Plugin WordPress Live Chat hiện được cài đặt trên hơn 60.000 trang web và Plugin WordPress Live Chat được giới thiệu là giải pháp thay thế miễn phí cho chức năng trò chuyện để thu hút khách hàng.
Nguy cơ các cuộc tấn công tự động
Các nhà nghiên cứu tại Sucuri phát hiện ra các phiên bản plugin trước phiên bản 8.0.27 dễ bị tổn thương bởi các lỗ hổng Cross-Site Scripting (XSS) , và có thể bị khai thác từ xa bởi kẻ tấn công không có tài khoản trên trang web bị ảnh hưởng.
Không phải xác thực trên trang web mục tiêu, kẻ tấn công có thể tự động hóa các cuộc tấn công của họ trên số lượng lớn các nạn nhân. Thêm vào đó là sự phổ biến của plugin và nỗ lực khai thác thấp, điều này có thể dẫn đến các cuộc tấn công tự động.
Lỗ hổng XSS được đánh giá là khá nghiêm trọng. Lỗ hổng này cho phép kẻ tấn công tiêm nhiễm mã độc (như Wanna Cry chẳng hạn) vào các trang web hoặc ứng dụng web và xâm phạm tài khoản của khách truy cập hoặc thêm các mã độc này vào các nội dung trang đã sửa đổi.
XSS có thể tồn tại "dai dẳng" nếu mã độc được thêm vào một phần được lưu trữ trên máy chủ, chẳng hạn như bình luận người dùng. Khi người dùng tải trang bị nhiễm mã độc, mã độc này được phân tích bởi cú phám trình duyệt hoàn thành các hướng dẫn của kẻ tấn công.
Theo các nhà nghiên cứu bảo mật của Sucuri, việc khai thác lỗ hổng có thể là do "admin_init hook" không được bảo vệ - vector tấn công các plugin WordPress phổ biến.
Các nhà nghiên cứu cũng cho biết thêm hàm "wplc_head_basic " không được sử dụng để chạy kiểm tra đặc quyền phù hợp để cập nhật cài đặt plugin WordPress.
Sau đó hàm chạy để kiểm tra đặc quyền quan trọng hơn như trong hình minh họa dưới đây:
" Vì admin_init có thể được gọi bằng cách truy cập /wp-admin/admin-post.php hoặc /wp-admin/admin-ajax.php , kẻ tấn công không xác thực có thể sử dụng các điểm cuối này để tùy ý cập nhật tùy chọn wplc_custom_js ".
Nội dung của tùy chọn hiện diện trên mọi trang hỗ trợ trò chuyện trực tiếp, vì vậy kẻ tấn công nhắm mục tiêu vào trang web dễ bị tấn công có thể tiêm mã JavaScript trên nhiều trang.
Sucuri đã báo cáo vấn đề này cho các nhà phát triển plugin vào hôm 30/4 vừa qua, phiên bản vá lỗi đã được phát hành vào hôm thứ 4.
WordPress là công cụ hỗ trợ tạo trang web tốt nhất hiện nay, người dùng chọn cách thiết kế, tạo blog bằng WordPress phổ biến vì không cần biết code vẫn có thể tạo được, nhưng để bắt đầu, trước hết bạn cần cài đặt WordPess trên máy tính của mình, tham khảo cách cài đặt WordPress tại đây.