thức có sẵn: cập nhật ngay lập tức, sau đó làm theo danh sách kiểm tra xác minh (quét tính toàn vẹn tệp, xoay vòng mật khẩu).
  • Nếu không có bản vá chính thức nào tồn tại:
    • Gỡ bỏ chủ đề khỏi việc sử dụng tích cực (chuyển sang một chủ đề mặc định).
    • Áp dụng các quy tắc WAF và hạn chế máy chủ để chặn các nỗ lực khai thác.
    • Làm việc với nhà cung cấp chủ đề để biết thời gian hoặc xem xét thay thế chủ đề bằng một lựa chọn được duy trì.
  • Nếu bạn không thể gỡ bỏ chủ đề vì lý do kinh doanh:
    • Đặt trang web phía sau các kiểm soát truy cập nghiêm ngặt (danh sách trắng IP) cho quyền truy cập quản trị.
    • Áp dụng các quy tắc WAF nghiêm ngặt và chỉ cho phép chức năng tối thiểu.
    • Lên lịch giám sát chuyên dụng và quét tính toàn vẹn thường xuyên.

Sau khi khắc phục: xác thực và giám sát

Sau khi áp dụng các bản sửa lỗi, xác thực môi trường của bạn:

  1. Chạy lại các công cụ quét tự động.
  2. Xác minh không có tài khoản quản trị không mong đợi hoặc tác vụ đã lên lịch nào.
  3. Kiểm tra các kết nối mạng không mong đợi hoặc thay đổi DNS.
  4. Xem xét các bản sao lưu để tìm các chỉ báo sớm về sự xâm phạm (đảm bảo các bản sao lưu là sạch).
  5. Tiếp tục giám sát chặt chẽ ít nhất 30 ngày sau khi khắc phục.

Câu hỏi thường gặp (FAQ)

H: LFI có thể dẫn đến Thực thi Mã Từ Xa không?
Đ: LFI bản thân nó là một lỗ hổng bao gồm/đọc tệp. RCE có thể xảy ra nếu kẻ tấn công có thể bao gồm một tệp mà họ có thể kiểm soát (ví dụ: một tệp PHP đã tải lên) hoặc kết hợp LFI với các cấu hình sai khác (thư mục có thể ghi, bao bọc nguy hiểm hoặc plugin độc hại).
H: Trang web của tôi sử dụng một chủ đề con của Learnify — tôi có bị ảnh hưởng không?
Đ: Có thể. Các chủ đề con kế thừa mã lõi từ các chủ đề cha. Nếu logic dễ bị tổn thương tồn tại trong mã chủ đề cha và chủ đề cha là Learnify ≤1.15.0, bạn có khả năng bị ảnh hưởng. Kiểm tra phiên bản chủ đề cha và áp dụng các biện pháp giảm thiểu.
H: Tôi đã vá chủ đề — tôi có cần thay đổi thông tin xác thực không?
Đ: Có. Nếu có bất kỳ khả năng nào trang web đã bị lộ, hãy thay đổi khóa, mật khẩu cơ sở dữ liệu và mã thông báo API được sử dụng trên trang web. Việc vá lỗi ngăn chặn việc khai thác trong tương lai nhưng không loại bỏ các sự xâm phạm đã xảy ra trước đó.
H: Làm thế nào tôi có thể được thông báo về các lỗ hổng tương tự trong tương lai?
Đ: Đăng ký một nguồn tin bảo mật đáng tin cậy và giữ cho các chữ ký WAF và công cụ quét phần mềm độc hại của bạn được cập nhật. Triển khai giám sát lỗ hổng tự động cho các chủ đề và plugin đã cài đặt.

Bắt đầu Bảo vệ Trang Web Của Bạn Ngày Hôm Nay — Kế Hoạch Miễn Phí Có Sẵn

Nếu bạn muốn một lớp bảo vệ đơn giản, ngay lập tức trong khi thực hiện các bước khắc phục kỹ thuật ở trên, gói miễn phí được quản lý của chúng tôi cung cấp các biện pháp phòng vệ thiết yếu cho các trang WordPress. Gói miễn phí bao gồm một tường lửa được quản lý với vá ảo, một tường lửa ứng dụng web (WAF), quét phần mềm độc hại, bảo vệ băng thông không giới hạn và giảm thiểu cho 10 rủi ro hàng đầu của OWASP. Đăng ký rất đơn giản và nhanh chóng — bạn có thể bắt đầu chặn các nỗ lực khai thác trong vòng vài phút.

