Đây là bản cập nhật cực kỳ quan trọng. Nó tập trung sửa các lỗ hổng bảo mật giúp hacker không thể chiếm quyền điều khiển website hoặc đánh cắp dữ liệu của bạn.
Các lỗi bảo mật chính đã được khắc phục trong phiên bản WordPress 6.9.2:
Đội ngũ WordPress đã xử lý 10 lỗ hổng nghiêm trọng, bao gồm:
- Lỗi chiếm quyền (Authorization Bypass): Sửa lỗi trong tính năng tải tệp đính kèm (AJAX) và phần Ghi chú (Notes), ngăn chặn người lạ thực hiện các hành động mà họ không có quyền.
- Lỗi chèn mã độc (Stored XSS): Khắc phục lỗi tại Menu điều hướng và các thuộc tính dữ liệu (
data-wp-bind). Nếu không sửa, hacker có thể chèn mã độc vào trang quản trị để đánh cắp thông tin đăng nhập của bạn. - Lỗi đọc file hệ thống (Path Traversal & XXE): Ngăn chặn hacker truy cập vào các thư mục nhạy cảm trên máy chủ thông qua thư viện xử lý file (PclZip) hoặc thư viện đọc thông tin file nhạc/video (getID3).
- Lỗi làm sập trang web (DoS): Sửa lỗi xử lý ký tự số khiến website bị treo hoặc chạy cực chậm khi bị tấn công.
- Lỗi yêu cầu giả mạo (SSRF): Ngăn chặn máy chủ của bạn bị lợi dụng để gửi các yêu cầu trái phép đến các dịch vụ khác.
Thông tin quan trọng bạn cần biết:
- Cập nhật tự động: Nếu bạn đang bật chế độ tự động cập nhật, website của bạn có thể đã được bảo vệ. Nếu chưa, hãy vào Dashboard -> Updates và nhấn cập nhật ngay.
- Hỗ trợ các phiên bản cũ: WordPress cũng đã chu đáo “vá” lỗi cho cả các phiên bản cũ hơn (tận đến bản 4.7). Tuy nhiên, lời khuyên là bạn luôn nên dùng bản mới nhất để an toàn nhất.
- Thư viện getID3: WordPress đã phối hợp với bên thứ ba để vá lỗi trong thư viện này, giúp việc xử lý các tệp tin đa phương tiện an toàn hơn.
Các khách hàng đang sử dụng dịch vụ Bảo trì website tại Code Tốt sẽ nhận cập nhật bản vá này trong vòng 24 giờ tới.
