Diễn đàn SEO

Hậu quả của việc dùng các plugin chia sẻ trên diễn đàn

Hôm nay có một bạn chat qua skype có hỏi mình: “anh ơi nếu em dùng các plugin chia sẻ trên các diễn đàn cho blog của em có ổn không ?”. Ổn chứ – tôi trả lời – tất nhiên sẽ ổn nếu bạn biết code, bạn có thể phải kiểm tra qua một vòng xem có hàm nào nguy hiểm không đã nhé, hoặc vào trang chủ mà download về là an toàn nhất.

Bữa lâu lắm rồi, tôi có download một plugin trên diễn đàn, chia sẻ theo kiểu truyền tay nhau ý mà, và tôi đã lần ra được một đoạn code thâm hiểm của giới “hacker” này.

If ( isset($_GET['debug'])) var_dump( $GLOBAL);

Đây là đoạn mã dum ra màn hình toàn bộ các thông tin của user và password SQL, đây là một trong các điểm yếu của WordPress khi không unset hết các hàm nguy hiểm như DB_USERNAME hay vân vân, tôi đã thử unset và hàm dum kia chả làm gì được tôi, tất nhiên là không thể để đoạn code ở đó, cần phải xóa nó đi, nhưng đây mới chỉ là chiêu bài nhỏ thôi, còn một số cực kỳ phức tạp và che dấu bằng thủ thuật nên các webmaster có dò cũng khó nghĩ luôn.

Hậu quả là trang blog của các bạn dễ dàng bị hack do người chia sẻ plugin đã xây một cửa sau, họ có thể dễ dàng khống chế web của bạn, chui vào đăng bài linh tinh hoặc xóa bài đăng … làm chúng ta chả hiểu chuyện gì đã xảy ra nữa.

Nếu các bạn muốn download plugin cho wordpress, cách tốt nhất là vào trang chủ tại wordpress.org mà down nhé !

TÁC GIẢ:

Tôi là Jam, thâm niên 7 năm thiết kế website và làm SEO. Hãy theo dõi blog của tôi để nhận được nhiều chia sẻ thú vị xung quanh chủ đề công nghệ.

Có 2 bình luận !

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *