Canh Me hiện đang sử dụng wpDiscuz để thay thế cho hệ thống comment mặc định của WordPress, tuy nhiên plugin này đang gặp lỗi bảo mật nghiêm trọng.
Bạn nào đang sử dụng wpDiscuz phiên bản từ 7.0.0 – 7.0.4 hãy ngay lập tức cập nhật lên phiên bản mới 7.0.6 ngay vì website của bạn đang có nguy cơ bị tấn công chiếm tài khoản Hosting.
Hiện đang có khoảng 70,000 website WordPress đang sử dụng phiên bản cũ có nguy cơ bị tấn công Hosting/Server sau khi hacker tận dụng lỗi upload media để tải lên những file thực thi.
wpDiscuz là một plugin rất tốt thay thế cho hệ thống comment mặc định của WordPress với nhiều tính năng ưu việt như xử lý qua Ajax, cập nhật real-time, hỗ trợ nhiều layout và rất nhiều option hữu ích cho người dùng tùy biến. Ngoài ra, bạn còn có thể cài thêm nhiều extension trả phí nữa nếu muốn bổ sung thêm tính năng.
Lỗi bảo mật hiện tại của wpDiscuz rất nguy hiểm, được đánh giá thang điểm 10/10 CVSS, liên quan đến tính năng cho phép người dùng upload file hình ảnh đính kèm theo comment. Do không kiểm tra định dạng file đính kèm cẩn thận nên vô tình wpDiscuz cho phép upload cả những file thực thi PHP.
Nếu như bị khai thác, lỗi này cho phép hacker chạy được những câu lệnh trên server và chèn mã độc vào tất cả những website đang dùng chung hosting.
Phiên bản wpDiscuz 7.0.5 đã vá lỗi toàn bộ, và bản cập nhật đêm qua 7.0.6 vá thêm một số lỗi nhỏ khác nữa.
Xem thông tin chi tiết lỗi này tại đây.
Cập nhật 4 năm trước
Porkbun
Namecheap
Dynadot
Cloudflare
NameBright
OVHcloud
NameSilo
Bác cho em hỏi mình dùng plugin này có cách nào load comment ngay khi được duyệt mà vẫn đang dùng các plugin cache không ạ
Không biết hiện tại bên mình đang cache bằng gì ạ
Em thấy plugin Discuz này mọi thứ đều ngon, nhưng em duyệt comment phải xóa cache web mới hiện, em sợ nó lại sập luôn web vì quá tải, nó không có load comment bằng ajax bác nhỉ
Hiện tại Plugin này đã ổn định chưa vậy mấy bác ! Từ lúc bài này bác Luân đăng ! Em tháo khỏi site luôn rồi !
Ổn định rồi nhé, lỗi lúc đó cũng chỉ ảnh hưởng tới những site nào cho phép up hình ảnh trực tiếp khi comment thôi.
Anh cho em hỏi wpDiscuz có xung đột với plugin gì của mythemshop không ạ. A có cách nào kiểm tra không ạ. Khi vào trang chủ vẫn bình thường nhưng nếu vào bài viết đơn là bị lỗi kiểu như Css vậy. A check em với được không. Xin lỗi vì làm phiền, blog em đây ạ: https://hoangduan.com.
Bạn xóa cache đi là xong nhé.
Dạo này thấy site bị báo malware khi truy cập, mới dùng wordfence check lại thì thấy bị sửa file php quá trời. https://i.imgur.com/NYSoN15.png Thằng wpdiscuz miệng thì kêu update lên thì ko sao nhưng nhiều site có kịp update đâu (nó báo lỗi ngay lúc mình đang đi Đà Nẵng thì update bằng niềm tin), giờ bị lỗi ai đền. Hên check lại đống backup của mình thì thấy ngày 30/07 chưa bị sửa file nên chắc phải restore từ đây, chứ không biết giờ bị lỗ hỏng nguy hiểm đến mức nào để sửa lại. Rồi các site… Read more »
Nguy hiểm thật
Trong file chứa cáii này:
PNG
IHDR”sõdtEXtSoftware
Tấn công như nào nhỉ????
Ai xài theme Divi thì update lên sớm nha
https://www.wordfence.com/blog/2020/08/critical-vulnerability-exposes-over-700000-sites-using-divi-extra-and-divi-builder/
Thường thì những plugin lớn thế này đội ngũ DEV fix trong 1 nốt nhạc. Có gì mà nhà mình cứ xoắn cả lên thế.
