Bootstrap

Vũ Thành Lâm

Content - Code - SEO - MMO
17/10/1979
Tây Mỗ - Nam Từ Liêm - Hà Nội
thanhlam19792003

Lamvt – Vũ Thành Lâm – bắt đầu Code 2005 Freelancer từ 2006 với hàng ngàn dự án lớn nhỏ cho nước ngoài và hàng trăm dự án web cho Việt Nam.

SEO thành công rất nhiều dự án lớn, độ khó cao.
MOD (Moderator) và Admin (Administraror) của nhiều diễn đàn về SEO và CODE web MMO tại Việt Nam
Dạy Lập trình Thiết kế Web và SEO Miễn phí 17++ Năm (Từ 2006 đến Nay)

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4

5/5 - (9 bình chọn)

Lỗi bảo mật 0-Day có thể lấy cắp mật khẩu truy cập vào web dựa trên mã nguồn mở WordPress 4.7.4 của bạn. Vậy hiểu làm sao về lỗi bảo mật này của WordPress và nguyên nhân nó từ đâu, làm sao để giới hạn phòng chống nó.

WordPress là một Blog dạng CMS cho người dùng dễ dàng tạo dựng trang web của mình chỉ trong vài cú click, với cộng đồng đông đảo người sử dụng trên thế giới thì WordPress hiện nay được thịnh hành nhất trên thế giới, cộng đồng người sử dụng càng đông thì những lỗi bảo mật và những cập nhật vá lỗi luôn luôn được thực hiện một cách kịp thời. Tuy nhiên có một lỗi trong việc Reset password (lấy lại mật khẩu bị quên) thì WordPress vẫn chưa khắc phục cho dù lỗi này được phát hiện từ 2012.

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4 wordpress-loi-bao-mat

Lỗi bảo mật 0-day WordPress từ đâu

wp-includes/pluggable.php
Trong file pluginable có dòng

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4 wordpress_loi_bao-mat

Khi người dùng quên password thì sẽ dùng chức năng Reset password để lấy lại mật khẩu của mình. Lúc đó hệ thống sẽ gửi email về cho khách hàng hoặc quản trị viên với email From là SERVER_NAME. Hacker có thể lợi dụng việc này mà thay đổi Server name về một Server nào đó có chủ đích của họ và thực hiện việc Reset password.

Tiếp đến trong quá trình thực hiện việc làm đó họ có sẽ thực hiện một tác vụ gửi mail hàng loạt đến hòm thư của bạn khiến cho hòm thư của bạn không thể nhận được thư và hệ thống sẽ gửi lại người gửi FROM_EMAIL một thư phản hồi có chứa đường dẫn Reset Password và Hacker có thể lợi dụng được việc này để chiếm lấy mật khẩu của bạn.

Lợi dụng việc tự động trả lời email khi sai địa chỉ về emai From mà có thể reset lấy mật khẩu của bạn.

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4 loi-bao-mat-wordpressĐể bảo vệ bạn khỏi lỗi tấn công này bạn hoàn toàn có thể sử dụng phương pháp Fix cứng From Email trong file functions.php

bạn có thể thêm dòng code trên vào trong theme của bạn.

Mức độ nguy hiểm của lỗi này là khá thấp cho nên có rất nhiều báo cáo về lỗi này nhưng WordPress Team vẫn chưa khắc phục. Nếu các bạn đang sử dụng WordPress cho hệ thống của mình, tốt hơn hết hãy Fix nó, tuy nhiên cũng đừng nên quá lo lắng, vì đây là lỗi mà mức nguy hiểm ở cấp độ thấp.

Tin mới nhất

Dù bạn dùng phiên bản WordPress với lưu lượng truy cập cao hay một blog nhỏ trên máy chủ chia...

VR PLUS (https://vrplus.vn/ ) Là một trong những dự án do Lamvt thực hiện trong thời gian gần đây. Như...

Trong một năm qua, chúng tôi đã xuất bản khoảng 79 bài viết SEO trên blog Ahrefs. Các bài viết...

Khám phá kĩ thuật viết nội dung SEO Nếu không có SEO, nội dung của bạn có thể bị chìm...

Các website về lĩnh vực làm đẹp cần phải có một thiết kế (design) hấp dẫn và bắt mắt. Điều...

Tin được yêu thích

Như đã nói, phần mềm chỉnh sửa video đang ngày càng chứng tỏ được tầm quan trọng của mình, nhất...

Nhiều bạn thắc mắc là sau khi cài đặt Plugin cho Google AMP thì làm thế nào để kiểm tra,...

Các trang web giáo dục và các trang web của chính phủ có một lợi thế hơn trong bảng xếp...

Nội dung là một trong 3 tiêu chí quan trọng để google đánh giá thứ hạng tìm kiếm cho website...

Thẻ <span> </span> Thẻ <span> là thẻ khá đặc biệt trong HTML, theo mặc định thì thẻ <span> được thêm...

Khách đang xem

  1. Facebook Instant Articles là gì đó là câu hỏi đặt ra với mỗi blogger, chức năng của Facebook Instant Articles...
    21 giây trước
  2. Internal link có vai trò quan trọng trong SEO. Nó là một phương pháp tuyệt vời và an toàn giúp...
    23 giây trước
  3. Các bạn đã biết cách cài đặt và sử dụng Google Analytics, cũng như nắm được những tính năng quan...
    29 giây trước
  4. Backlink luôn là một yếu tố quan trọng giúp trang web của bạn tăng hạng trong top Google. Việc tìm...
    2 giây trước
  5. Tiêu đề SEO là yếu tố tác động trực tiếp, giúp người đọc đưa ra quyết định có nên click...
    21 giây trước
  6. Câu hỏi: Tôi đang tạo một plugin WordPress. Tôi nên đưa những tính năng cơ bản gì vào uninstall feature...
    5 giây trước
  7. Nếu bạn quan tâm đến kiểu tiếp thị tìm kiếm Marketing online thời đại ngày nay, chắc hẳn bạn đã...
    10 giây trước
  8. Tuy còn nhiều hạn chế trong việc sử dụng trong các phiên bản Joomla so với WordPress mà cộng đồng...
    1 giây trước
  9. Dù cho bạn là một Content Writer nghiệp dư hay chuyên nghiệp, cũng chưa chắc chắn 100% số lần viết...
    20 giây trước
  10. Backlink là một trong những thuật ngữ được dùng nhiều nhất trong SEO. Khi bắt đầu tìm hiểu về SEO,...
    15 giây trước