WordPress 5.4.2 vá 6 lỗ hổng XSS


Phiên bản WordPress mới nhất 5.4.2 vừa được phát hành. Phiên bản xử lý 23 lỗ hổng cùng nhiều tiện ích mở rộng, trong đó có 6 lỗ hổng XSS.Các lỗ hổng được vá ở mức nghiêm trọng trung bình. Để khai thác những lỗ hổng này, tin tặc cần có đặc quyền tác giả trên trang web sử dụng WordPress.

Điều này có nghĩa là các quản trị viên website WordPress không cho phép người dùng tự đăng ký hoặc cấp quyền truy cập cho những người dùng không rõ danh tính sẽ không bị ảnh hưởng.

WH-WordPress-Vulnerability.png
Tuy nhiên, theo đánh giá của các thành viên nhóm phát triển WordPress, các quản trị viên vẫn nên cập nhật lên phiên bản WordPress 5.4.2.

Một trong những lỗ hổng XSS được xử lý trong bản vá lần này bắt nguồn từ việc người dùng xác thực với đặc quyền thấp có thể thêm các đoạn mã JavaScript độc hại vào bài đăng trong trình chỉnh sửa khối của WordPress. Lỗ hổng này được phát hiện bởi nhà nghiên cứu Sam Thomas. Một lỗ hổng XSS khác trên WordPress cho phép người dùng xác thực có quyền upload thêm các đoạn mã JavaScript vào các tệp đa phương tiện rồi tải lên website. Để khai thác lỗ hổng này, kẻ tấn công cần có quyền tác giả (author) của trang web.

Một lỗ hổng XSS khác bắt nguồn từ việc tải chủ đề lên trang web.

Ngoài ra, bản cập nhật cũng xử lý một vấn đề chuyển hướng mở trong hàm wp_validate_redirect(), được phát hiện bởi Ben Bidner thuộc nhóm nghiên cứu WordPress. Lỗ hổng cho phép kẻ tấn công chuyển hướng truy cập trang web tới một trang web khác. Một vấn đề khác đó là các bình luận trên bài đăng và trang được bảo vệ bằng mật khẩu có thể được hiển thị trong các điều kiện nhất định cũng đã được giải quyết.

Theo: WordPress / WhiteHatVN


Hơn 1 triệu trang WordPress bị tấn công đánh cắp thông tin cơ sở dữ liệu

Cuối tuần vừa qua, 1,3 triệu trang WordPress bị tấn công với mục tiêu tải xuống các tệp cấu hình và thu thập thông tin cơ sở dữ liệu. Những kẻ tấn công đã cố gắng khai thác các lỗ hổng XSS cũ trong các plugin và theme WordPress. Rất may, nỗ lực tấn công đã không thành công.

Đây là phát hiện của các nhà nghiên cứu tại Wordfence. Theo đó, từ ngày 29/5 đến 31/5, các nhà nghiên cứu đã quan sát (và chặn) hơn 130 triệu cuộc tấn công nhắm mục tiêu vào 1,3 triệu trang web. Đỉnh cao của chiến dịch này xảy ra vào ngày 30/5. Khi đó, các cuộc tấn công từ chiến dịch này chiếm 75% tất cả nỗ lực khai thác lỗ hổng plugin và theme trên toàn hệ sinh thái WordPress.

​Cụ thể, các cuộc tấn công nhắm mục tiêu tải xuống wp-config.php, một tệp quan trọng đối với tất cả các cài đặt WordPress. Tệp này nằm trong các thư mục tệp WordPress và chứa các thông tin cơ sở dữ liệu và thông tin kết nối của trang web, cũng như các khóa và salt xác thực duy nhất. Bằng cách tải xuống các tệp cấu hình của trang web, kẻ tấn công sẽ có quyền truy cập vào cơ sở dữ liệu của trang, nơi lưu trữ nội dung và thông tin đăng nhập trang web.

Các nhà nghiên cứu đã liên kết kẻ đứng sau chiến dịch này với một cuộc tấn công trước đó hồi tháng 5 nhắm vào các lỗ hổng XSS.

Wordfence cho biết có một loạt lỗ hổng đang bị tấn công như một phần của chiến dịch, nhưng không nêu chi tiết các CVE cụ thể.

Hầu hết lỗ hổng trong số chúng nằm trong các theme hoặc plugin được thiết kế để cho phép tải xuống tệp bằng cách đọc nội dung của tệp được cung cấp trong chuỗi truy vấn và sau đó phân phát dưới dạng tệp đính kèm có thể tải xuống”.

