Là nền tảng quản trị nội dung (CMS) phổ biến nhất thế giới, WordPress luôn là mục tiêu hàng đầu của tội phạm mạng. Việc chậm trễ trong khâu cập nhật bảo mật có thể dẫn đến rò rỉ dữ liệu khách hàng, gián đoạn hoạt động kinh doanh và gây thiệt hại nghiêm trọng đến uy tín thương hiệu.
Bức tranh toàn cảnh về rủi ro bảo mật trong tuần
Theo hệ thống cơ sở dữ liệu của Wordfence, chỉ trong 7 ngày, không gian mạng đã ghi nhận sự xuất hiện của hàng loạt nguy cơ mới:
- Mức độ lây lan: Ghi nhận tổng cộng 78 lỗ hổng bảo mật, ảnh hưởng trực tiếp đến 62 plugin và 2 theme khác nhau.
- Sự vào cuộc của giới chuyên gia: 59 nhà nghiên cứu an ninh mạng độc lập đã tham gia phát hiện và báo cáo các điểm yếu này.
- Tình trạng khắc phục: Đã có 66 lỗ hổng được các nhà phát hành tung bản vá (patched). Tuy nhiên, đáng lo ngại là vẫn còn 12 lỗ hổng ở trạng thái chưa được khắc phục (unpatched), đặt các website sử dụng mã nguồn này vào tình trạng nguy hiểm nếu không có biện pháp phòng ngự thay thế.
Phân loại mức độ nghiêm trọng và thủ đoạn tấn công
Dựa trên Hệ thống chấm điểm lỗ hổng phổ biến (CVSS), các mối đe dọa trong tuần được phân loại như sau:
- Nghiêm trọng (Critical): 3 lỗ hổng. Tin tặc có thể chiếm quyền kiểm soát website dễ dàng mà không cần tương tác phức tạp.
- Cao (High): 21 lỗ hổng.
- Trung bình (Medium): 54 lỗ hổng.
Về phương thức tấn công, các tin tặc chủ yếu lợi dụng các lỗ hổng kỹ thuật phổ biến nhằm xâm nhập hệ thống:
- Cross-site scripting (XSS): 23 lỗ hổng. Cho phép chèn mã độc để thao túng người dùng hoặc đánh cắp phiên đăng nhập quản trị.
- Thiếu kiểm tra phân quyền (Missing authorization): 17 lỗ hổng. Giúp kẻ gian vượt quyền, thực hiện các thao tác của quản trị viên dù không được phép.
- Tiêm mã SQL (SQL injection): 12 lỗ hổng. Đe dọa trực tiếp đến cơ sở dữ liệu – “trái tim” của mọi website doanh nghiệp.
Điểm mặt những lỗ hổng nghiêm trọng cần vá khẩn cấp
Ba lỗ hổng nguy hiểm nhất (đạt điểm CVSS 9.8/10) yêu cầu các quản trị viên web (webmaster) phải hành động ngay lập tức:
- GeekyBot (Phiên bản <= 1.2.2): Plugin tích hợp AI chatbot này tồn tại lỗi thiếu xác thực ủy quyền. Hậu quả là kẻ tấn công không cần đăng nhập vẫn có thể tự do cài đặt các plugin độc hại khác lên hệ thống để chiếm quyền điều khiển hoàn toàn.
- Mentoring (Phiên bản <= 1.2.8): Plugin hỗ trợ hệ thống giáo dục dính lỗi leo thang đặc quyền trong khâu đăng ký tài khoản. Tin tặc có thể khai thác điểm yếu này để tạo ra một tài khoản cấp Quản trị viên (Administrator) một cách âm thầm.
- MoreConvert Pro (Phiên bản <= 1.9.14): Lỗ hổng cho phép kẻ tấn công vượt qua lớp bảo mật (Authentication Bypass) bằng cách tái sử dụng token xác minh, từ đó truy cập trái phép vào các khu vực dữ liệu nội bộ.
Cảnh báo trên các plugin và theme phổ biến
Báo cáo cũng chỉ đích danh nhiều công cụ vốn rất quen thuộc với các agency và doanh nghiệp tại Việt Nam đang tồn tại lỗ hổng ở mức độ Cao (High):
- Theme Betheme (<= 28.4) và Slider Revolution (7.0.0 – 7.0.10): Cho phép người dùng cấp thấp tải lên các tệp tin tùy ý, mở đường cho việc thực thi mã độc từ xa.
- WP-Optimize (<= 4.5.2): Plugin tăng tốc độ tải trang phổ biến này dính lỗi cho phép tài khoản cấp thấp xóa các tệp tin hệ thống.