Tìm hiểu thêm hoặc đăng ký gói miễn phí tại đây

Tùy chọn nâng cấp: chúng tôi cũng cung cấp các gói trả phí hợp lý thêm việc xóa phần mềm độc hại tự động, danh sách đen/trắng IP, báo cáo bảo mật hàng tháng và dịch vụ quản lý nâng cao cho các doanh nghiệp và cơ quan. Nếu bạn đang vận hành nhiều trang web hoặc cần hỗ trợ khắc phục tích cực, các gói cao cấp của chúng tôi cung cấp một phương pháp bảo mật hoàn chỉnh và được quản lý.

Những suy nghĩ cuối cùng từ các Chuyên gia Bảo mật WP‑Firewall

Việc tiết lộ LFI của Learnify này là một lời nhắc nhở rằng bất kỳ chủ đề hoặc plugin nào cũng có thể giới thiệu những điểm yếu nghiêm trọng. Các khía cạnh quan trọng nhất trong việc phản ứng với các sự cố như thế này là tốc độ và tính đầy đủ:

  • Tốc độ áp dụng các biện pháp giảm thiểu (vá lỗi ảo và gỡ bỏ tạm thời).
  • Tính đầy đủ trong điều tra (kẻ tấn công có lấy được gì không? cái gì đã được truy cập?).
  • Cải tiến lâu dài (củng cố, giám sát, quyền tối thiểu).

Nếu bạn cần một đối tác có thể quản lý vá lỗi ảo và cung cấp phát hiện và phản ứng liên tục cho đội ngũ WordPress của bạn, dịch vụ quản lý của WP‑Firewall được thiết kế để làm chính xác điều đó - bảo vệ lưu lượng truy cập theo thời gian thực, quét các chỉ số sau khai thác, và giúp bạn phục hồi với sự gián đoạn kinh doanh tối thiểu.

Nếu bạn quản lý nhiều trang WordPress, bây giờ là thời điểm để xem xét kho giao diện của bạn, xác nhận các phiên bản và áp dụng các bước ở trên. Nếu bạn cần giúp đỡ trong việc phân loại các chỉ số cụ thể, chúng tôi xuất bản các hướng dẫn khắc phục chi tiết và cung cấp hỗ trợ cho khách hàng cần trợ giúp nhanh chóng. Hãy cảnh giác và coi bất kỳ cuộc kiểm tra LFI nào là có thể nghiêm trọng - kẻ tấn công tự động hóa những kiểm tra này, và một trang web có thể bị khai thác đang gặp rủi ro thực sự.

Phụ lục A: Danh sách kiểm tra nhanh (sao chép/dán)

  • Xác định xem Learnify ≤ 1.15.0 có được cài đặt không.
  • Chuyển sang một giao diện khác hoặc vô hiệu hóa Learnify.
  • Áp dụng quy tắc WAF để chặn php://filter và các nỗ lực truy cập đường dẫn.
  • Quét tìm webshell và các sửa đổi tệp không được phép.
  • Đổi mật khẩu DB và muối WP.
  • Khôi phục từ bản sao lưu sạch nếu phát hiện có sự xâm phạm.
  • Thực hiện củng cố quyền tệp.
  • Kích hoạt giám sát và cảnh báo tính toàn vẹn tệp.
  • Giám sát nhật ký trong 30 ngày sau khi khắc phục.

Phụ lục B: Tài nguyên và tài liệu tham khảo bổ sung

(Nếu bạn muốn được giúp đỡ trong việc triển khai các quy tắc WAF cụ thể hoặc thực hiện quét lỗ hổng an toàn trên môi trường của bạn, đội ngũ bảo mật của chúng tôi tại WP‑Firewall có thể hỗ trợ. Chúng tôi cung cấp cả tùy chọn tự phục vụ và quản lý được điều chỉnh cho các trang web có mọi kích thước.)

Cảm ơn bạn đã coi trọng bảo mật. Nếu bạn có câu hỏi về các bước trên hoặc muốn hướng dẫn cụ thể cho trang web của bạn, hãy liên hệ với hỗ trợ WP‑Firewall hoặc đăng ký gói miễn phí để nhận được sự bảo vệ ngay lập tức, được quản lý: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Liên hệ với chúng tôi

Tường lửa WP
Tầng 6, The Rays, 71 Đường Hung To, Kwun Tong, Cửu Long, Hồng Kông

Đặc trưng Giá cả Blog Đăng nhập
Chính sách bảo mật Điều khoản dịch vụ Tài liệu Liên kết

© 2026 WP-Firewall™