Gần đây một lỗ hổng bảo mật đã được tìm thấy trên phiên bản mới nhất của wordpress là phiên bản 5.2.3
Mục lục
Kịch bản tấn công
- Cuộc tấn công này có thể vượt qua WAF (Web Application Firewall) đơn giản để truy cập nội dung bị hạn chế trên máy chủ web, ví dụ như phpMyAdmin.
- Cuộc tấn công này có thể làm mất trang web WordPress dễ bị tổn thương với nội dung từ vhost mặc định.
Giải pháp
- Đặt security headers cho webserver và no-cache cho Cache-Control
Hiện chưa có bất kỳ bản update nào từ phía wordpress cho lỗ hổng này và POC (Tool khai thác exploit) đã được public tràn lan trên mạng. Vì vậy các bạn cần kiểm tra và tăng cường bảo mật cho website của mình cũng như backup dữ liệu thường xuyên để tránh trường hợp đáng tiếc.
