Những lỗ hổng bảo mật thường gặp trên wordpress

Khi đề cập tới wordpress, có nhiều điều bạn có thể làm để bảo vệ trang web của bạn  khỏi các cuộc tấn công từ tin tặc khai thác các lỗ hổng của mã nguồn, làm ảnh hưởng tới website, điều tồi tệ hơn là làm ảnh hưởng việc kinh doanh của bạn. Chắc chắn bạn không muốn rằng điều xảy ra vào một buổi sáng thức dậy truy nhập web của bạn, bạn nhận thấy mọi thứ trong tình trạng bị đảo lộn.

Những lỗ hổng bảo mật thường gặp trên wordpress

Vì vậy hôm nay chúng tôi sẽ chia sẻ một vài lời khuyên, cách thức và kỹ thuật để bạn có thể  áp dụng ngay đảm bảo bảo mật tốt hơn  cho website wordpress của bạn.

Sơ lược về lỗ hổng wordpress

WordPress đôi khi được đánh giá rằng kém bảo mật và không phải là một nền tảng an toàn dành cho doanh nghiệp. Hơn thế đây là một mã nguồn mở có cấu trúc khá cơ bản, thường xuyên tiềm ẩn các lỗ hổng bảo mật mà hacker có thể khai thác để tấn công vào website. Việc sử dụng một phiên bản wordpress đã cũ mà ko update, cộng với việc quản trị hệ thống yếu kém, thiếu kiến thức bảo mật cơ bản cần thiết sẽ làm cho website của bạn đối mặt với nhiều thách thức nguy hiểm. Ngay cả các hãng chuyên nghiệp như Reuterts cũng đã từng bị hack vào năm 2012 chỉ vì họ đang sử dụng một phiên bản wordpress quá cũ.

Nói vậy không phải lỗ hổng này không tồn tại trong giai đoạn hiện nay. Theo một nghiên cứu Q2  2016 thực hiện bởi Sucuri, một công ty bảo mật đa nền tảng. WordPress hiện vẫn tiếp tục dẫn đầu các trang web bị nhiễm mà họ đã thực hiện  chiếm 74%. Và ba plugins đầu tiên bị ảnh hưởng trên nền tảng này vẫn là Gravity Forms, TimThumb và RevSlider. Tuy nhiên điều này hiện có giảm xuống một chút từ Q1 năm 2016.

Những lỗ hổng bảo mật thường gặp trên wordpress

Mã nguồn wordpress chiếm trên 26% tất cả các website hiện tại trên interntet, và được hỗ trợ thêm với hàng trăm ngàn các mẫu theme và plugin. Không ngạc nhiên về điều đó khi nó tồn tại nhiều lỗ hổng bảo mật liên tục được phát hiện bỏi các hacker.

Tuy nhiên thật tuyệt vời vì wordpress được hỗ trợ bởi một cộng đồng lớn, đảm bảo rằng mọi bản vá được cập nhật một cách sớm nhất. Nhóm bảo mật wordpress được thành lập khoảng 25 chuyên gia bao gồm các trưởng nhóm nghiên cứu phát triển và bảo mật, trong đó khoảng một nửa là nhân viên của hãng Automattic và phần còn lại họ làm việc một số trong lĩnh vực bảo mật web.

Có thể kể đến một số loại lỗ hổng WordPress  thường gặp ở phần dưới đây:

1. Lỗ hổng Backdoor

Backdoor tên một lỗ hổng bảo mật được hacker khai thác với thuộc tính ẩn vượt qua các cơ chế mã hóa bảo mật để chiếm quyền truy cập vào các trang web WordPress không thông qua phương pháp truy nhập thông thường như wp-admin, SFTP, FTP, v..v..

Khai thác backdoor cho phép tin tặc có thể phá hoại dữ liệu trên máy chủ làm ảnh hưởng đến nhiều trang web được lưu trữ trên cùng một hosting. Đồng thời tạo đòn bẩy lây nhiễmchéo ra các website khác trên cùng máy chủ đó.

Tính trong quý 2 năm 2016 theo báo cáo của Sucuri, backdoors tiếp tục là một trong những cách thức được hacker sử dụng nhiều nhất, với 71% các trang web bị lây nhiễm đều bị dính backdoor.

Những lỗ hổng bảo mật thường gặp trên wordpress

Backdoor thường được mã hóa để xuất hiện như các tập tin hợp pháp của hệ thống WordPress, và theo cách thực hiện của nó thông qua cơ sở dữ liệu WordPress để khai thác những điểm yếu, các lỗi trong phiên bản lỗi thời của nền tảng này. Những thất bại TimThumb là một ví dụ điển hình của backdoor khai thác lỗ hổng shady scripts và trên phiên bản wordpress quá cũ đã làm ảnh hưởng tới hàng triệu website.

