Liệu bạn có biết rằng website WordPress của mình đang tiềm ẩn nguy cơ bị hacker đánh cắp toàn bộ thông tin đăng nhập chỉ vì một plugin phổ biến? Plugin Avada Builder - công cụ thiết kế website được sử dụng bởi hơn 1 triệu website trên toàn thế giới - vừa được phát hiện chứa hai lỗ hổng bảo mật nghiêm trọng cho phép kẻ tấn công đọc file tùy ý và trích xuất dữ liệu nhạy cảm từ cơ sở dữ liệu. Đây là một cảnh báo đỏ cho hàng nghìn website Việt Nam đang sử dụng plugin này mà không hề hay biết về mối nguy hiểm đang rình rập.

Plugin "quốc dân" trở thành mục tiêu béo bở của hacker

Avada Builder không chỉ là một plugin WordPress bình thường. Với hơn 1 triệu lượt cài đặt tích cực, đây là một trong những công cụ xây dựng website phổ biến nhất hiện nay, đặc biệt được ưa chuộng tại Việt Nam nhờ giao diện thân thiện và tính năng kéo-thả trực quan. Tuy nhiên, sự phổ biến này cũng khiến nó trở thành mục tiêu hấp dẫn trong mắt các hacker - một mũi tên trúng nghìn con chim.

Chúng tôi cho rằng việc phát hiện lỗ hổng trên plugin có quy mô người dùng lớn như vậy không khác gì việc tìm thấy lỗ hổng trong một tòa nhà chung cư nghìn căn hộ. Hai lỗ hổng được phát hiện cho phép kẻ tấn công thực hiện hai hành vi cực kỳ nguy hiểm: đọc file tùy ý (Arbitrary File Read) và truy cập trái phép vào cơ sở dữ liệu, từ đó có thể đánh cắp thông tin đăng nhập, dữ liệu khách hàng và thậm chí là toàn bộ nội dung website.

Kỹ thuật tấn công tinh vi đến mức nào?

Lỗ hổng Arbitrary File Read cho phép hacker đọc bất kỳ file nào trên máy chủ mà không cần quyền truy cập hợp pháp. Điều này có nghĩa là các file cấu hình quan trọng như wp-config.php - chứa thông tin kết nối cơ sở dữ liệu, các khóa bảo mật (security keys) và thông tin nhạy cảm khác - có thể bị đọc trộm một cách dễ dàng. Đây chính là chìa khóa vạn năng mở ra mọi cánh cửa của website.

Lỗ hổng thứ hai còn nguy hiểm hơn khi cho phép truy cập trái phép vào database. Theo đánh giá của chúng tôi, đây là dạng tấn công SQL Injection (tiêm mã SQL) hoặc Database Exposure (lộ cơ sở dữ liệu) - những kỹ thuật tấn công được xếp trong top 10 mối đe dọa bảo mật web nghiêm trọng nhất theo OWASP (Dự án An ninh Ứng dụng Web Mở). Kẻ tấn công có thể trích xuất toàn bộ thông tin người dùng, mật khẩu đã mã hóa, dữ liệu giao dịch và các thông tin nhạy cảm khác được lưu trữ trong database.

Tác động khủng khiếp với thị trường Việt Nam

Với hơn 200,000 website WordPress tại Việt Nam theo thống kê của W3Techs, chúng tôi ước tính có ít nhất 10,000-15,000 website Việt đang sử dụng Avada Builder dựa trên tỷ lệ thâm nhập thị trường của plugin này. Con số này bao gồm các website thương mại điện tử, doanh nghiệp vừa và nhỏ, blog cá nhân - tất cả đều đang đối mặt với nguy cơ bị tấn công nghiêm trọng.

Sự việc này một lần nữa làm nổi bật thực trạng an ninh mạng tại Việt Nam khi nhiều doanh nghiệp vẫn chưa có ý thức cao về việc cập nhật bảo mật thường xuyên. Theo báo cáo từ Cục An toàn thông tin (Bộ TT&TT), năm 2023 có hơn 4,000 website Việt Nam bị tấn công, trong đó phần lớn do không cập nhật các bản vá bảo mật kịp thời.

Hành động khẩn cấp cho người dùng Việt Nam

Nếu website của bạn đang sử dụng Avada Builder, hãy thực hiện ngay các bước sau đây. Đầu tiên, đăng nhập vào WordPress Admin, vào mục Plugins và kiểm tra phiên bản Avada Builder hiện tại - nếu phiên bản thấp hơn 3.11.8 thì cần cập nhật ngay lập tức. Thứ hai, thay đổi tất cả mật khẩu quan trọng bao gồm mật khẩu WordPress admin, FTP, hosting và database làm biện pháp phòng ngừa.

Chúng tôi cũng khuyến nghị các doanh nghiệp Việt Nam nên thiết lập quy trình kiểm tra bảo mật định kỳ, sử dụng các plugin bảo mật uy tín như Wordfence hoặc Sucuri để giám sát website 24/7. Đồng thời, hãy backup dữ liệu thường xuyên và lưu trữ ở nhiều vị trí khác nhau để đảm bảo có thể khôi phục nhanh chóng khi xảy ra sự cố. Trong bối cảnh an ninh mạng ngày càng phức tạp, việc đầu tư vào bảo mật không còn là lựa chọn mà là điều bắt buộc.