Người dùng nên cẩn thận khi cập nhật các plugin của WordPress

Sáng sớm nay, các thành viên nhóm hỗ trợ WordPress đã phát hiện các bản cập nhật của nhiều plugin phổ biến (AddThis, WPtouch, và W3 Total Cache) có chứa backdoor được ngụy trang khéo léo.

Trên blog của mình, nhóm hỗ trợ cho rằng các bản cập nhật này không do tác giả của những plugin trên thực hiện. Họ đã loại bỏ những phần cập nhật mới và ngăn chặn tạm thời việc truy cập vào kho code các plugin này trong lúc tiến hành điều tra nguyên nhân.

Nhóm hỗ trợ WordPress đang điều tra sự việc và cân nhắc khả năng bắt buộc đặt lại mật khẩu trên toàn bộ trang wordpress.org. Để sử dụng diễn đàn, trac, hay gửi code lên các plugin hoặc giao diện, bạn cần đặt lại mật khẩu mới.

WordPress khuyên người dùng không nên dùng cùng mật khẩu đổi với hai dịch vụ khác nhau và khuyến khích không dùng lại mật khẩu cũ trước sự cố này.

Thứ hai là nếu có sử dụng các plugin AddThis, WPtouch hoặc W3 Total Cache và vừa cập nhật hôm qua, thì hãy cập nhật lên phiên bản mới nhất ngay bây giờ.

Theo WordPress



Bình luận

  • TTCN (12)
Bùi Anh Tuấn  624

chả biết quản lí plugin kiểu gì

hay là bị hacker tấn công thay đổi mã nguồn plugin, và đưa ra bản cập nhật giả mạo

may là mới cập nhật vài cái không thì khổ

Hải Nam  30903

Tác giả plugin bị mât mật khẩu, tin tặc trộm được rồi thì chèn mã độc vào, tạo bản cập nhật mới gửi lên wordpress.org. Sau đó thì WP tự thông báo để người dùng cập nhật => tự dính chưởng.

Bùi Anh Tuấn  624

đúng hơn thì tác giả bị hacker cố ý trộm pass

vì mấy plugin này được rất nhiều người dùng, nên nếu fake được thì mứcc độ lây lan lớn hơn

Bùi Anh Tuấn  624

vô cùng cảm ơn Khánh Vân đã kịp thời đưa tin

Khánh Vân  264

Cảm ơn bạn đã động viên!

Cảm ơn bạn, mình cũng đã cố gắng gửi bài ngay sau khi đọc được tin và BQT cũng phải duyệt bài viết nữa nên vẫn có thể chưa nhanh được như ý, mình sẽ cố gắng hơn trong những bài viết sau!

Hải Nam  30903

Dạo này BTV bị quá tải vì nhiều bài gửi quá, cũng may mình có ngó qua nên duyệt, chứ không chắc hôm nay bài mới lên Wink

Khánh Vân  264

Cám ơn bác Hải Nam, bác xem xét làm thế nào để những bài có tính chất thời sự "nóng hổi" được ưu tiên để BTV "ngó qua" trước, nếu không được thì thôi luôn được không ạ? Vì nhiều bài để lâu sẽ mất tính thời sự đi. Em còn một bài nữa có tính chất như vậy, sợ để lâu chắc là... không được đăng mất Big Grin

Bùi Anh Tuấn  624

mình đề xuất giải pháp đơn giản cho việc này nha: thêm prefix [thời sự] vào trước tiêu đề bài viết, ví dụ như bài viết này thì nó trông sẽ như thế này:

[thời sự] Một số plugin của WordPress bị nhiễm mã độc

BTV nhìn vào phát là thấy ngay, trừ khi buồn ngủ

Bùi Anh Tuấn  624

bài này mình cũng từng đọc qua cái tiêu đề tiếng Anh (đọc feed), nhớ nó nói đại khái là "Wordpress reset password" cứ tưởng do hacker phá WP.com như mọi khi

đến khi đọc bài này thì mới biết là do 3 cái plugin kia, giật mình cái đùng là mình bị dính 1 cái, không thì hên/xui

Bùi Anh Tuấn  624

WP khuyên người dùng nên cập nhật core cũng như plugin mới nhất để an toàn bảo mật

mà cập nhật cũng bị hack nữa thì thôi rồi, chẳng biết đâu mà lần

Khánh Vân  264

Mình nghĩ là thời buổi hacker hoành hành như thế này nếu có cập nhật mới cũng nên "nghe ngóng" tình hình một vài ngày cho chắc. Joomla cũng từng mắc lỗi bảo mật này cơ mà.

Bùi Anh Tuấn  624

good advice !!! thankiu !