Bootstrap

Vũ Thành Lâm

Content - Code - SEO - MMO
17/10/1979
Tây Mỗ - Nam Từ Liêm - Hà Nội
thanhlam19792003

Lamvt – Vũ Thành Lâm – bắt đầu Code 2005 Freelancer từ 2006 với hàng ngàn dự án lớn nhỏ cho nước ngoài và hàng trăm dự án web cho Việt Nam.

SEO thành công rất nhiều dự án lớn, độ khó cao.
MOD (Moderator) và Admin (Administraror) của nhiều diễn đàn về SEO và CODE web MMO tại Việt Nam
Dạy Lập trình Thiết kế Web và SEO Miễn phí 17++ Năm (Từ 2006 đến Nay)

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4

5/5 - (9 bình chọn)

Lỗi bảo mật 0-Day có thể lấy cắp mật khẩu truy cập vào web dựa trên mã nguồn mở WordPress 4.7.4 của bạn. Vậy hiểu làm sao về lỗi bảo mật này của WordPress và nguyên nhân nó từ đâu, làm sao để giới hạn phòng chống nó.

WordPress là một Blog dạng CMS cho người dùng dễ dàng tạo dựng trang web của mình chỉ trong vài cú click, với cộng đồng đông đảo người sử dụng trên thế giới thì WordPress hiện nay được thịnh hành nhất trên thế giới, cộng đồng người sử dụng càng đông thì những lỗi bảo mật và những cập nhật vá lỗi luôn luôn được thực hiện một cách kịp thời. Tuy nhiên có một lỗi trong việc Reset password (lấy lại mật khẩu bị quên) thì WordPress vẫn chưa khắc phục cho dù lỗi này được phát hiện từ 2012.

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4 wordpress-loi-bao-mat

Lỗi bảo mật 0-day WordPress từ đâu

wp-includes/pluggable.php
Trong file pluginable có dòng

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4 wordpress_loi_bao-mat

Khi người dùng quên password thì sẽ dùng chức năng Reset password để lấy lại mật khẩu của mình. Lúc đó hệ thống sẽ gửi email về cho khách hàng hoặc quản trị viên với email From là SERVER_NAME. Hacker có thể lợi dụng việc này mà thay đổi Server name về một Server nào đó có chủ đích của họ và thực hiện việc Reset password.

Tiếp đến trong quá trình thực hiện việc làm đó họ có sẽ thực hiện một tác vụ gửi mail hàng loạt đến hòm thư của bạn khiến cho hòm thư của bạn không thể nhận được thư và hệ thống sẽ gửi lại người gửi FROM_EMAIL một thư phản hồi có chứa đường dẫn Reset Password và Hacker có thể lợi dụng được việc này để chiếm lấy mật khẩu của bạn.

Lợi dụng việc tự động trả lời email khi sai địa chỉ về emai From mà có thể reset lấy mật khẩu của bạn.

Lỗi bảo mật 0-Day lấy cắp Password trong WordPress 4.7.4 loi-bao-mat-wordpressĐể bảo vệ bạn khỏi lỗi tấn công này bạn hoàn toàn có thể sử dụng phương pháp Fix cứng From Email trong file functions.php

bạn có thể thêm dòng code trên vào trong theme của bạn.

Mức độ nguy hiểm của lỗi này là khá thấp cho nên có rất nhiều báo cáo về lỗi này nhưng WordPress Team vẫn chưa khắc phục. Nếu các bạn đang sử dụng WordPress cho hệ thống của mình, tốt hơn hết hãy Fix nó, tuy nhiên cũng đừng nên quá lo lắng, vì đây là lỗi mà mức nguy hiểm ở cấp độ thấp.

Tin mới nhất

VR PLUS (https://vrplus.vn/ ) Là một trong những dự án do Lamvt thực hiện trong thời gian gần đây. Như...

Trong một năm qua, chúng tôi đã xuất bản khoảng 79 bài viết SEO trên blog Ahrefs. Các bài viết...

Khám phá kĩ thuật viết nội dung SEO Nếu không có SEO, nội dung của bạn có thể bị chìm...

Các website về lĩnh vực làm đẹp cần phải có một thiết kế (design) hấp dẫn và bắt mắt. Điều...

Core Web Vitals được đo lường như thế nào? Làm thế nào để bạn biết các bản sửa lỗi đã...

Tin được yêu thích

Như đã nói, phần mềm chỉnh sửa video đang ngày càng chứng tỏ được tầm quan trọng của mình, nhất...

Nhiều bạn thắc mắc là sau khi cài đặt Plugin cho Google AMP thì làm thế nào để kiểm tra,...

Các trang web giáo dục và các trang web của chính phủ có một lợi thế hơn trong bảng xếp...

Nội dung là một trong 3 tiêu chí quan trọng để google đánh giá thứ hạng tìm kiếm cho website...

Thẻ <span> </span> Thẻ <span> là thẻ khá đặc biệt trong HTML, theo mặc định thì thẻ <span> được thêm...

Khách đang xem

  1. Với mỗi SEOer các công cụ hay các phần mềm SEO là điều không thể thiếu trong quá trình làm...
    27 giây trước
  2. Nếu bạn quan tâm đến kiểu tiếp thị tìm kiếm Marketing online thời đại ngày nay, chắc hẳn bạn đã...
    25 giây trước
  3. Tối ưu hóa công cụ tìm kiếm được xem như là cách thức marketing online hiệu quả nhất hiện nay....
    1 giây trước
  4. Câu hỏi Làm cách nào để lấy nội dung WordPress post theo post id? m3tsys Câu trả lời chính xác...
    14 giây trước
  5. Việc mua bán hàng hóa, gửi bưu kiện giữa các tỉnh thành trong Việt Nam hay giữa Việt Nam với...
    10 giây trước
  6. Khi tìm hiểu về SEO, tất cả chúng ta đều được nghe đến câu nói "nội dung là vua". Theo...
    24 giây trước
  7. Website bán hàng là một trong những công cụ marketing hỗ trợ bán hàng hiệu quả nhất hiện nay. Nắm...
    26 giây trước
  8. Hiện nay có nhiều cách kiếm tiền khác nhau, tuy nhiên kiếm tiền bằng cách nào mới là vấn đề...
    7 giây trước
  9. Sau khi PHP 5 ra mắt vào năm 2004 thì phải đến hơn một thập kỉ bản phát hành chính...
    23 giây trước
  10. Tính đến nay, Việt Nam bao gồm 63 tỉnh thành. Trong đó, có 5 thành phố trực thuộc Trung ương...
    28 giây trước