--- title: "Hơn 100.000 website sử dụng WordPress bị dính malware" author: "Trung Hiếu" date: "2014-12-16" lastmod: "2016-06-17" url: "https://wpcanban.com/wordpress/hon-100-000-website-su-dung-wordpress-bi-dinh-malware.html" --- # Hơn 100.000 website sử dụng WordPress bị dính malware Hơn 100.000 website sử dụng WordPress bị dính malware. ![wordpress-security-malware-soak-soak-slider-revolution](https://wpcanban.com/wp-content/uploads/2014/12/wordpress-security-malware-soak-soak-slider-revolution.jpg) Cuối tuần qua, nhóm nghiên cứu bảo mật tại [*Sucuri*](http://sucuri.net) đã phát hiện ra hơn 100.000 trang web làm bằng WordPress đã bị lây nhiễm một loại malware có tên là *SoakSoak.ru*. Chính loại malware này đã khiến hơn 11.000 tên miền bị liệt kê vào danh sách đen (blacklist) của *Google*. *SoakSoak* thay đổi file *wp-includes/template-loader.php* để có thể chèn javascript, trong đó chứa các phần mềm độc hại, vào tất cả các trang trang web bị nó xâm nhập. Bạn có thể kiểm tra xem trang web của bạn bị ảnh hưởng hay không bằng cách sử dụng ứng dụng [*SiteCheck*](http://sitecheck.sucuri.net/) miễn phí của *Sucuri*. Sau khi nghiên cứu các website bị lây nhiễm, *Sucuri* nhận thấy phương tiện tấn công của *SoakSoak* là những lỗ hổng bảo mật nghiêm trọng được phát hiện trong plugin [*Slider Revolution*](https://goo.gl/B3Phhk) và chúng đã được công bố vào tháng 9. Tại thời điểm đó, [*Envato*](http://market.envato.com/) đã xác định được hơn 1.000 [*WordPress themes*](https://wpcanban.com/category/wordpress/wordpress-themes) được bán thông qua “chợ themes” của họ (*Themeforest*) có khả năng bị ảnh hưởng bởi lỗ hổng đặc biệt nguy hiểm này. Các lỗi bảo mật của *Slider Revolution*, mặc dù đã được âm thầm vá lại trong tháng 2, đã bị khai thác một cách “tích cực” kể từ khi công bố thông tin. Nhiều nhà quản trị website [*WordPress*](https://wpcanban.com/category/wordpress) đã không cập nhật plugin *Revolution Slider* để kịp thời bổ sung các bản vá và để trang web của họ trong trạng thái “mời gọi” hacker. Kể từ khi phát hành, plugin này đã được đóng gói kèm với nhiều *Wordpress themes* bán trên Themeforest và không phải webmaster nào cũng nhận thức được rằng trang web của họ rất dễ bị tấn công. Theo báo cáo từ *Sucuri*, các cuộc tấn công *SoakSoak* trước tiên sẽ quét qua các trang web để xác định vị trí của các tập tin dễ bị tổn thương trong plugin *Slider Revolution* và chiếm quyền truy cập vào tập tin *wp-config.php*. Nếu thành công, những kẻ xâm nhập sau đó sẽ cố gắng để upload một theme độc hại vào các trang web và đồng thời chèn các *Filesman backdoor*. Những kẻ tấn công sau đó có thể chèn thêm các *backdoor* khác để chỉnh sửa tập tin *swfobject.js* và chèn malware để chuyển hướng khách truy cập vào trang *soaksoak.ru*. Cuộc tấn công bằng phần mềm độc hại (malware) này đặc biệt khó khăn trong việc khắc phục. Nếu trang web của bạn đã bị xâm nhập, bạn có thể không chỉ đơn giản là loại bỏ các tập tin bị nhiễm. Các *backdoor* cũng như các lỗ hổng bảo mật trên *Slider Revolution* đều cần phải được giải quyết. *Sucuri* khuyến cáo nên ngăn chặn các cuộc tấn công malware thông qua một tường lửa (firewall). Nếu trang web của bạn hoặc một trong các khách hàng của bạn đang sử dụng plugin *Slider Revolution* thì tốt nhất bạn nên nhanh chóng kiểm tra xem có bị ảnh hưởng bởi lỗi này hay không và cập nhật trang web cũng như plugin ngay lập tức. *Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều.* :)