Tuần trước, chúng tôi đã phát hành WPML 4.6.13 và WooCommerce Multilingual 5.3.7 để vá một lỗ hổng bảo mật được báo cáo bởi Wordfence. Chúng tôi muốn chia sẻ thêm chi tiết về bản vá này và ý nghĩa của nó đối với bảo mật trang web của bạn.
Dòng thời gian các sự kiện
Tại WPML, bảo mật là ưu tiên hàng đầu của chúng tôi và chúng tôi cam kết đảm bảo rằng trang web của bạn luôn an toàn và bảo mật. Cho bản vá này, chúng tôi đã làm việc chặt chẽ với Wordfence, một trong những cái tên được tôn trọng nhất trong cộng đồng bảo mật WordPress.
Wordfence đã liên hệ với chúng tôi về vấn đề WPML vào tháng 7 nhưng thật không may, tin nhắn đã rơi vào thư mục spam và không được chú ý trong một thời gian. May mắn thay, họ đã gửi cho chúng tôi email tiếp theo vào tháng 8 và chúng tôi đã xử lý từ đó, vá lỗ hổng ngay lập tức và cung cấp cho Wordfence phiên bản đã vá để xác thực.
Là những đối tác tuyệt vời và chuyên gia như họ, Wordfence đã báo cáo thêm một lỗ hổng XSS nhỏ khác trong quá trình này mà chúng tôi cũng đã vá ngay lập tức.
Trong thời gian đó, chúng tôi cũng nhận được báo cáo từ Patchstack về một lỗ hổng tương tự trong WooCommerce Multilingual.
Sau khi nhận được xác nhận từ họ rằng bản vá đã vượt qua tất cả các xác thực, chúng tôi đã phát hành WPML 4.6.13 và WooCommerce 5.3.7 vào ngày 20 tháng 8.
Vai trò quan trọng của Wordfence
Chúng tôi muốn sử dụng cơ hội này để cảm ơn Wordfence vì sự hỗ trợ tuyệt vời của họ trong việc xác định và vá các lỗ hổng này. Tầm quan trọng của công việc họ làm đối với chúng tôi và toàn bộ hệ sinh thái WordPress không thể được đánh giá quá cao.
Sự siêng năng của họ trong việc theo dõi báo cáo ban đầu và sự hợp tác trong suốt quá trình vá lỗi là minh chứng cho cam kết của họ đối với cộng đồng WordPress.
Cách thức hoạt động của lỗ hổng này và ý nghĩa đối với bạn
Một số bài viết trực tuyến đã mô tả vấn đề này như một “lỗ hổng nghiêm trọng” ảnh hưởng đến hơn một triệu trang web. Mặc dù chúng tôi hoàn toàn đồng ý rằng bảo mật là vấn đề nghiêm túc, điều quan trọng là làm rõ chính xác cách thức hoạt động của lỗ hổng này trong các tình huống thực tế.
Lỗ hổng này yêu cầu kẻ xấu phải có quyền chỉnh sửa trên trang web WordPress. Điều này có nghĩa là họ cần có vai trò người dùng Contributor hoặc cấp cao hơn trên trang web được nhắm mục tiêu.
Điều đó nói rằng, mức độ nghiêm trọng phụ thuộc vào loại người dùng bạn có trên trang web của mình. Nếu bạn và nhóm của bạn là những quản trị viên/người viết/biên tập viên duy nhất trên trang web, không có ai ngoài bạn hoặc nhóm của bạn có thể khai thác lỗ hổng này.
Mặt khác, nếu bạn đang vận hành một trang web với những người dùng có quyền truy cập cấp Contributor và bạn không biết những người này một cách cá nhân, bạn có thể gặp rủi ro nhiều hơn.
Cuối cùng, chúng tôi muốn nhấn mạnh rằng tại bất kỳ thời điểm nào, phần lớn người dùng WPML đều không gặp rủi ro. Bản vá đã được phát triển, thử nghiệm và phát hành trong sự hợp tác chặt chẽ với Wordfence, và vấn đề đã được giải quyết hoàn toàn.
Như thường lệ, chúng tôi đặc biệt khuyến nghị giữ WPML và WooCommerce Multilingual luôn cập nhật trên trang web của bạn.
Trong trường hợp có bất kỳ lo ngại nào
Đối với người dùng và đối tác của chúng tôi có thể đã lo lắng về các báo cáo gần đây, chúng tôi muốn đảm bảo với bạn rằng không có lý do gì để báo động. Vấn đề đã được giải quyết nhanh chóng và hiệu quả, và không có bằng chứng nào cho thấy nó đã bị khai thác trong thực tế.
Nếu bạn có bất kỳ câu hỏi hoặc lo ngại nào, vui lòng liên hệ với chúng tôi.
Chúng tôi vẫn cam kết về bảo mật trang web của bạn và về sự hợp tác liên tục của chúng tôi với Wordfence và các chuyên gia bảo mật khác.
Cảm ơn bạn vì sự tin tưởng liên tục vào WPML,
Đội ngũ WPML