Wordpress Password

Xóa wp-activate.php để bảo mật trang WordPress của bạn

Trong các lỗi bảo mật của các mã nguồn mở, mà không riêng gì WordPress mà Joomla hay Drupal cũng hay dính cái lỗi này, đó là lỗi SQL Injection, nhưng lần này hacker sẽ hack phần activate một account của admin, sau đó chui vào trang và làm gì thì làm, nguy hiểm quá.

Tiến trình hack là thế này:

1. Vào trang nào đó

2. Tìm thằng admin thông qua đường dẫn ?author=1 hoặc chạy cho tới khi nào ra thì thôi.

3. Vào /wp-login.php và chọn phần lấy lại mật khẩu.

4. Mã activation được tạo, sau đó hacker nhập theo đường dẫn là /wp-activate.php

Còn việc lấy được mã này bằng cách nào thì có thể bằng lỗi phiên bản WP hoặc qua SQL Injection, cái này trước kia bạn tôi cũng làm demo cho tôi nhưng không nhớ rõ lắm, nếu làm việc này thành công thì chắc chắn mật khẩu sẽ bị refresh và bạn mất quyền truy cập admin tạm thời, ý tôi là cho tới khi nào bạn phát hiện ra mật khẩu đã thay đổi thì quá muộn, Hacker chỉ cần vài giây khi đăng nhập là làm được nhiều thứ rồi …

Tình cờ thôi, hôm nay tôi check mail thì thấy có một cái email rất lạ, nội dung na ná như là bạn vừa yêu cầu thay đổi mật khẩu, nếu đồng ý thì click vào đây, linh tính cho hay ai đó đang cố tình tạo yêu cầu mật khẩu giả để lấy mã Activate để chui vào trong admin đây mà, nhưng thật tiếc cho hacker là tôi đã xóa mất đường dẫn tới wp-activate.php, và tất nhiên là dù có mã đó thì cũng không biết tra nó vào đâu mà active cơ, ngoài ra đường dẫn trong lúc đăng nhập cũng thay đổi nên chả cần phải lo lắng lắm về lỗi này.

Hiện nay đang có hàng triệu website sử dụng WordPress để làm blog cá nhân, website công ty hoặc bất kì cái gì họ thích như tạp chí, báo điện tử, diễn đàn và các loại cả … nên mọi người cần phải lưu ý những điều sau để không bị hack hàng loạt:

1, không bao giờ đặt tên trùng với tên đăng nhập

2, không để ID của admin là 1, mặc định là 1

3, xóa file wp-activate.php trong WordPress

4, cài các plugin bảo mật cần thiết để bảo vệ chính bạn

Các bạn có thể dễ dàng tìm thấy các plugin bảo mật trên WordPress.org nhé !

Chúc các bạn thành công !

TÁC GIẢ:

Tôi là Jam, thâm niên 7 năm thiết kế website và làm SEO. Hãy theo dõi blog của tôi để nhận được nhiều chia sẻ thú vị xung quanh chủ đề công nghệ.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *