# GÓC CÔNG NGHỆ > Tin tức công nghệ > Thảo luận | Đánh giá > Bảo mật & Lỗi bảo mật >  [Cảnh báo] Tấn công toàn cầu nhằm vào mã nguồn WordPress

## nguyenanhthuoc

Vừa qua *Martino Hugo (Diễn Đàn Tin Học Việt Nam)* đã nhận được báo cáo về một cuộc tấn công vào mã nguồn WordPress trên toàn thế giới.
*[Cảnh báo này dành cho các bạn đang sử dụng WordPress làm trang tin tức, hoặc các nhà cung cấp Server, Hosting...]*

​
Dưới đây chúng tôi sẽ có một bài viết nói chi tiết về vấn đề này và các bước để các bạn có thể đảm bảo giảm thiệt hại từ cuộc tấn công này


Chúng tôi khuyến khích bạn thực hiện các bước được đề cập dưới đây và chia sẻ thông tin này cho dù bạn có sử dụng hay không sử dụng mã nguồn WordPress, mục đích để bất cứ người bạn nào của bạn có sử dụng mã nguồn này biết và để thiệt hại ở mức thấp nhất.

---

Khi *Martino Hugo* viết bài này, cũng là lúc cuộc tấn công toàn cầu vào Mã nguồn Wordpress với mục đích chiếm tài khoản quản trị và thêm vào các script độc hại để có thể gây nguy hại cho người truy cập hay mục đích nào khác của các hacker.


*Martino Hugo* gần đây có nghe từ một trong những Công Ty Bảo Mật (ở nước ngoài) cảnh báo về cuộc tấn công lớn vào các tổ chức trên thế giới xuất phát từ các Website có chứa mã nguồn WordPress.


Một vài Team của các Diễn Đàn Hacker thế giới đã làm một phân tích chi tiết của mô hình tấn công và phát hiện ra rằng hầu hết các cuộc tấn công đã có nguồn gốc từ CMS (chủ yếu là wordpress). Phân tích tiết lộ thêm rằng các tài khoản quản trị đã bị xâm nhập (trong dạng này hay dạng khác) và các script độc hại được tải lên vào các thư mục.


Hôm nay, cuộc tấn công này đang xảy ra ở mức độ toàn cầu và Wordpress đang là mục tiêu chính. Cuộc tấn công được đánh giá là mức độ "*highly distributed"* (hầu hết các IP được sử dụng là giả mạo), và nó chính là khó khăn để có thể ngăn chặn tất cả các dữ liệu độc hại.


Để đảm bảo rằng các trang web của bạn và Khách hàng của bạn được an toàn và đảm bảo an toàn từ cuộc tấn công này, chúng tôi đề nghị các bước sau:



Cập nhật và nâng cấp phiên bản wordpress của bạn và tất cả các plugin đã được cài đặtCài đặt plugin bảo mật được liệt kê ở đâyĐảm bảo rằng mật khẩu quản trị của bạn là an toàn và tốt nhất là nên dùng mật khẩu có kèm ký tự, số, ký tự đặc biệt, và khó đoánCách khác làm *"đóng băng"* các gói cài đặt WordPress được chia sẻ tại http://goo.gl/UdYFi
Các bước bổ sung có thể được thực hiện để làm cho các trang web wordpress được an toàn:



Disable lệnh *DROP* cho table *DB_USER*. Điều này thông thường không cần thiết khi bạn Cài đặt wordpressXóa bỏ file README và các tập tin giấy phép (*quan trọng*) vì điều này cho thấy thông tin phiên bảnDi chuyển file *wp-config.php* để một thư mục khác, và có thể CHMOD nó thành 400Sử dụng hiệu quả tập tin *htaccess* để lọc các tấn côngHạn chế quyền truy cập vào *wp-admin* (chỉ cho phép *một IP cụ thể* hoặc *dải IP theo quốc gia)*Và nên sử một vài Plugin bổ sung như sau: wp-security-scan, wordpress-firewall, ms-user-management, wp-maintenance-mode, ultimate-security-scanner, wordfence... Tại đây có thể giúp đỡ trong một vài trường hợp: http://goo.gl/SWXsJ


*Martino Hugo (Diễn Đàn Tin Học Việt Nam Tổng Hợp từ Internet)*​
​
...

----------

