Home Kiến thức WebsiteWordPress Cảnh báo cho người dùng WordPress sử dụng Elementor và Beaver Builder

Cảnh báo cho người dùng WordPress sử dụng Elementor và Beaver Builder

by Thạch Phạm
Published: Last Updated on
A+A-
Reset

Một tin không may cho những người dùng WordPress – Mới đây ngày 11/12/2019, các nhà nghiên cứu đã phát hiện ra lỗ hổng xác thực tồn tại trên 2 plugin Elementor và Beaver Builder. Lỗ hổng này có làm ảnh hưởng đến website của bạn và làm sao để vá lỗ hổng này? Hãy cùng AZDIGI tìm hiểu rõ hơn về vấn đề này nhé!

Lỗ hổng xác thực trong Elementor và Beaver Builder

Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng xác thực quan trọng đang được dễ dàng khai thác trong 2 plugin “Ultimate Addons for Beaver Builder,” và “Ultimate Addons for Elementor” . Điều đáng lo ngại hơn là những kẻ tấn công đã bắt đầu khai thác lỗ hổng này chỉ trong vòng 2 ngày sau khi phát hiện ra để thỏa hiệp với các trang web dễ bị tấn công và chúng đã nhanh chóng cài đặt một cửa hậu độc hại để có thể truy cập ngay sau đó.

Cả 2 plugin này đều do công ty phát triển phần mềm Brainstorm Force sản xuất và hiện đang cung cấp năng lượng cho hàng trăm ngàn trang web WordPress sử dụng khung Elementor và Beaver Builder – Giúp quản trị viên và nhà thiết kế mở rộng chức năng của trang web với nhiều widget, mô-đun, templates.

Theo những nhà nghiên cứu, lỗ hổng nằm ở cả 2 plugin cho phép chủ tài khoản WordPress bao gồm quản trị viên, xác thực thông qua cơ chế đăng nhập của facebook và google.

Tuy nhiên, do việc thiếu kiểm tra xác thực khi đăng nhập qua Facebook và Google, nên các plugin lại càng dễ dàng bị tấn công. Nó cho phép tất cả người dùng đăng nhập vào dù là độc hại hay không mà không cần bất kì mật khẩu nào.

Bên cạnh đó, các phương thức xác thực của Facebook và Google đều đã được thông qua việc xác minh mã chứ không thông qua mật khẩu nên mật khẩu không được kiểm tra khi xác thực.

Các hacker khai thác lỗ hổng trong Elementor và Beaver Builder bằng cách nào?

Để có thể khai thác lỗ hổng này, các hacker cần sử dụng ID email của người dùng quản trị trang web. Và trong hầu hết các trường hợp, thông tin này có thể được truy xuất khá dễ dàng.

Nhờ đó chúng đã lợi dụng lỗ hổng này để xâm nhập website, cài đặt plugin thống kế SEO giả sau khi tải tệp tmp.zip trên máy chủ WordPress đã được nhắm là mục tiêu trước đó. Cuối cùng sẽ thả tệp blacklink wp-xmlrpc.php vào thư mục gốc.

Lỗ hổng trong Elementor và Beaver Builder

May mắn là MalCare đã phát hiện ra lỗ hổng vào ngày 11/12/2019 và đã nhanh chóng giải quyết vấn đề bằng cách phát hành các phiên bản vá của cả 2 plugin trên chỉ trong 7 giờ.

 Lỗ hổng bỏ qua xác thực đã được vá bằng việc phát hành “Ultimate Addons for Elementor version 1.20.1” and “Ultimate Addons for Beaver Builder version 1.24.1” 

Để ngăn ngừa các hacker lạm dụng lỗ hổng xác thực, các website WordPress sử dụng 2 plugin trên nên cập nhật các phiên bản mới nhất để vá lỗ hổng tránh những thiệt hại lớn đối với các website của bạn.

Hãy thường xuyên theo dõi fanpage và blog của AZDIGI để cập nhật các tin tức và khuyến mãi mới nhất! Cảm ơn các độc giả đã đọc bài viết.

Đánh giá

Tham gia nhóm hỗ trợ Server - Hosting

Tham gia nhóm Hỗ trợ Server - Hosting & WordPress để cùng nhau hỏi đáp và hỗ trợ các vấn đề về WordPress, tối ưu máy chủ/server.

Tham gia ngay

Bài viết cùng chuyên mục

AZDIGI – Không chỉ là đơn vị hàng đầu trong lĩnh vực Web Hosting và Máy chủ, chúng tôi mong muốn mang lại những kiến thức bổ ích nhất và luôn cập nhật thường xuyên cho cộng đồng người đam mê thiết kế website, công nghệ,…

Vui lòng không sao chép nội dung nếu chưa xin phép. Designed and Developed by PenciDesign