Là một trong những nền tảng xây dựng website phổ biến nhất thế giới, WordPress thường xuyên trở thành mục tiêu của các chiến dịch mã độc. Gần đây, một chiến dịch tấn công quy mô lớn đã được ghi nhận, nhắm vào hàng nghìn website WordPress. Dù các nhà nghiên cứu bảo mật vẫn đang nỗ lực tìm hiểu chính xác cách thức lây nhiễm, nhưng đã có những phương pháp cụ thể để kiểm tra xem website WordPress của bạn có bị ảnh hưởng hay không, cũng như cách để phòng thủ hiệu quả trước các cuộc tấn công mã độc WordPress đang diễn ra.
WP3.XYZ: Chiến Dịch Mã Độc Nguy Hiểm Nhắm Vào WordPress
Theo báo cáo từ c/side, một công ty an ninh mạng uy tín, gần đây có tới 5.000 website WordPress đã trở thành nạn nhân trong một chiến dịch mã độc quy mô lớn. Mã độc này sử dụng một tên miền độc hại có tên WP3.XYZ. Báo cáo trên blog của c/side chỉ rõ, WP3.XYZ được sử dụng để “trích xuất dữ liệu nhạy cảm, bao gồm thông tin đăng nhập quản trị (admin credentials) và trạng thái hoạt động của website”, đồng thời cho phép kẻ xấu tạo ra các tài khoản quản trị viên trái phép. Sau khi chiếm quyền, những tài khoản admin giả mạo này có thể tải xuống các plugin WordPress nguy hiểm lên các website bị tổn thương, gây ra thiệt hại nghiêm trọng.
Mô tả chi tiết về domain độc hại WP3.XYZ được công ty an ninh mạng c/side phát hiện trong chiến dịch tấn công WordPress.
Tuy nhiên, có một tin tốt là những hoạt động bất thường như sự xuất hiện của các tài khoản quản trị viên không được ủy quyền thường để lại dấu vết trong mã nguồn website. Điều này giúp các quản trị viên có thể rà soát lại website của mình để phát hiện và gỡ bỏ chúng, cùng với bất kỳ plugin đáng ngờ nào đã được cài đặt.
Hướng Dẫn Kiểm Tra và Bảo Vệ Website WordPress Của Bạn
Nếu bạn đang sở hữu một website WordPress, việc kiểm tra tình trạng bảo mật là vô cùng cần thiết. Dưới đây là các bước và biện pháp bảo vệ bạn nên thực hiện ngay lập tức:
Kiểm tra website có bị nhiễm mã độc không?
Bạn nên sử dụng các công cụ quét bảo mật website hoặc tự kiểm tra thủ công. Các dấu hiệu nhận biết website bị nhiễm độc bao gồm: sự xuất hiện của các plugin không dùng đến, đáng ngờ, hoặc các tài khoản quản trị viên (admin) không phải do bạn tạo. Nếu phát hiện các lỗ hổng hoặc dấu hiệu đáng ngờ, bạn cần đăng nhập vào tài khoản WordPress của mình để gỡ bỏ ngay lập tức những plugin không sử dụng, những plugin lạ, cũng như xóa bỏ các tài khoản quản trị viên trái phép.
Các biện pháp phòng ngừa và bảo vệ chuyên sâu
Dù website của bạn có bị ảnh hưởng bởi cuộc tấn công mã độc gần đây hay không, bạn vẫn cần thực hiện các bước để bảo vệ website WordPress của mình một cách chủ động. Đối với cuộc tấn công WP3.XYZ này, bạn có thể nhanh chóng triển khai một biện pháp bảo vệ bằng cách chặn tên miền sau trong tường lửa hoặc các công cụ bảo mật của mình:
https://wp3[.]xyzNgoài việc chặn các tên miền độc hại như trên, bạn cũng nên thiết lập xác thực đa yếu tố (MFA) cho tài khoản quản trị viên của mình để tăng cường lớp bảo vệ. Cuối cùng, hãy thêm hoặc kiểm tra lại các tính năng bảo vệ chống lại các cuộc tấn công Cross-Site Request Forgery (CSRF).
Đội ngũ nghiên cứu của c/side vẫn đang điều tra nguồn gốc chính xác của các tập lệnh độc hại này, do đó chúng ta chưa biết chính xác lỗ hổng nằm ở đâu. Tuy nhiên, các plugin và giao diện (theme) từ bên thứ ba không được xây dựng đúng cách thường là nguồn gốc của mã độc. Vì lý do này, bạn nên kiểm tra kỹ nguồn gốc của các plugin và theme bạn đang sử dụng, đảm bảo chúng đến từ các nhà cung cấp uy tín, có đánh giá tốt và được cập nhật thường xuyên.
Tấn công mạng như phá hoại website (website defacement) và lừa đảo trực tuyến (phishing attacks) là những thực tế không thể tránh khỏi trong thời đại kỹ thuật số của chúng ta. Điều quan trọng là phải luôn cảnh giác và chủ động bảo vệ tài sản số của mình, ngay cả khi bạn đang tập trung vào các lĩnh vực khác của công việc hay cuộc sống cá nhân.
