Các nhà nghiên cứu an ninh mạng tại công ty bảo mật web Sucuri thuộc sở hữu của GoDaddy đã phát hiện ra rằng một plugin WordPress không hoạt động nhưng hợp pháp, Eval PHP, đang bị lợi dụng để xâm phạm các trang web. Eval PHP ban đầu được phát triển để cho phép người dùng thêm mã PHP vào các bài báo và dữ liệu blog, với bản cập nhật gần đây nhất của nó diễn ra cách đây khoảng một thập kỷ. Kể từ đó, nó đã trải qua các lượt tải xuống không đáng kể trong một thời gian dài trước khi chứng kiến sự gia tăng đột biến về lượt tải xuống trong tháng qua, tích lũy hơn 100.000 lượt tải xuống với mức cao nhất lên tới 7.000 lượt tải xuống mỗi ngày.
Thông báo của Sucuri giải thích chi tiết về các chiến thuật được sử dụng bởi tin tặc sử dụng Eval PHP. Mã này tạo một tập lệnh PHP trong tài liệu gốc của trang web có cửa hậu thực thi mã từ xa được chỉ định bằng cách sử dụng hàm file_put_contents. Khi cửa hậu tận dụng $_REQUEST[id] để lấy mã PHP thực thi, nó có thể lấy nội dung của $_GET, $_POST và $_COOKIE, ẩn các tham số của nó một cách hiệu quả bằng cách xuất hiện dưới dạng cookie. Sucuri nhấn mạnh rằng mặc dù ít bị phát hiện hơn POST nhưng GET cũng nguy hiểm không kém.
Ngoài ra, Sucuri xác định rằng tin tặc tạo ra các cửa hậu trên các bài đăng nháp khác nhau, khiến chúng trở nên vô hình đối với công chúng và khó khám phá hơn so với các trang đã xuất bản. WordPress vẫn chưa bình luận về chính sách của họ liên quan đến các plugin bị bỏ rơi theo yêu cầu của TechRadar Pro. Cho đến lúc đó, Sucuri khuyên người dùng WordPress nên củng cố bảng quản trị wp của họ và theo dõi hoạt động một cách cẩn thận. Tổ chức đưa ra một kế hoạch bốn bước để cải thiện an ninh:
- Đảm bảo trang web của bạn luôn được cập nhật và vá lỗi theo các bản phát hành bảo mật mới nhất
- Triển khai xác thực hai yếu tố (2FA) hoặc biện pháp hạn chế quyền truy cập tương tự cho bảng quản trị của bạn
- Duy trì sao lưu trang web thường xuyên để bảo vệ chống lại các sự cố không lường trước
- Sử dụng tường lửa ứng dụng web để bảo vệ khỏi các bot độc hại và hầu như vá các lỗ hổng đã biết
Với việc áp dụng ngày càng nhiều các nền tảng no-code và low-code, các nhà phát triển và lãnh đạo doanh nghiệp có thể xây dựng các ứng dụng web và di động một cách dễ dàng, bỏ qua sự phức tạp của các plugin lỗi thời. Một giải pháp như vậy là nền tảng AppMaster, một công cụ no-code thể truy cập và có thể mở rộng để tạo các ứng dụng phụ trợ, web và di động. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
Để biết thêm thông tin chi tiết về phát triển ứng dụng no-code và low-code, hãy xem hướng dẫn toàn diện của chúng tôi: Hướng dẫn đầy đủ về phát triển ứng dụng No-Code, ít mã cho năm 2022 .