Hàng loạt plug-in phổ biến dùng cho WordPress bị phát hiện chứa "cửa hậu" (backdoor) trong mã nguồn, có thể giúp tin tặc thâm nhập và chiếm quyền điều khiển blog/website. Toàn bộ mật khẩu của tất cả tài khoản từ WordPress.org, BudyPress.org và bbPress.org đã phải tạo mới.


Các plugin mang lại sự linh hoạt về chức năng cho WordPress nhưng cũng là mối đe dọa một khi chúng có những lổ hổng bảo mật – Ảnh minh họa: Internet

Plugin WordPress.org bị "dính" backdoor

Các plugin được nhóm phát triển WordPress phát hiện có chứa backdoor bao gồm AddThis, WPtouch và W3 Total Cache. Đáng lo ngại là các plugin này có số lượng sử dụng khá lớn. AddThis đã gần chạm mức 450.000 lượt tải, W3 Total Cache đã vượt qua 500.000 lượt tải còn WPtouch (theme cho iPhone) được tải đến hơn 2 triệu lần.

Trích dẫn:

WordPress là nền tảng blog mở được sử dụng cho rất nhiều blog/website nổi tiếng như Engadget, Gizmodo… Ra đời vào năm 2003, WordPress.org là nơi trao đổi và chia sẻ của cộng đồng người dùng WordPress. WordPress.com là dịch vụ blog tương tự như Blogger.com của Google, nó cho phép bạn đăng ký một tài khoản và tạo ngay một blog cá nhân với rất nhiều tùy chọn giao diện, cài đặt plugin chức năng… mà không phải có tên miền hay nơi lưu trữ web riêng.

Do số lượng người dùng nền tảng blog WordPress lên đến hàng triệu, do đó, những lổ hổng bảo mật luôn là mối đe dọa to lớn với cả cộng đồng sử dụng. Phiên bản mới nhất của WordPress là WordPress 3.2 RC2 có thể tải về tại đây (Yêu cầu PHP 5.24, MySQL 5.0 và loại bỏ Internet Explorer 6.0 ra khỏi danh sách trình duyệt web hỗ trợ) hoặc tải plugin WordPress Beta Tester để thử nghiệm phiên bản WordPress mới.

Nhóm phát triển WordPress cho biết chủ nhân của các plugin này không có liên quan đến việc chèn backdoor vào sản phẩm của mình mà đây là một tác phẩm của các hacker. Nhóm cũng khuyến cáo tất cả người dùng đã cài đặt các plugin này vào blog/website của mình cần cập nhật ngay lên phiên bản mới nhất ngay lập tức, kèm theo đó là kiểm tra lại các thành phần đã cài đặt, xem xét lại lịch trình truy xuất vào máy chủ lưu trữ web, lịch trình đăng nhập của quản trị viên (admin).

Tất cả những thành viên đang sử dụng WordPress.org phải thay đổi mật khẩu của họ để tiếp tục sử dụng dịch vụ, diễn đàn… Lưu ý không sử dụng lại mật khẩu cũ hay dùng cùng một mật khẩu cho nhiều dịch vụ.

Đây là lần thứ hai kể từ đầu năm đến nay cộng đồng sử dụng WordPress phải thấp thỏm lo âu trước nguy cơ rò rỉ mật khẩu. Vào tháng tư, WordPress.com cũng đưa ra lời cảnh báo đến toàn bộ các blogger đang sử dụng dịch vụ này phải thay đổi mật khẩu sau khi một vài hacker thâm nhập vào một số máy chủ của dịch vụ blog này.

Đã đến lúc nâng cấp lên WordPress 3.2 RC2

Phiên bản WordPress 3.2 RC2 đã ra mắt cộng đồng sử dụng chỉ sau 2 tuần kể từ khi bản RC1 được phát hành. Một vài sửa chữa cho bản theme mặc định Twenty Eleven mới cũng như thay đổi một số tính năng.

Tốc độ hoạt động được tối ưu trong từng thành phần, WordPress 3.2 cũng giới thiệu một Dashboard hoàn toàn mới với giao diện thiết kế linh hoạt hơn.

Trong bản phát hành sắp tới, nhóm phát triển dự kiến bổ sung thêm chức năng soạn thảo blog toàn màn hình (full-screen), giúp blogger chỉ tập trung vào công việc soạn thảo. Chức năng này đã được thử nghiệm trên dịch vụ blog WordPress.com.

Theo Tuổi Trẻ Online

Bạn có thích bài viết này không?

[ Quay lại ]