Lỗ hổng ảnh hưởng tới các phiên bản từ 4.6.1 trở xuống (tức là bao gồm cả phiên bản mới nhất). Hiện tại phía WordPress chưa có bản cập nhật nào.
Với hai lỗ hổng XSS này, hacker hoàn toàn có thể tải web-shell lên trang web của bạn. Xem video demo trong bài viết này để hình dung được mức độ nguy hiểm.
Để khắc phục lỗ hổng. Các bạn có thể vô hiệu hóa bình luận bằng cách truy cập Discussion Settings:
http://your-site.com/wp-admin/options-discussion.php
Và bỏ đánh dấu ở ô "Allow people to post comments on new articles" (Cho phép mọi người đăng bình luận...)
Plugin giúp bảo vệ trang WordPress của bạn
Vì những lý do trên, tớ đã tạo ra một bản vá lỗi tạm thời trong khi chờ WordPress Team cập nhật: https://github.com/J2TeaM/wordpress-xss-patchPlugin này sẽ hook vào phần bình luận và đăng bài viết để lọc dữ liệu trước khi lưu vào Database cũng như khi in bình luận ra trang bài viết. Điều đó giúp mã độc do hacker chèn vào không thể thực thi được.
Các bạn chỉ việc tải về, truy cập vào trang cài đặt plugin mới: http://your-site.com/wp-admin/plugin-install.php
Nhấn vào nút Upload Plugin và duyệt tới file .zip mà các bạn đã tải về.
Sau khi tải lên, đừng quên Activate (kích hoạt) plugin để bản vá có hiệu lực nhé! ;)
Hãy chia sẻ với bạn bè của bạn - những ai mà đang sử dụng WordPress!