Plugin lỗi thời là nguyên nhân khiến website wordpress bị hack

Sucuri báo cáo: bản plugin lỗi thời là nguyên nhân hàng đầu khiến website wordpress bị hack

3 Plugin đã chịu trách nhiệm cho 25 %  tất cả các website wordpress bị hack được phát hiện trong quý đầu tiên, Sucuri cho biết trong báo cáo gần đây  về hành động hack của những kẻ tấn công. Theo báo cáo, các phiên bản lỗi thời của các plugin RevSlider, GravityFormsTimThumb Script là nguyên nhân hàng đầu của việc bị hack của trang web WordPress.

Bài viết cũng chủ để:

Nguyên nhân wordpress bị hack

SUCURI REPORT: OUTDATED PLUGINS LEADING CAUSE OF WORDPRESS SITE HACKS

1. RevSlider

RevSlider chiếm phần lớn các lỗ hổng gây ra bởi ba plugin hàng đầu đã lỗi thời, một phần có thể do các gói này được đóng gói trong các Theme và các Framework khác.

“Tuy nhiên, thách thức lớn nhất với RevSlider là nó được nhúng trong Theme và Framework và một số chủ sở hữu trang web không biết rằng họ đã cài đặt nó cho đến khi nó được sử dụng để ảnh hưởng xấu đến chúng thông qua thỏa hiệp”…….. báo cáo cho biết.

* Lỗ hổng RevSlider đã xâm nhập hơn 100.000 trang web vào tháng 12 năm 2014. Các hiệu ứng không được cảm nhận cho đến năm 2015, tuy nhiên, mặc dù việc phát hành bản vá ngay sau khi lỗ hổng được tiết lộ.

SUCURI REPORT: OUTDATED PLUGINS LEADING CAUSE OF WORDPRESS SITE HACKS

* Trong năm 2012, TimThumb chiếm 49% tất cả các hack site WordPress, và mặc dù sửa chữa đã có sẵn trong nhiều năm, lỗ hổng vẫn chịu trách nhiệm cho 6% tất cả các lỗ hổng WordPress được phát hiện trong quý đầu tiên của năm 2016.

Sucuri báo cáo: bản plugin lỗi thời là nguyên nhân hàng đầu gây ra hack trang web wordpress

 

“Dữ liệu này, đặc biệt là xu hướng với TimThumb, [nói với chúng tôi]  ta có thể mong đợi các vấn đề trong các phiên bản cũ, dễ bị tổn thương. GravityForms và RevSlider tiếp tục gặp vấn đề trong nhiều năm tới”. Giám đốc điều hành của Sucuri Tony Perez nói.

Perez nhấn mạnh rằng dữ liệu này không minh họa một vấn đề với các nhà phát triển plugin, nhưng nêu bật một chủ sở hữu trang web thách thức rất thực tế trong việc giữ cho trang web và plugin của họ được cập nhật.

“Thật dễ dàng để nói với ai đó rằng họ phải luôn cập nhật, nhưng đó là một điều khác với a) ở hiện tại và b) mong các chủ trang web làm như vậy”, ông nói. “Chúng tôi đang đối mặt với một vấn đề thực sự của sự mệt mỏi về bảo mật giữa các chủ sở hữu trang web.”

75% khai thác WordPress khác vào đầu năm 2016 được truy nguồn từ các thành phần có thể mở rộng của nền tảng, chẳng hạn như plugin và chủ đề chứ không phải với chính cốt lõi. Tương tự, một số lượng lớn các hacks này có khả năng đến từ các plugin đã lỗi thời khai thác.

Trong khi báo cáo nêu bật các vấn đề bảo mật do phần mềm lỗi thời, nó cũng lưu ý rằng giá vé WordPress tốt hơn nhiều so với đối thủ khi nói đến bảo mật, có khả năng là do các sáng kiến cập nhật tự động và các biện pháp bảo mật khác được thực hiện bởi các nhà phát triển plugin và chủ đề .