Họ thấy lỗi bảo mật thì sửa ngay, nhưng Bác Luân kêu gọi mọi người vì những anh em đã cài đặt plugin wpDiscuz ver 7.0.0 – 7.0.4 đang bị lỗi. Nếu ko cập nhật lên ver 7.0.6 thì hacker có thể tải file php lên máy chủ và có đủ quyền để tấn công website của nạn nhân.
Không xoắn thì còn gì nữa.
Quan trọng là đang có rất nhiều site đang xài bản bị lỗi bảo mật, phải update lên bản 7.0.6. Chứ dev cũng fix trong 1 nốt nhạc mà, chủ yếu bài này cảnh báo người dùng phải update lên thôi
Xoắn gì nhỉ. DEV họ đã fix ở phiên bản 7.0.6, người ta nhắc nhở cập nhật lên bản đó có gì gọi là xoắn nhỉ?
Có ngĩa là xài plugin wpDiscuz này mới dính chưởng phải k mấy bác
Chứ bác muốn dính trên cái nào nữa
Dính trên mã nguồn wp lun kkk
Nếu bác ko càn wpDiscuz thì ảnh hường gì đến Source của WP chứ
Hiện tại thì Divi cũng bị dính lỗi bảo mật nữa. Mình cũng dính mấy site xài wpDiscuz với mấy site xài Divi
Divi mình cũng dùng cho mấy site, căng thẳng quá.
Website đã làm theo hướng dẫn từ wordfence nhưng vẫn bị mã độc. Có cách nào giải quyết dứt điểm không anh nhỉ. Em cảm ơn
toát mồ hôi với lỗi này.Nó đẩy file php lên rồi cho chèn mã vào all file index .đau não quá trời
Những website bán hàng, nó đọc được file config sau đó truy cập đc cơ sở dữ liệu mới đáng sợ.
Nếu site mình yêu cầu duyệt comment trước khi đăng thì có bị dính ko nhỉ
Vẫn dính nha, vì file đã được upload lên rồi, chỉ có comment là chưa hiện thôi.
May quá, site mình mới, chưa xuất hiện trên bản đồ nên nó ko truy ra
Thanks admin! Tính ra mình đã comment từ 6 năm rồi nhỉ
Lượn comment mà chưa thấy có ai số năm bằng anh
Ngoại trừ ông admin :p
Comment mới đẹp hẳn ra ấy bác nhỉ
Tự dưng vào blog mình thấy bắt setup lại từ đầu, đọc bài này mới biết. Bọn nó up lên 2 file là fvtsyen9.php và d0godp54.php
Hèn chi thấy canhme đổi giao diện cmt thấy lạ lạ
Bảo mật mình nên cài plugin gì vậy ad. E mới cài Wordfence mà ko biết cấu hình
Dùng Wordfence với iThemes Security là ngon nhé
Bạn nên dùng Defender hoặc Sucuri nhé.
Các bác xem site em bị sao mà em cài cái plugin này lại bị lỗi, đăng nhập thì bình thường nhưng khách thì hiển thị mỗi cái icon như hình https://dt16.net/wp-content/uploads/2020/07/010010.png, trong cài đặt em cho phép khách bình luận thì nó hiện cái icon như vậy, nếu không cho thì nó ko hiện icon nào mà sẽ ghi là phải đăng nhập mới có thể bình luận… link chi tiết các bác soi hộ em https://dt16.net/huong-dan-xuat-file-gerber-tu-altium-designer.html . Hay liệu có cần phải can thiệp vào trong code không, vì em ko thấy hướng dẫn nào phải can thiệp… Read more »
Liên hệ support đi bạn, họ sẽ test cho bạn và hướng dẫn fix, bên này hỗ trợ nhiệt tình lắm. Bên dưới còn có supporter vô bình luận nữa kìa.
cảm ơn bác đã tương trợ, em đã tìm ra lỗi, php host bị chặn hàm, em bê nguyên bộ code đó mang sang host khác chạy đúng chuẩn luôn
Nguy hiểm quá. May mà mình chưa cài cái này chứ không chắc cũng ăn hành rồi :v
cảm ơn Luân đã cảnh báo!
cảm ơn admin, mình vừa mới update xong!