Bài Viết Chi Tiết

Cuộc tấn công diện rộng gây chấn động cộng đồng WordPress

Chỉ trong hai ngày 8 và 9 tháng 10 vừa qua, hãng bảo mật Wordfence đã ghi nhận và ngăn chặn hơn 8,7 triệu lượt tấn công nhắm vào các website WordPress trên toàn cầu.
Theo phân tích, đây là một chiến dịch có tổ chức, được triển khai ở quy mô lớn, nhắm thẳng vào các website đang sử dụng hai plugin phổ biến nhưng đã lỗi thời: GutenKit và Hunk Companion.

Cả hai plugin này đều tồn tại lỗ hổng bảo mật nghiêm trọng cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution – RCE). Điều đó có nghĩa là hacker có thể chiếm toàn quyền điều khiển website chỉ với một đoạn mã gửi qua giao thức HTTP.
Sự việc được đánh giá là vụ tấn công lớn nhất từ đầu quý IV năm 2025 trong lĩnh vực bảo mật WordPress.

Hai plugin trở thành “cửa ngõ” cho hacker

GutenKit – công cụ mở rộng cho Gutenberg

GutenKit là một plugin hỗ trợ trình soạn thảo khối Gutenberg, được ưa chuộng trong cộng đồng thiết kế web, với hơn 40.000 lượt cài đặt hoạt động. Tuy nhiên, phiên bản 2.1.0 và các phiên bản cũ hơn bị phát hiện tồn tại lỗ hổng CVE-2024-9234, cho phép hacker gửi yêu cầu cài đặt plugin tùy ý mà không cần xác thực.

Hunk Companion – plugin hỗ trợ theme ThemeHunk

Plugin này có hơn 8.000 lượt cài đặt và là phần mở rộng đi kèm nhiều theme miễn phí trên kho WordPress. Tuy nhiên, hai lỗ hổng nghiêm trọng CVE-2024-9707 và CVE-2024-11972 được phát hiện trong các phiên bản trước 1.8.6 đã khiến nó trở thành mục tiêu tấn công hàng đầu.
Cả ba lỗ hổng nói trên đều được đánh giá mức độ nguy hiểm 9.8/10 theo thang CVSS, mức cao nhất trong phân loại rủi ro bảo mật.

Phương thức tấn công: từ REST API đến file ZIP độc hại

Các nhà nghiên cứu bảo mật cho biết hacker đã triển khai botnet tự động để quét internet, tìm các website có cài đặt GutenKit và Hunk Companion.
Khi phát hiện plugin tồn tại, hệ thống tấn công gửi các yêu cầu REST API đặc biệt đến những đường dẫn cụ thể, ví dụ như:

Nếu website phản hồi hợp lệ, bot sẽ tải lên một tập tin ZIP độc hại, trong đó chứa mã backdoor và plugin giả mạo. Sau khi được giải nén, các tập tin này sẽ được cài vào thư mục ẩn, thường có tên:

Nhờ đó, hacker có thể:

• Cài đặt hoặc gỡ plugin tùy ý mà không cần quyền quản trị

• Thay đổi file hệ thống, tải dữ liệu hoặc xoá cơ sở dữ liệu

• Tạo người dùng admin ẩn để kiểm soát website lâu dài

Đây là hình thức tấn công đặc biệt nguy hiểm vì khó phát hiện, ngay cả với các quản trị viên có kinh nghiệm, nếu không theo dõi log truy cập thường xuyên.

Hậu quả và mức độ ảnh hưởng

Khi một plugin phổ biến bị khai thác, tác động lan rộng hơn nhiều so với một website đơn lẻ.
Thứ nhất, hacker có thể chèn mã độc để chuyển hướng người truy cập sang các trang lừa đảo hoặc trang quảng cáo bất hợp pháp.
Thứ hai, website bị nhiễm mã độc có thể bị Google gắn cờ “Không an toàn”, dẫn đến tụt hạng SEO, giảm traffic và mất uy tín nghiêm trọng.
Thứ ba, nếu website nằm trong cùng máy chủ với nhiều site khác, lỗ hổng có thể bị lợi dụng để tấn công lan sang toàn bộ hệ thống.