- WP Business Intelligence Lite (<= 3.2.0): Đặc biệt nguy hiểm khi plugin phân tích dữ liệu này dính lỗi can thiệp cơ sở dữ liệu nhưng hiện vẫn chưa có bản vá.
Khuyến nghị an toàn thông tin cho các cơ quan, doanh nghiệp
Để bảo vệ toàn vẹn tài sản số và duy trì sự ổn định cho các chiến dịch truyền thông, tiếp thị, các chuyên gia khuyến cáo:
- Kiểm tra và cập nhật tức thời: Bộ phận IT/kỹ thuật cần rà soát toàn bộ danh sách plugin/theme, lập tức cập nhật các công cụ như GeekyBot, Mentoring, Slider Revolution, Betheme lên phiên bản mới nhất.
- Gỡ bỏ các phần mềm chưa có bản vá: Tạm thời vô hiệu hóa các plugin thuộc diện “unpatched” (như WP Business Intelligence Lite) cho đến khi có thông báo an toàn từ nhà phát triển.
- Thiết lập tường lửa ứng dụng web (WAF): Triển khai các lớp giáp bảo vệ như Wordfence để chủ động chặn đứng các luồng truy cập độc hại trước khi chúng chạm đến cơ sở dữ liệu.
- Sao lưu dữ liệu định kỳ: Đảm bảo hệ thống luôn có bản sao lưu (backup) mới nhất được lưu trữ độc lập, sẵn sàng phục hồi trong kịch bản xấu nhất.
Danh sách Theme và Plugin WordPress bị ảnh hưởng theo báo cáo của Wordfence:
Dưới đây là bảng tổng hợp chi tiết toàn bộ 2 theme và 62 plugin có chứa lỗ hổng bảo mật dựa trên dữ liệu bạn vừa cung cấp. Danh sách được sắp xếp theo bảng chữ cái để bạn dễ dàng tra cứu và đối chiếu với hệ thống website của mình.
Danh sách theme bị ảnh hưởng
| Tên Theme | Phiên bản ảnh hưởng | Mức độ nghiêm trọng (CVSS) | Tình trạng |
| Avante | < 3.0.5 | Trung bình (6.1) | Đã vá |
| Betheme | <= 28.4 | Cao (8.8) | Đã vá |
Danh sách plugin bị ảnh hưởng
| Tên Plugin | Phiên bản ảnh hưởng | Mức độ nghiêm trọng (CVSS) | Tình trạng |
| Activity Logs, User Activity Tracking (Logtivity) | <= 3.3.6 | Trung bình (5.3) | Đã vá |
| addfreespace | <= 0.1.3 | Trung bình (4.3) | Chưa vá |
| Affiliate Program Suite — SliceWP Affiliates | <= 1.2.7 | Cao (7.2) | Đã vá |
| AI Product Search for WooCommerce | <= 1.38.2 | Trung bình (5.3) | Đã vá |
| All-in-One WP Migration Unlimited Extension | <= 2.83 | Trung bình (6.5) | Đã vá |
| Appointment Booking Calendar | <= 1.6.10.6 | Trung bình (6.5) | Đã vá |
| Auto Affiliate Links | <= 6.8.8 | Cao (7.2) | Đã vá |
| AWP Classifieds | <= 4.4.6 | Cao (7.5) | Đã vá |
| BEAR – Bulk Editor and Products Manager | <= 1.1.5 | Trung bình (4.3) | Đã vá |
| BetterDocs Pro | <= 3.7.0 | Cao (7.5) | Đã vá |
| Blog Settings | <= 1.0 | Trung bình (6.1) | Chưa vá |
| bunny.net – WordPress CDN Plugin | <= 2.3.6 | Trung bình (4.3) | Đã vá |
| Bus Ticket Booking with Seat Reservation | < 5.6.8 | Trung bình (5.3) | Đã vá |
| Carousel, Slider, Photo Gallery (WP Carousel) | <= 2.7.10 | Trung bình (6.4) | Đã vá |
| Charts Ninja: Create Beautiful Graphs & Charts | <= 2.1.0 | Trung bình (6.4) | Chưa vá |
| DX Sources | <= 2.0.1 | Trung bình (4.3) | Chưa vá |
| E2Pdf – Export Pdf Tool for WordPress | <= 1.32.17 | Trung bình (6.4) | Đã vá |
| ElementsKit Elementor Addons | <= 3.8.2 | Trung bình (6.5) | Đã vá |
| eMagicOne Store Manager for WooCommerce | <= 1.3.2 | Cao (7.5) | Chưa vá |
| EmailKit – Email Customizer | <= 1.6.5 | Trung bình (6.5) | Đã vá |
