-
09/04/2020
-
85
-
553 bài viết
An ninh mạng tháng 5/2023: Plugin trong WordPress – Nhiều tiện ích, lắm rủi ro
Nếu đang dùng nền tảng WordPress để xây dựng các website thì bạn cần biết rằng hơn 90% các lỗ hổng của nền tảng này xuất phát từ các plugin. Vậy, bạn có thắc mắc tại sao các plugin của WordPress lại nhiều lỗ hổng đến vậy không? Người dùng liệu có biết về điều này và nếu đã biết thì tại sao vẫn dùng?
Plugin trong WordPress được hiểu là một tiện ích mở rộng của nền tảng, bổ sung thêm các tính năng giúp website của bạn chạy mượt mà và đẹp hơn. Hãy tưởng tượng như bạn muốn đi dự tiệc, thì bạn phải cần sắm quần áo, giày dép, trang điểm, các phụ kiện đi kèm để trông thật nổi bật. Vậy các plugin sẽ đóng những vài trò “tô điểm” đó.
Số lượng các plugin thì nhiều vô kể, riêng kho của WordPress đã chứa hơn 57.000 plugin miễn phí. Với số lượng lớn như vậy thì việc các plugin này tồn tại lỗ hổng là không có gì phải bàn. Nhưng chỉ tính riêng trong tháng 05/2023, các plugin cho WordPress đã có tận 5 lỗ hổng đều có mức điểm cao 9,8/10 thì lại là vấn đề lớn. Chưa kể các plugin này đều khá phổ biến với lượt tải về từ hàng chục nghìn đến hàng triệu, thậm chí có những lỗ hổng trong plugin đã bị khai thác khiến hàng triệu website dễ bị tấn công.
Có thể kể đến các lỗ hổng trong các plugin như:
Easy Digital Downloads dùng để tạo một gian hàng trực tuyến bán các sản phẩm hay Essential Addons for Elementor giúp bổ sung thêm các phần tử và tiện ích con để cải thiện giao diện và chức năng trang web.
Ngoài ra, còn có phiên bản trả phí Gravity Forms giúp tạo các biểu mẫu để thêm vào trang web và Abandoned Cart Lite miễn phí dành cho WooCommerce, giúp theo dõi và khôi phục các giỏ hàng khi chưa hoàn tất quá trình mua hàng.
Cuối cùng là Advanced Custom Fields cho phép thêm các trường tùy chỉnh nội dung vào màn hình soạn thảo bài viết.
Tiện ích thì đã rõ, nhưng số lượng plugin quá lớn khiến người dùng khó kiểm soát hết được. Nhiều plugin lỗi thời sẽ tồn tại lỗ hổng hoặc chưa được cập nhật bản vá mới nhất. Ngoài ra, việc tải các plugin miễn phí từ các nguồn không đáng tin cậy có thể khiến bạn vô tình sử dụng các plugin “fake”, vi phạm bản quyền hoặc không nhận được sự hỗ trợ cần thiết từ nhà phát triển.
Một khi tin tặc khai thác được những lỗ hổng trên các plugin của WordPress thì chúng có thể thực hiện một loạt các hành vi độc hại như đánh cắp thông tin nhạy cảm, bao gồm tên đăng nhập, mật khẩu, thông tin tài khoản ngân hàng; lây nhiễm mã độc trên thiết bị; tấn công từ chối dịch vụ (DDoS) hay cao nhất là thực thi mã để chiếm quyền trang web.
Vậy tại sao nhiều người vẫn sử dụng? Câu trả lời đó là vì “tiện và rẻ”, nhiều khi còn miễn phí nên người dùng có thể “phớt lờ” những cảnh báo bảo mật.