Các trang web có thể đã bị xâm nhập phải thay đổi mật khẩu cơ sở dữ liệu và các khóa và salt xác thực duy nhất ngay lập tức.

Người dùng cũng cần đảm bảo rằng các plugin của họ được cập nhật vì các lỗ hổng trong plugin và thêm WordPress tiếp tục là một vấn đề. Trong chiến dịch gần đây, nhiều lỗ hổng đã có sẵn các bản vá – nhưng người dùng chưa cập nhật, khiến trang web của họ dễ bị tấn công.

Theo Threatpost​/ WhitehatVN

Những câu trả lời phỏng vấn mình thích, rất chất và thật !


Bài viết là một vài phỏng vấn blogger Hà Trúc, những trích đoạn mình thích xin trích lại để đây, còn bài viết đầy đủ các bạn tham khảo link nhé.

Hot Blogger Hà Trúc: Khám phá những trăn trở tuổi trẻ đằng sau “ăn ngon, mặc đẹp” và du lịch sang chảnh

Nhắc tới Lê Hà Trúc, người ta thường nghĩ tới các chuyến phiêu lưu khắp mọi miền với hình ảnh đẹp mỹ mãn của cô nàng xinh đẹp và đáng yêu này. Ấy vậy, đằng sau một Hà Trúc gần như hoàn hảo không điểm khuyết ấy, cũng không thiếu những trăn trở của tuổi trẻ, của việc “diện đẹp, ăn ngon chưa bao giờ là dễ dàng”.

PV: Nghĩ ra ý tưởng chụp ảnh tại một địa điểm cũng không phải điều dễ dàng mà cần nhiều lắm sự sáng tạo phải không Hà Trúc?

TL: Nếu chỉ là chụp ảnh để đăng tải lên mạng xã hội thì là điều quá dễ dàng. Bạn có thể chọn những tấm hình tùy thích, chụp tùy hứng, thích là đăng. Còn với một blogger đó là công việc, mà không có công việc nào đơn giản cả.  Một bức hình xấu hay nhàm chán, đơn điệu sẽ khiến hình ảnh của bạn bị ảnh hưởng. Nếu muốn tồn tại và phát triển thì tất nhiên, sự sáng tạo theo Trúc là yếu tố quan trọng nhất.

PV: Như vậy, bạn chọn An toàn – Chắc chắn hay Liều lĩnh – Phá cách?

TL: Hmm… Có thể nằm ở giữa hai điều này được hay không? (cười). An toàn mãi thì sẽ nhàm chán, còn liều lĩnh thì đôi khi lại mang lại kết quả hơi hên xui. Mình thích một chút an toàn chắc chắn và một chút sáng tạo.

PV: Lifestyle blogger đã không còn là một nghề quá xa lạ, theo Hà Trúc, làm thế nào để mình được biết tới và trở nên nổi bật hơn giữa số đông?

TL: Đầu tiên, bạn hãy trả lời câu hỏi: bạn có thể dành bao nhiêu thời gian quý báu của bạn cho “nghề”? Nhiều bạn rất thích và thật sự mong muốn trở thành một Blogger, nhưng chưa thật sự nghiêm túc và vẫn nghĩ công việc này chỉ là một nơi để bạn rong chơi. Sự đầu tư của Blogger cũng không thua kém bất kỳ ngành nghề nào, theo cả nghĩa đen và nghĩa bóng. 

Làm thế nào để trở nên nổi bật giữa đám đông là một câu hỏi khó. Hãy cho mọi người thấy điểm mạnh của bạn và phát huy điều đó tối đa. Tuy nhiên, đừng cố gắng biến mình thành một người khác, cái gốc vẫn là chính bạn và phát triển lên thôi.

PV: Hà Trúc có lời khuyên nào cho các bạn trẻ đang muốn làm công việc như bạn?

TL: Siêng năng là chìa khoá. Nghe đơn giản nhưng đó là cả quá trình không phải ngày một ngày hai. Để làm một blogger, trước hết bạn phải hiểu cuộc sống của mình và biết cách truyền tải những điều ấy qua chữ nghĩa, hình ảnh. Và dù thất bại cũng không được nản, càng vấp ngã càng phải đứng dậy cao hơn và cao hơn.  

Tham khảo : https://nguoidentubinhduong.blogspot.com/2019/09/hot-blogger-ha-truc-kham-pha-nhung-tran.html

Make money online for beginner


30 “Proven” Ways to Make Money Online Blogging with WordPress

https://www.wpbeginner.com/beginners-guide/make-money-online/

%d bloggers like this: