Thành viên mới
Tham gia: 10:03, 10/05/2013
Bài gửi: 10
Được cảm ơn: 0 lần
|
Mã nguồn WordPress bị tấn công trên toàn cầu
Vừa qua Martino Hugo (Diễn Đàn Tin Học Việt Nam) đã nhận được báo cáo về một cuộc tấn công vào mã nguồn WordPress trên toàn thế giới.
[Cảnh báo này dành cho các bạn đang sử dụng WordPress làm trang tin tức, hoặc các nhà cung cấp Server, Hosting...]
Dưới đây chúng tôi sẽ có một bài viết nói chi tiết về vấn đề này và các bước để các bạn có thể đảm bảo giảm thiệt hại từ cuộc tấn công này
Chúng tôi khuyến khích bạn thực hiện các bước được đề cập dưới đây và chia sẻ thông tin này cho dù bạn có sử dụng hay không sử dụng mã nguồn WordPress, mục đích để bất cứ người bạn nào của bạn có sử dụng mã nguồn này biết và để thiệt hại ở mức thấp nhất.
---
Khi Martino Hugo viết bài này, cũng là lúc cuộc tấn công toàn cầu vào Mã nguồn Wordpress với mục đích chiếm tài khoản quản trị và thêm vào các script độc hại để có thể gây nguy hại cho người truy cập hay mục đích nào khác của các hacker.
Martino Hugo gần đây có nghe từ một trong những Công Ty Bảo Mật (ở nước ngoài) cảnh báo về cuộc tấn công lớn vào các tổ chức trên thế giới xuất phát từ các Website có chứa mã nguồn WordPress.
Một vài Team của các Diễn Đàn Hacker thế giới đã làm một phân tích chi tiết của mô hình tấn công và phát hiện ra rằng hầu hết các cuộc tấn công đã có nguồn gốc từ CMS (chủ yếu là wordpress). Phân tích tiết lộ thêm rằng các tài khoản quản trị đã bị xâm nhập (trong dạng này hay dạng khác) và các script độc hại được tải lên vào các thư mục.
Hôm nay, cuộc tấn công này đang xảy ra ở mức độ toàn cầu và Wordpress đang là mục tiêu chính. Cuộc tấn công được đánh giá là mức độ "highly distributed" (hầu hết các IP được sử dụng là giả mạo), và nó chính là khó khăn để có thể ngăn chặn tất cả các dữ liệu độc hại.
Để đảm bảo rằng các trang web của bạn và Khách hàng của bạn được an toàn và đảm bảo an toàn từ cuộc tấn công này, chúng tôi đề nghị các bước sau:
- Cập nhật và nâng cấp phiên bản wordpress của bạn và tất cả các plugin đã được cài đặt
- Cài đặt plugin bảo mật được liệt kê ở đây
- Đảm bảo rằng mật khẩu quản trị của bạn là an toàn và tốt nhất là nên dùng mật khẩu có kèm ký tự, số, ký tự đặc biệt, và khó đoán
- Cách khác làm "đóng băng" các gói cài đặt WordPress được chia sẻ tại http://goo.gl/UdYFi
Các bước bổ sung có thể được thực hiện để làm cho các trang web wordpress được an toàn:
- Disable lệnh DROP cho table DB_USER. Điều này thông thường không cần thiết khi bạn Cài đặt wordpress
- Xóa bỏ file README và các tập tin giấy phép (quan trọng) vì điều này cho thấy thông tin phiên bản
- Di chuyển file wp-config.php để một thư mục khác, và có thể CHMOD nó thành 400
- Sử dụng hiệu quả tập tin htaccess để lọc các tấn công
- Hạn chế quyền truy cập vào wp-admin (chỉ cho phép một IP cụ thể hoặc dải IP theo quốc gia)
- Và nên sử một vài Plugin bổ sung như sau: wp-security-scan, wordpress-firewall, ms-user-management, wp-maintenance-mode, ultimate-security-scanner, wordfence... Tại đây có thể giúp đỡ trong một vài trường hợp: http://goo.gl/SWXsJ
khách sạn hải phòng, khach san hai phong, hai phong hotel, thiet ke web hai phong, thiet ke website hai phong, quản trị web hải phòng, quản trị website hải phòng, seo hải phong, dịch vụ seo hải phòng, tủ bếp, tu bep, tủ bếp hà nội, tu bep ha noi, tủ bếp hải phòng, tu bep hai phong, mành rèm, manh rem hai phong, rem cua hai phong, rèm cửa, lo luyen thep trung tan, thap giai nhiet, tháp giải nhiệt, bep tu hai phong, nội thất hải phòng, du lịch hàn quốc, du lich han quoc, tour hàn quốc, tour han quoc, di du lich han quoc, tour du lich han quoc, đồng hồ cổ, am thanh co
|