* WordPress phát hành bản cập nhật bảo mật* Những lỗi bảo mật thường gặp của CMS
Phóng to |
Người dùng Internet tại Trung Quốc - Ảnh minh họa: Internet |
Theo công ty an ninh mạng hàng đầu tại Trung Quốc Qihu360, điểm bảo mật trung bình cho các website của các trường Đại học tại Trung Quốc thường ở mức 55/100 điểm. Và 2/3 trong số website trường Đại học đều "gục ngã" trước các đợt thử nghiệm bảo mật của Qihu360.
Đáng chú ý có những hệ thống website bị hacker thâm nhập rất nhiều lần, lần lượt gầm website ngành Kỹ sư Khoa học của ĐH Thượng Hải (25 lần), ĐH Jiao Tong Thượng Hải (23 lần) và ĐH Fudan (17 lần). Trong tháng 6, hacker đã tấn công các website trường Đại học 113 lần mỗi ngày.
Theo Qihu360, kỹ thuật thường dùng để tấn công các website là SQL Injection (chèn mã độc hại để tấn công vào cơ sở dữ liệu SQL).
* Nhịp Sống Số: Thế giới tin tặc ở Trung Quốc | Trung Quốc có hacker giỏi nhất thế giới?
WordPress: hãy nâng cấp ngay phiên bản mới
Phiên bản WordPress 3.5.2 vừa được phát hành bởi nhóm phát triển WordPress.org, khuyến cáo tất cả người dùng đang sử dụng nền tảng CMS-blog này cập nhật ngay để khắc phục 12 lỗi, gồm 7 lỗi bảo mật nguy hiểm và một số bổ sung tăng cường bảo mật cho WordPress.
Phóng to |
Phần mềm WordPress được rất nhiều các website lớn trên thế giới sử dụng như BBC, Telegraph, Gizmodo, Engadget... |
* Xem: Máy chủ web dùng WordPress bị tấn công hàng loạt | WordPress 3.5 trình làng công cụ quản lý mới
Một số lỗi dạng XSS khá nguy hiểm trong thư viện SWFUpload, một nguy cơ bị tấn công-từ chối-dịch vụ (DDoS), một lỗi XSS trong thư viện TinyMCE... được khắc phục trong bản cập nhật WordPress 3.5.2. Các lỗi trên được cảnh báo từ các chuyên gia và từ cộng đồng người dùng WordPress.
Chi tiết các lỗi và thông tin cập nhật, tải phiên bản mới tại WordPress.org.
Ngoài ra, một thông tin đáng chú ý từ nghiên cứu dài 160 trang do Văn phòng Liên bang Đức về An toàn thông tin (BSI) công bố, yếu điểm lớn của các phần mềm quản lý nội dung web (CMS) gồm Drupal, Joomla, Plone, Typo3 và WordPress là "những tiện ích, chức năng cộng thêm từ bên thứ ba" (plug-in, extension, add-on).
Các phân tích dựa trên các yếu tố gồm: vòng đời sản phẩm, các thiết lập bản ghi lịch sử hệ thống (log), các chế độ bảo vệ dữ liệu và một số yếu tố khác. BSI chọn các phần mềm CMS vì chúng thường là mục tiêu của hacker khi muốn thâm nhập vào mạng nội bộ của một doanh nghiệp. Hơn nữa, do các phần mềm CMS thường được sử dụng phổ biến và ít được chỉnh sửa nên khi có lỗi, chúng sẽ bị khai thác tấn công đại trà. Khi đó, nhiều website cùng lúc chịu nguy cơ tấn công.
* Xem: Drupal.org bị hack, dữ liệu gặp nguy |
Theo BSI, các tiện ích mở rộng cho website do bên thứ ba phát triển là nguy cơ bảo mật lớn, thay vì mã nguồn gốc của CMS đó. Lấy ví dụ từ WordPress, chỉ 20% của các lỗi được tìm thấy trong mã nguồn gốc, 80% lỗi đến từ add-on. Tỉ lệ này còn tăng cao hơn với Drupal (CMS hàng đầu hiện nay bên cạnh Joomla), gồm 5% (mã gốc) và 95% (extension).
Phóng to |
Tỉ lệ các loại lỗi bảo mật từ nhóm 5 phần mềm CMS phổ biến nhất hiện nay. Nghiên cứu được thực hiện bởi Văn phòng Liên bang Đức về An toàn thông tin (BSI) |
BSI khuyến cáo người dùng không nên sử dụng chế độ bảo mật mặc định của CMS, thay vào đó, nên tìm kiếm các phương thức thiết lập chế độ bảo mật cấp cao hơn, lời khuyên từ các chuyên gia về những tùy chọn bảo mật bổ sung và luôn ghi nhớ cập nhật phiên bản mới nhất của phần mềm ngay khi nó được phát hành.
Tối đa: 1500 ký tự
Hiện chưa có bình luận nào, hãy là người đầu tiên bình luận