WordPress hiện nay được hàng triệu người sử dụng bởi tính năng nguồn mở. Các Hacker không ngừng tìm cách khai thác các lỗ hổng từ Plugin và Themes để tấn công vào Website. Lần này là Live Chat with Facebook Messenger của Zotabox.

Plugin này có hơn 30.000 cài đặt theo thống kê từ thư viện WordPress. Theo WordPress.org, Plugin đã được cập nhật bản vá 1.4.9 vào ngày hôm qua. Nếu bạn nào đang sử dụng phiên bản cũ, hãy Update Plugin ngay lập tức nếu không muốn Website bị chuyển sang các trang quảng cáo độc hại. Lỗ hổng này cho phép Hacker thay đổi các thiết lập của plugins mà không cần phải đăng nhập vào wp-admin.

Chi tiết về lỗ hổng XSS trong Live Chat with Facebook Messenger

Thông qua chức năng AJAX của WordPress, chịu trách nhiệm gửi dữ liệu tới tập lệnh và sau đó nhận lại dữ liệu mà không cần tải lại trang, tính năng update_zb_fbc_code này có thể bị truy cập mà không cần đăng nhập

Như bạn sẽ thấy trong các dòng mã sau đây wp_ajax_update_zb_fbc_code( đối với người dùng được xác thực) & wp_ajax_nopriv_update_zb_fbc_code (đối với người dùng không có đặc quyền). Cả hai đều sử dụng cùng một chức năng update_zb_fbc_code. Do đó, cho phép bất kỳ người dùng nào (đăng nhập hoặc không) có thể sửa đổi cài đặt plugin.

add_action("wp_ajax_update_zb_fbc_code", "update_zb_fbc_code");

add_action("wp_ajax_nopriv_update_zb_fbc_code", "update_zb_fbc_code");

Ngoài ra, chức năng update_zb_fbc_code không có tính năng kiểm tra quyền chứng thực người dùng (CSRF) trước khi cho phép thay đổi cài đặt plugin.

 function update_zb_fbc_code(){

header('Access-Control-Allow-Origin: *');

   header('Access-Control-Allow-Credentials: true');

$domain = addslashes($_REQUEST['domain']);

$public_key = addslashes($_REQUEST['access']);

$id = intval($_REQUEST['customer']);

$zbEmail = addslashes($_REQUEST['email']);

if(!isset($domain) || empty($domain)){

header("Location: ".admin_url()."admin.php?page=zb_fbc");

}else{

update_option( 'ztb_domainid', $domain );

update_option( 'ztb_access_key', $public_key );

update_option( 'ztb_id', $id );

update_option( 'ztb_email', $zbEmail );

update_option( 'ztb_status_disconnect', 2 );

wp_send_json( array(

'error' => false,

'message' => 'Update Zotabox embedded code successful !' 

)

);

}

 }

 function update_zb_fbc_code(){

 header('Access-Control-Allow-Origin: *');

 header('Access-Control-Allow-Credentials: true');

 $domain = addslashes($_REQUEST['domain']);

 $public_key = addslashes($_REQUEST['access']);

 $id = intval($_REQUEST['customer']);

 $zbEmail = addslashes($_REQUEST['email']);

 if(!isset($domain) || empty($domain)){

 header("Location: ".admin_url()."admin.php?page=zb_fbc");

 }else{

 update_option( 'ztb_domainid', $domain );

 update_option( 'ztb_access_key', $public_key );

 update_option( 'ztb_id', $id );

 update_option( 'ztb_email', $zbEmail );

 update_option( 'ztb_status_disconnect', 2 );

 wp_send_json( array(

 'error' => false,

 'message' => 'Update Zotabox embedded code successful !' 

 )

 );

 }

 }

Cách bảo mật WordPress bởi các Plugin dính lỗ hổng bảo mật

Anh em nào đang dùng Plugin Live Chat with Facebook Messenger thì nhanh chóng update lên phiên bản 1.4.9. Đảm bảo cập nhật lên phiên bản mới càng sớm càng tốt để giảm thiểu bị tấn công.

Tiến hành cài các Plugin bảo mật như Wordfence Security, Ithemes Security, Sucuri Security… sẽ giúp Website bạn an toàn hơn.  Các Plugin này sẽ tạo lớp tường Tường lửa giúp Website chống lại XSS, CSRF, các bot xấu, SQLi và hơn 100 các cuộc tấn công có thể khác.

Bên cạnh đó bạn hạn chế sử dụng các Plugin, theme không rõ nguồn gốc, nulled. Bạn cũng có thể tự quét lỗ hổng bảo mật cho Website của mình bằng các công cụ trên Kali Linux.