Bootstrap

Vũ Thành Lâm

Content - Code - SEO - MMO
17/10/1979
Tây Mỗ - Nam Từ Liêm - Hà Nội
thanhlam19792003

Lamvt – Vũ Thành Lâm – bắt đầu Code 2005 Freelancer từ 2006 với hàng ngàn dự án lớn nhỏ cho nước ngoài và hàng trăm dự án web cho Việt Nam.

SEO thành công rất nhiều dự án lớn, độ khó cao.
MOD (Moderator) và Admin (Administraror) của nhiều diễn đàn về SEO và CODE web MMO tại Việt Nam
Dạy Lập trình Thiết kế Web và SEO Miễn phí 15++ Năm (Từ 2006 đến Nay)

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4

5/5 - (9 bình chọn)

Lỗi bảo mật 0-Day có thể lấy cắp mật khẩu truy cập vào web dựa trên mã nguồn mở WordPress 4.7.4 của bạn. Vậy hiểu làm sao về lỗi bảo mật này của WordPress và nguyên nhân nó từ đâu, làm sao để giới hạn phòng chống nó.

WordPress là một Blog dạng CMS cho người dùng dễ dàng tạo dựng trang web của mình chỉ trong vài cú click, với cộng đồng đông đảo người sử dụng trên thế giới thì WordPress hiện nay được thịnh hành nhất trên thế giới, cộng đồng người sử dụng càng đông thì những lỗi bảo mật và những cập nhật vá lỗi luôn luôn được thực hiện một cách kịp thời. Tuy nhiên có một lỗi trong việc Reset password (lấy lại mật khẩu bị quên) thì WordPress vẫn chưa khắc phục cho dù lỗi này được phát hiện từ 2012.

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4 wordpress-loi-bao-mat

Lỗi bảo mật 0-day WordPress từ đâu

wp-includes/pluggable.php
Trong file pluginable có dòng

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4 wordpress_loi_bao-mat

Khi người dùng quên password thì sẽ dùng chức năng Reset password để lấy lại mật khẩu của mình. Lúc đó hệ thống sẽ gửi email về cho khách hàng hoặc quản trị viên với email From là SERVER_NAME. Hacker có thể lợi dụng việc này mà thay đổi Server name về một Server nào đó có chủ đích của họ và thực hiện việc Reset password.

Tiếp đến trong quá trình thực hiện việc làm đó họ có sẽ thực hiện một tác vụ gửi mail hàng loạt đến hòm thư của bạn khiến cho hòm thư của bạn không thể nhận được thư và hệ thống sẽ gửi lại người gửi FROM_EMAIL một thư phản hồi có chứa đường dẫn Reset Password và Hacker có thể lợi dụng được việc này để chiếm lấy mật khẩu của bạn.

Lợi dụng việc tự động trả lời email khi sai địa chỉ về emai From mà có thể reset lấy mật khẩu của bạn.

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4 loi-bao-mat-wordpressĐể bảo vệ bạn khỏi lỗi tấn công này bạn hoàn toàn có thể sử dụng phương pháp Fix cứng From Email trong file functions.php

bạn có thể thêm dòng code trên vào trong theme của bạn.

Mức độ nguy hiểm của lỗi này là khá thấp cho nên có rất nhiều báo cáo về lỗi này nhưng WordPress Team vẫn chưa khắc phục. Nếu các bạn đang sử dụng WordPress cho hệ thống của mình, tốt hơn hết hãy Fix nó, tuy nhiên cũng đừng nên quá lo lắng, vì đây là lỗi mà mức nguy hiểm ở cấp độ thấp.

Tin mới nhất

VR PLUS (https://vrplus.vn/ ) Là một trong những dự án do Lamvt thực hiện trong thời gian gần đây. Như...

Trong một năm qua, chúng tôi đã xuất bản khoảng 79 bài viết SEO trên blog Ahrefs. Các bài viết...

Khám phá kĩ thuật viết nội dung SEO Nếu không có SEO, nội dung của bạn có thể bị chìm...

Các website về lĩnh vực làm đẹp cần phải có một thiết kế (design) hấp dẫn và bắt mắt. Điều...

Core Web Vitals được đo lường như thế nào? Làm thế nào để bạn biết các bản sửa lỗi đã...

Tin được yêu thích

Như đã nói, phần mềm chỉnh sửa video đang ngày càng chứng tỏ được tầm quan trọng của mình, nhất...

Nhiều bạn thắc mắc là sau khi cài đặt Plugin cho Google AMP thì làm thế nào để kiểm tra,...

Các trang web giáo dục và các trang web của chính phủ có một lợi thế hơn trong bảng xếp...

Nội dung là một trong 3 tiêu chí quan trọng để google đánh giá thứ hạng tìm kiếm cho website...

Thẻ <span> </span> Thẻ <span> là thẻ khá đặc biệt trong HTML, theo mặc định thì thẻ <span> được thêm...

Khách đang xem

  1. Bất kể bạn có muốn thừa nhận hay không, Facebook  rất quan trọng trong ngành công nghiệp kinh doanh Online....
    21 giây trước
  2. Quản lý việc tải lên thế nào khi người dùng không đăng nhập? Các vấn đề liên quan tới thông...
    21 giây trước
  3. Là một người làm về SEO, một trong những cách tốt nhất để làm việc chính là tìm kiếm các kỹ thuật...
    27 giây trước
  4.  Hướng dẫn hoàn chỉnh cho người mới Domain Authority score (điểm thẩm quyền của tên miền trang web). Là một...
    26 giây trước
  5. Chào mừng các bạn đến với buổi tọa đàm trực tuyến do Google Adsence tổ chức ngày hôm nay Mình...
    23 giây trước
  6. Bước vào kỷ nguyên công nghệ số 4.0. Nhu cầu hội nhập, quảng cáo hình ảnh, thương hiệu, tên tuổi...
    2 giây trước
  7. Như chúng ta đã biết, công cụ tìm kiếm Google hiện đang giữ vị trí số một trong bảng xếp...
    19 giây trước
  8. Để kiểm tra tốc độ load của trang và tối ưu trang web một cách hiệu quả, chính xác nhằm...
    30 giây trước
  9. Nếu bạn đã cập nhật xu hướng Digital Marketing 2018 thì bạn chẳng thể bỏ qua khâu "gieo mầm" cực kỳ...
    13 giây trước
  10. Nhu cầu kinh doanh online ngày càng phát triển. Một trong những yếu tố tiên quyết đầu tiên giúp khách...
    21 giây trước