| Fluent Forms | <= 6.2.1 | Trung bình (4.9) | Đã vá |
| Form Maker by 10Web | <= 1.15.42 | Cao (7.5) | Đã vá |
| Forminator Forms | <= 1.53.0 | Cao (7.5) | Đã vá |
| GeekyBot | <= 1.2.2 | Nghiêm trọng (9.8) | Đã vá |
| GenerateBlocks | <= 2.2.0 | Trung bình (6.5) | Đã vá |
| Gravity Bookings | <= 2.5.9 | Cao (7.5) | Đã vá |
| Gutenverse | <= 3.5.3 | Trung bình (6.4) | Đã vá |
| Happy Addons for Elementor | <= 3.20.8 | Trung bình (5.3) | Đã vá |
| LatePoint | <= 5.5.0 | Cao (7.2) | Đã vá |
| Loco Translate | <= 2.8.2 | Trung bình (4.9) | Đã vá |
| Mentoring | <= 1.2.8 | Nghiêm trọng (9.8) | Đã vá |
| Mercado Pago payments for WooCommerce | <= 8.7.11 | Trung bình (5.3) | Đã vá |
| MoreConvert Pro | <= 1.9.14 | Nghiêm trọng (9.8) | Đã vá |
| Ninja Tables | <= 5.2.6 | Trung bình (4.3) | Đã vá |
| NMR Strava activities | <= 1.0.14 | Trung bình (6.4) | Đã vá |
| Online Scheduling and Appointment Booking System (Bookly) | <= 27.4 | Trung bình (5.3) | Đã vá |
| PDF Poster | <= 2.4.1 | Trung bình (5.3) | Đã vá |
| Publish 2 Ping.fm | <= 1.1 | Trung bình (6.1) | Chưa vá |
| Royal Addons for Elementor | <= 1.7.1056 | Cao (7.2) | Đã vá |
| Salon Booking System | <= 10.30.25 | Trung bình (5.3) | Đã vá |
| Schedule Post Changes With PublishPress Future | <= 4.10.0 | Trung bình (5.5) | Đã vá |
| Simple CAPTCHA Alternative with Cloudflare Turnstile | <= 1.38.0 | Trung bình (5.3) | Đã vá |
| Simple Owl Shortcodes | <= 2.1.1 | Trung bình (6.4) | Chưa vá |
| Sky Addons | <= 3.3.2 | Trung bình (6.4) | Đã vá |
| Slider Revolution | 7.0.0 – 7.0.10 | Cao (8.8) | Đã vá |
| Snow Monkey Blocks | <= 24.1.11 | Trung bình (6.4) | Đã vá |
| Subscribe To Comments Reloaded | <= 240119 | Trung bình (6.5) | Chưa vá |
| Team Members | <= 8.5 | Trung bình (4.9) | Đã vá |
| User Frontend | <= 4.3.1 | Cao (8.8) | Đã vá |
| User Registration & Membership | <= 5.1.4 | Trung bình (4.3) | Đã vá |
| WebinarIgnition | < 4.09.86 | Cao (7.5) | Đã vá |
| WeePie Cookie Allow | <= 3.4.11 | Cao (7.5) | Đã vá |
| WEN Logo Slider | <= 3.4.0 | Trung bình (6.4) | Đã vá |
| WP Business Intelligence Lite | <= 3.2.0 | Cao (8.0) | Chưa vá |
| WP Data Access | <= 5.5.70 | Cao (7.5) | Đã vá |
| WP Travel | <= 11.4.0 | Trung bình (6.5) | Đã vá |
| WP-Clippy | <= 1.0.0 | Trung bình (6.4) | Chưa vá |
| WP-Optimize | <= 4.5.2 | Cao (8.1) | Đã vá |
| wpForo Forum | <= 3.0.4 | Cao (7.5) | Đã vá |
| WPGraphQL | <= 2.5.3 | Trung bình (4.3) | Đã vá |
| YITH WooCommerce Wishlist | <= 4.12.0 | Trung bình (5.3) | Đã vá |
| Zingaya Click-to-Call | <= 1.0 | Trung bình (6.1) | Chưa vá |
Bảo mật website không phải là câu chuyện một sớm một chiều. Trong kỷ nguyên số, một lỗ hổng nhỏ cũng có thể trở thành cuộc khủng hoảng truyền thông lớn nếu doanh nghiệp mất cảnh giác. Việc chủ động rà soát và cập nhật hệ thống chính là lá chắn vững chắc nhất bảo vệ uy tín thương hiệu trên không gian mạng.
Nếu sử dụng bất kỳ công cụ nào thuộc trạng thái Chưa vá, hãy cân nhắc vô hiệu hóa plugin đó ngay lập tức cho đến khi nhà cung cấp tung ra bản cập nhật chính thức nhằm giảm thiểu rủi ro bị tấn công leo thang đặc quyền.