Thật may mắn, vì phòng ngừa và xử lý lỗ hổng này khá đơn giản. Bạn có thể dùng công cụ SiteCheck để quét website của bạn, cái mà có thể dễ dàng phát hiện ra backdoor. Ngoài ra, xác thực 2 bước, chặn IP, hạn chế truy nhập admin và ngăn ngừa thực thi trái phép cá file php đơn giản từ các mối đe dọa của backdoor, cái mà chúng ta sẽ đi chi tiết hơn trong bài sau. Canton Becker có một bài viết tuyệt vời về cách làm sạch backdoor trên website wordpress của bạn.

2. Pharma Hacks

Pharma Hacks khái thác bằng cách chèn các code giả mạo vào các trang web wordpress của bạn hoặc các plugin phiên bản cũ, vì khi tìm kiếm trên các công cụ tìm kiếm nó sẽ trả về một quảng cáo cho các sản phẩm dược ở một trang web từ kết quả tìm kiếm mà đã được thỏa hiệp. Lỗ hổng này là thường nguy hiểm hơn các mối đe dọa spam mã độc truyền thống, khi website bị nhiễm thì các công cụ tìm kiếm sẽ chặn các website này và báo cáo website spam.

Chúng ta có thể làm sạch các Pharma Hack chưa các backdoor đến từ plugin và database, bạn có thể làm sạch theo hướng dẫn từ Sucuri Blog. Tuy nhiên, thường các biến thể  độc hại vẫn được mã hóa ẩn trong database và đòi hỏi một quá trình làm sạch triệt để sửa chữa các lỗ hổng. Hơn thế, cũng có thể khuyến nghị nhà cung cấp hosting thường xuyên update hệ thống máy chủ, update phiên bản cài đặt wordpress, các plugin kèm theo lên phiên bản mới.

3. Brute-force Login Attempts

Brute-force – Cố gắng login trang quản trị bằng cách thử nhiều mật khẩu là cách thức kẻ tấn công cố gắng đăng nhập bằng cách sử dụng script để khai thác mật khẩu yếu và có quyền truy nhập tới webstei của bạn. Xác thực 2 bước, giới hạn truy nhập, giám sát các truy nhập trái phép, block IP và dùng mật khẩu đủ mạnh là một vài cách thức dễ dàng và hiệu quả nhất để phòng chống tấn công Brute-force.  Theo thống kê, người dùng thường coi nhẹ vấn đề này, trung bình một ngày có nhiều hơn 30000 website bị tấn công bằng hình thức này.

4. Malicious Redirects – Mã độc chuyển hướng

Mã độc chuyển hướng tạo bởi backdoor trong bản cài đặt wordpress sử dụng FTSP; SFTP, wp-admin và các giao thức khác để chèn mã độc chuyển hướng website tới một trang khác. Chuyển hướng thường được đặt trong file .htacces và một file côt lõi khác trong website, nó thường là 1 scrpti được mã hóa  chuyển hướng website tới một trang web chứa mã độc.

Người dùng wordpress có thể sử dụng công cụ scan miễn phí để tìm các mã độ này giống như SiteCheck. Chúng tôi sẽ đi qua một số cách bạn có thể ngăn chặn những trong bước bảo mật WordPress của chúng tôi thêm dưới đây

4. Denial of Service – Tấn công từ chối dịch vụ DDOS

Có lẽ đây là mối đe dọa nguy hiểm nhất trong tất cả các  mối đe dọa hiện tại, ddos khai thác các lỗ hổng lỗi và sửa trong code để chiếm dụng hết bộ nhớ hệ thống. Hacker  thảo hiệp với hàng triệu website và chiếm hàng triệu dollar từ việc khai thác các phiên bản bản lỗi thời của wordpress  với các cuộc tấn công ddos. Mặc dù ít bị tấn công các trang web nhỏ tuy nhiên chúng bị lợi dụng để huy động tấn công các site doanh nghiệp lớn.

Ngay cả khi bạn đã sử dụng một phiên bản mới nhất của wordpress cũng chưa chắc bạn đã   tránh được các cuộc tấn công ddos, tuy nhiên bạn sẽ hạn chế được  hoặc tránh bị lợi dụng để  tham gia các cuộc tấn công bởi tổ chức tài chính và tội phạm mạng.

inet