Vậy nên, đã đến lúc người dùng phải tự ý thức được những tiện ích mình sử dụng, không có gì miễn phí mà không đi kèm rủi ro, không có gì là an toàn tuyệt đối. Và để giảm thiểu những nguy cơ với trang WordPress của mình, người dùng hãy:
Plugin trong WordPress được hiểu là một tiện ích mở rộng của nền tảng, bổ sung thêm các tính năng giúp website của bạn chạy mượt mà và đẹp hơn. Hãy tưởng tượng như bạn muốn đi dự tiệc, thì bạn phải cần sắm quần áo, giày dép, trang điểm, các phụ kiện đi kèm để trông thật nổi bật. Vậy các plugin sẽ đóng những vài trò “tô điểm” đó.
Số lượng các plugin thì nhiều vô kể, riêng kho của WordPress đã chứa hơn 57.000 plugin miễn phí. Với số lượng lớn như vậy thì việc các plugin này tồn tại lỗ hổng là không có gì phải bàn. Nhưng chỉ tính riêng trong tháng 05/2023, các plugin cho WordPress đã có tận 5 lỗ hổng đều có mức điểm cao 9,8/10 thì lại là vấn đề lớn. Chưa kể các plugin này đều khá phổ biến với lượt tải về từ hàng chục nghìn đến hàng triệu, thậm chí có những lỗ hổng trong plugin đã bị khai thác khiến hàng triệu website dễ bị tấn công.
Có thể kể đến các lỗ hổng trong các plugin như:
Easy Digital Downloads dùng để tạo một gian hàng trực tuyến bán các sản phẩm hay Essential Addons for Elementor giúp bổ sung thêm các phần tử và tiện ích con để cải thiện giao diện và chức năng trang web.
Ngoài ra, còn có phiên bản trả phí Gravity Forms giúp tạo các biểu mẫu để thêm vào trang web và Abandoned Cart Lite miễn phí dành cho WooCommerce, giúp theo dõi và khôi phục các giỏ hàng khi chưa hoàn tất quá trình mua hàng.
Cuối cùng là Advanced Custom Fields cho phép thêm các trường tùy chỉnh nội dung vào màn hình soạn thảo bài viết.
Tiện ích thì đã rõ, nhưng số lượng plugin quá lớn khiến người dùng khó kiểm soát hết được. Nhiều plugin lỗi thời sẽ tồn tại lỗ hổng hoặc chưa được cập nhật bản vá mới nhất. Ngoài ra, việc tải các plugin miễn phí từ các nguồn không đáng tin cậy có thể khiến bạn vô tình sử dụng các plugin “fake”, vi phạm bản quyền hoặc không nhận được sự hỗ trợ cần thiết từ nhà phát triển.
Một khi tin tặc khai thác được những lỗ hổng trên các plugin của WordPress thì chúng có thể thực hiện một loạt các hành vi độc hại như đánh cắp thông tin nhạy cảm, bao gồm tên đăng nhập, mật khẩu, thông tin tài khoản ngân hàng; lây nhiễm mã độc trên thiết bị; tấn công từ chối dịch vụ (DDoS) hay cao nhất là thực thi mã để chiếm quyền trang web.
Vậy tại sao nhiều người vẫn sử dụng? Câu trả lời đó là vì “tiện và rẻ”, nhiều khi còn miễn phí nên người dùng có thể “phớt lờ” những cảnh báo bảo mật.
Vậy nên, đã đến lúc người dùng phải tự ý thức được những tiện ích mình sử dụng, không có gì miễn phí mà không đi kèm rủi ro, không có gì là an toàn tuyệt đối. Và để giảm thiểu những nguy cơ với trang WordPress của mình, người dùng hãy:
- Cài đặt thông tin đăng nhập mạnh và xóa các plugin không sử dụng đến
- Chỉ tải plugin từ các nguồn đáng tin cậy như trang web của nhà phát triển plugin hoặc kho lưu trữ chính thức của WordPress
- Thường xuyên theo dõi và cập nhật các plugin lên phiên bản mới nhất
WhiteHat