Hơn 1,5 triệu blog WordPress bị chỉnh sửa, tẩy xóa

Mai Phương Lý09:33 14/02/2017

Một lỗ hổng bảo mật nghiêm trọng trong WordPress khiến hơn 1,5 triệu blog đang hoạt động bị hacker chỉnh sửa, tẩy xóa và bị lợi dụng làm công cụ phát tán thư rác.

Lỗ hổng được phát hiện bởi các nhà nghiên cứu bảo mật và an ninh mạng của Sucuri hôm 20/1. Lỗ hổng được nhóm bảo mật đánh giá là “nghiêm trọng”, có liên quan đến một add-on mới mà WordPress thêm vào trong phiên bản phát hành cuối 2016.

WordPress dính lỗ hổng nghiêm trọng khiến hơn 1,5 triệu trang blog bị đổi giao diện và đối mặt với nhiều nguy cơ bảo mật khác.

Theo mô tả, lỗ hổng này nằm trong WordPress REST API – tính năng giúp người dùng truy vấn dữ liệu, tạo và chỉnh sửa dữ liệu trên blog một cách dễ dàng thông qua giao thức HTTP. Tuy nhiên, lỗ hổng cũng vô tình cho phép hacker dù không được phân quyền nhưng vẫn có thể xóa page hoặc sửa đổi tất cả các page (deface), sau đó hướng người dùng tới mã độc hại.

Sucuri nhận thấy có hơn 66.000 trang bị thay bằng nội dung “đã bị hack”, 1.000 trang khác cũng có dấu hiệu bị tấn công sau 24 giờ phát hiện. Bên cạnh bị deface, hacker còn chiếm quyền điều khiển các trang blog cho mục đích khác, chủ yếu là phát tán thư rác, chèn phần mềm độc hại và tăng vị trí xếp hạng công cụ tìm kiếm (search engine poisoning).

Video đang HOT

Trong khi đó, hãng bảo mật WordFence cho biết, họ đã tìm thấy bằng chứng cho thấy 20 nhóm hacker đã cố gắng can thiệp với các trang web dễ bị tổn thương. Hàng trăm ngàn blog được cho là đã bị tấn công.

“Trong 48 giờ qua, chúng tôi nhận thấy đã có hơn 800.000 cuộc tấn công vào blog WordPress bằng cách khai thác lỗ hổng bảo mật mới”, Mark Maunder, nhà sáng lập WordFence, cho biết.

Ngày 26/1, WordPress đã làm việc với các công ty an ninh để đưa ra bản cập nhật mới vá lỗ hổng trên. Nhưng theo ghi nhận, vẫn còn khá nhiều quản trị viên vô hiệu hóa tính năng tự cập nhật do chạy các dịch vụ quan trọng. Hậu quả là lỗ hổng nghiêm trọng vẫn bị hacker khai thác. BBC ước tính, đã có khoảng 1,5 triệu blog WordPress bị ảnh hưởng.

Ngày 4/2, WordPress công bố bản cập nhật 4.7.2 để vá triệt để lỗ hổng này. Đại diện của hãng cũng kêu gọi quản trị viên nhanh chóng cập nhật để tránh bị tin tặc lợi dụng.

WordPress là mã nguồn CMS sử dụng PHP MySQL. Theo thống kê, hiện ít nhất 18 triệu trang mạng trên thế giới sử dụng hệ thống này.

Bảo Lâm

Theo VNE

76 ứng dụng trên iPhone có thể làm lộ thông tin người dùng

Một chuyên gia bảo mật độc lập vừa công bố danh sách 76 ứng dụng đang tồn tại trên App Store, có thể làm lộ thông tin cá nhân người dùng iPhone nếu cài đặt các phần mềm này.

Nhiều ứng dụng trên App Store đang tồn tại những lỗ hổng bảo mật nguy hiểm. ẢNH: AFP

Theo Macrumors, chuyên gia bảo mật Will Strafach đã sử dụng dịch vụ kiểm tra độ bảo mật ứng dụng do ông thiết lập tại địa chỉ verify.ly qua đó phát hiện 76 ứng dụng trên App Store đang tồn tại nhiều lỗ hổng nghiêm trọng. Trong 76 ứng dụng trên có một số ứng dụng vừa bị Apple gỡ bỏ khỏi App Store. Ước tính đã có khoảng 18 triệu lượt tải về các ứng dụng nói trên.

Will Strafach đã chia 76 ứng dụng thành 3 loại: nguy cơ thấp (33 ứng dụng), nguy cơ trung bình (24 ứng dụng) và nguy cơ cao (19 ứng dụng). Trong đó, có một số phần mềm khá nổi tiếng như: VivaVideo (ứng dụng chỉnh sửa video), Volify (ứng dụng nghe nhạc trực tuyến), Huawei HiLink (phần mềm kết nối mạng), Private Browser (trình duyệt web ẩn danh), Code Scanner by ScanLife (đọc mã QR)...

Strafach cho rằng tính năng App Transport Security (ATS) của iOS không thể giúp chặn các lỗ hổng này làm việc. ATS được giới thiệu trong iOS 9 nhằm cải thiện khả năng bảo mật bằng cách buộc các ứng dụng sử dụng giao thức HTTPS.

Apple ban đầu thiết lập ngày 1.1.2017 sẽ buộc tất cả ứng dụng áp dụng cấu hình này, nhưng hiện công ty đã dời thời điểm thực hiện yêu cầu và chưa xác định khi nào áp dụng. Chính vì thế, tin tặc đã lợi dụng điểm này để tạo những phần mềm độc hại và đưa lên App Store.

Strafach khuyến cáo mọi người không nên kết nối vào những mạng Wi-Fi lạ để thực hiện giao dịch trực tuyến, đặc biệt là không nên cài đặt những phần mềm đã cảnh báo vào máy.

Thành Luân

Theo Thanhnien

Chat riêng tư trên Facebook có thể bị đọc lén Tính năng trò chuyện (Messenger) của Facebook tồn tại lỗ hổng nghiêm trọng cho phép hacker xem mọi nội dung trên đó. Theo nhà nghiên cứu bảo mật Ysrael Gurt, một lỗ hổng trong hệ thống của Facebook cho phép kẻ tấn công truy cập thông tin, hình ảnh, tập tin đính kèm trên Messenger, gây ảnh hưởng tới khoảng một tỷ người...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Chủ đề: wordpress lỗ hổng bảo mật blog wordpress wordpress bị lỗi bảo mật wordpress bị chỉnh sửa wordpress dính lỗ hổng wordpress rest api

Xem thêm Share

Xem nhiều

Diễn viên Quý Bình tích cực chạy chữa khắp nơi, lạc quan cho tới ngày cuối đời06:10

1 nhân vật tự ý tung bảng điểm cấp 3 của HIEUTHUHAI và HURRYKNG, bị chất vấn thì có màn giải thích càng "hết cứu"00:32

Vụ ngoại tình có 1-0-2 ở Cà Mau: Chồng bắt quả tang vợ, kiểm tra điện thoại mới ngã ngửa với số "tiểu tam"05:41

Cát-sê của Xuân Hinh khi đóng 'Bắc Bling' của Hòa Minzy 'không phải mức thường'04:19

Vén màn "chiêu trò" của Xuân Hinh00:51

Lễ nhập quan của diễn viên Quý Bình: Vợ và người thân buồn bã, tăng cường thắt chặt an ninh00:31

Lời trăng trối phút cuối đời của diễn viên Quý Bình02:45

Xôn xao câu chuyện "lòng tham" của người đàn ông đi xe con và 2 con cá bị rơi01:12

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn