Mới đây (21/04/2015) mình nhận được một email thông báo của Sucuri cảnh báo rằng một số plugin đình đám hiện nay như SEO by Yoast, WPTouch, Jetpack, All in One SEO Pack, Updraft Plus, iThemes Exchange,…vừa tung ra một bản cập nhật khẩn cấp để vá lỗi bảo mật mà hacker có thể khai thác để tấn công bằng kỹ thuật XSS (Cross Site Scripting) và đây vốn là một kỹ thuật tấn công phổ biến chỉ đứng sau SQL Injection.
Nguyên nhân lỗi
Lỗi này ban đầu được Yoast de Valk đề cập với Sucuri khi Johannes Schmitt của Scrutinizer CI phản hồi với anh ta rằng plugin SEO by Yoast và Google Analytics by Yoast có một lỗ hổng do sử dụng sai cách hàm add_query_arg()
và remove_query_arg()
vốn được sử dụng vào mục đích truyền tham số được xác định trên URL vào truy vấn rồi gửi yêu cầu về database để lấy dữ liệu. Lý do được Joost mô tả rằng việc copy ví dụ của hai hàm này trên WordPress Codex và WordPress Development vô tình tạo ra một lỗ hổng vì nội dung ví dụ vốn có sẵn lỗ hổng đó (hiện đã được sửa).
Ngoài ra, Joost de Valk còn phát hiện rằng rất nhiều plugin (mà toàn plugin phổ biến) đều đang dính lỗi này nên có thể trong hôm qua hoặc hôm nay bạn sẽ nhận được nhiều yêu cầu cập nhật plugin, đây là lý do.
Nếu bạn là lập trình viên, mình khuyến khích bạn đọc bài viết của Sucuri để hiểu hơn về lỗi này.
Làm sao để cập nhật?
Đơn giản là bạn sẽ thấy thông báo cập nhật khi vào trang Dashboard của WordPress hoặc truy cập vào http://domain.com/wp-admin/update-core.php và ấn nút Check Update để xem có yêu cầu cập nhật nào mới không, nếu có thì nên cập nhật toàn bộ plugin của bạn.
Danh sách các plugin có lỗi này
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms