Lỗ hổng bảo mật lớn được tìm thấy trong WordPress Plugin All in One SEO Pack

Nếu bạn đang sử dụng plugin hỗ trợ SEO phổ biến All in One SEO Pack, bạn nên ngay lập tức cập nhật phiên bản mới của chúng ngay. Hai lỗ hổng bảo mật và một lỗ hổng cross-site scripting (XSS) vừa được phát hiện có thể gây nguy hiểm cho website của bạn ngay lập tức. Sucuri – một website giám sát và cung cấp dịch vụ quét dọn phần mềm mã độc là nơi đầu tiên phát hiện ra lỗ hổng này.

Nếu bạn là người sử dụng All in One SEO Pack và chưa tiến hành cập nhật, điều tốt nhất bạn nên làm là loại bỏ bản thân khỏi chỉ mục tìm kiếm của Google để ngăn chặn spam bởi vì kẻ tấn công có thể thay đổi tiêu đề, mô tả và thẻ meta keyword. Lỗi bảo mật vừa được tìm thấy mở ra cho bên thứ ba khả năng thay đổi nhiều thông tin SEO mà họ không được phép.

Tuy nhiên, những lỗi này còn gây nguy hiểm hơn cho chủ trang web hơn những gì đã nói ở trên:

Chúng tôi cũng phát hiện ra lỗi này có thể được sử dụng kèm với các lỗ hổng để thực thi mã Javascript độc hại trên bản điều khiển của quản trị viên. Điều này có nghĩa là kẻ tấn công có thể tiêm bất kỳ mã độc Javascript nào vào và thực hiện các chức nay thay đổi thông tin của quản trị viên, thay đổi mật khẩu, để lại một số backdoor trên các tập tin trên trang web của bạn để thực hiện những hành vi “ác” hơn sau này…

Theo thống kê, Plugin All in One SEO Pack đã nhận được hơn 18 triệu lượt download – điều này có nghĩa là một lượng rất lớn người dùng sẽ phải đối mặt với các nguy cơ bảo mật cao liên quan đến plugin này, đặc biệt là những người ít thường xuyên cập nhật plugin.

Cùng với WordPress SEO by Yoast, All In One Seo Pack là một trong những plugin hỗ trợ SEO phổ biến nhất trong cộng đồng người sử dụng WordPress hiện nay. Hiện nay plugin đã được tác giả cập nhật và vá các lỗi bảo mật, bạn có thể cập nhật tại đây. Tuy nhiên, tác giả chưa đưa ra bất kỳ bình luận nào có liên quan đến các lỗi bảo mật vừa được khám phá ra.

Đọc thêm: Bảo mật WordPress