Hạn chế tấn công bởi malware bằng việc cập nhật WordPress thường xuyên

Cộng đồng sử dụng website bằng WordPress đã không ít lần dậy sóng khi những plugin, giao diện và cả WordPress có lỗ hổng bảo mật và cần bản vá. Bạn sẽ không thể dự đoán lúc nào website có bản cập nhật, và đôi khi, cả những bản cập nhật cũng chưa hoàn hảo và gây ra các lỗi khác.

Tuy nhiên, bạn không thể không tính đến các khả năng website bị tấn công thông qua những lỗ hổng bảo mật. Các website bị tấn công bởi malware vẫn diễn ra hàng ngày trên khắp Internet. Và nó có thể xảy đến với cả website của bạn theo hai cách.

Plugin có lỗ hổng bảo mật và cần cập nhật ngay lập tức

Đừng nghĩ rằng bạn đang sử dụng các plugin phổ biến nhất với hàng triệu lượt cài thì sẽ ít lỗi bảo mật hơn. Chẳng hạn, vào ngày 20/01/2021, nhóm bảo mật của Wordfence đã phát hiện 4 lỗi bảo mật nghiêm trọng với plugin Ninja Forms – đang được hơn 1 triệu website cài đặt. Lỗi này cho phép kẻ tấn công điều hướng người dùng tới website ngoài ý muốn. Tất nhiên, tác giả của plugin khi được cảnh báo đã ngay lập tức phát hành bản vá bảo mật.

Và đó là điều bạn cần lưu ý. Nếu website có hiện lên bản cập nhật plugin mới, hãy đọc kĩ và khẩn cấp cập nhật nếu đó là bản vá bảo mật. Thường các tác giả phát triển plugin và giao diện hay có Changelog – nhật ký ghi nhận thông tin bản cập nhật mới. Ngay cả khi bạn chẳng cài plugin gì mà sử dụng WordPress mặc định, nguy cơ ấy vẫn xảy ra. Như phiên bản WordPress 5.7.1 và 5.7.2 dùng để vá các lỗ hổng bảo mật quan trọng. Các chuyên gia tại Code Tốt đã phải tiến hành khắc phục 1 số website do phát hiện bị tấn công và cả tá file malware nằm trong các thư mục uploads.

Malware được cố ý cài vào bởi chính tác giả của plugin hay giao diện

Một trong những điều mà bất ngờ gần đây được nhắc đến là cách các plugin phổ biến bỗng thành nguồn phát tán malware. Cơ chế này thực ra là lỗ hổng của cộng đồng mã nguồn mở.

  • Một plugin miễn phí được nhiều website cài đặt và sử dụng.
  • Tác giả plugin bán quyền tác giả cho một bên thứ ba.
  • Bên thứ  ba đưa vào các cập nhật có ý đồ tấn công.

Điều này thực tế là mối nguy tiềm tàng. Phần lớn các plugin WordPress là miễn phí. Cũng bởi vậy, thật khó để xác định nhanh nó có ẩn chứa nguy cơ bảo mật gì không khi người phát hành chính là tác giả của plugin. Một ví dụ điển hình chính là việc NanoAdblocker và NanoDefender – 1 ứng dụng mở rộng của trình duyệt Chrome đã được phát hiện có hành vi khả nghi vào cuối năm 2020. Tác giả của ứng dụng thực tế đã bán cho một bên thứ ba – mà cuối cùng, là đã có bản cập nhật chứa code có khả năng tấn công – vào cửa hàng Google Store.

Loại tấn công này thực sự đáng sợ và lợi dụng sự tin tưởng của cộng đồng với tác giả của plugin. Chẳng ai biết plugin thực tế sẽ được bán khi nào và thuộc về ai hay các hành vi khả nghi cả.

Theo dõi tin tức và cập nhật thường xuyên

Thật tiếc là dù bạn có thể tránh được cách đầu tiên bằng việc chăm chỉ update các bản vá plugin, thì khả năng thứ hai vẫn luôn tiềm tàng. Là người sở hữu website, bạn nên cân nhắc tới phương án thuê hỗ trợ từ chuyên gia công nghệ, hay mua các gói dịch vụ, ví dụ như dịch vụ bảo trì mà Code Tốt đang cung cấp. Nó không chỉ giúp hạn chế tối đa khả năng tấn công, mà còn cung cấp dịch vụ khôi phục trạng thái website về tình trạng ban đầu, thứ mà ta coi như quý hơn vàng khi dữ liệu và nội dung website cần được an toàn và tránh ảnh hưởng tới kết quả SEO.

Bài viết liên quan