Đối với các doanh nghiệp cung cấp dịch vụ website hoặc công ty công nghệ, hậu quả còn lớn hơn: nguy cơ mất dữ liệu khách hàng, tổn thất hợp đồng, hoặc vi phạm cam kết bảo mật.
Nhiều chuyên gia cảnh báo rằng “một lỗ hổng nhỏ trong plugin có thể làm sụp cả chuỗi dịch vụ trực tuyến nếu không được xử lý kịp thời”.

Nguyên nhân: thói quen cập nhật chậm và thiếu giám sát bảo mật

Các cuộc tấn công lần này không xuất phát từ lỗi của WordPress mà chủ yếu đến từ việc người dùng chưa cập nhật plugin đúng hạn.
Dù các bản vá đã được phát hành từ tháng 10/2024 (đối với GutenKit) và tháng 12/2024 (đối với Hunk Companion), nhưng vẫn có hàng chục nghìn website sử dụng phiên bản cũ.

Một nguyên nhân khác là thiếu quy trình kiểm tra định kỳ. Nhiều đơn vị vận hành website không có hệ thống giám sát log truy cập hoặc cảnh báo bất thường.
Ngoài ra, việc cấp quyền quản trị quá rộng rãi và cài plugin không rõ nguồn gốc cũng góp phần làm gia tăng nguy cơ bị tấn công.

Hướng dẫn xử lý khẩn cấp

Để giảm thiểu rủi ro, Wordfence khuyến cáo người quản trị website cần thực hiện ngay các bước sau:

1. Cập nhật plugin

   • GutenKit: nâng lên phiên bản 2.1.1 hoặc mới hơn

   • Hunk Companion: nâng lên phiên bản 1.9.0 hoặc mới hơn

2. Kiểm tra log truy cập
   Tìm các yêu cầu đáng ngờ đến các API /wp-json/gutenkit/v1/install-active-plugin hoặc /wp-json/hc/v1/themehunk-import.
   Nếu có, khả năng website đã bị khai thác.

3. Quét toàn bộ mã độc
   Dùng công cụ như Wordfence, Sucuri hoặc iThemes Security để rà soát backdoor, plugin lạ, hoặc các file ZIP không rõ nguồn gốc.

4. Kiểm tra thư mục hệ thống
   Xem có tồn tại các thư mục lạ như /up, /wp-query-console, /ultra-seo-processor-wp hay không. Nếu có, hãy sao lưu dữ liệu rồi xoá ngay.

5. Đổi mật khẩu và giới hạn quyền truy cập
   Thay toàn bộ mật khẩu quản trị, FTP, hosting và cơ sở dữ liệu.
   Đảm bảo chỉ người quản trị cấp cao có quyền cài plugin hoặc chỉnh sửa mã nguồn.

6. Sao lưu định kỳ
   Thiết lập cơ chế sao lưu tự động hàng ngày hoặc hàng tuần để có thể khôi phục nhanh khi xảy ra sự cố.

Xây dựng chiến lược bảo mật dài hạn

Các chuyên gia khuyến nghị rằng bảo mật không nên là phản ứng tạm thời sau mỗi cuộc tấn công, mà phải trở thành một quy trình liên tục.
Các tổ chức, đặc biệt là các công ty dịch vụ công nghệ, cần thực hiện các biện pháp sau:

• Lập lịch cập nhật plugin, theme và WordPress core định kỳ.

• Chỉ sử dụng plugin có nhà phát triển uy tín và hỗ trợ thường xuyên.

• Cài đặt tường lửa ứng dụng web (WAF) để chặn truy cập lạ từ IP nước ngoài.

• Theo dõi tin tức bảo mật từ các nguồn chính thống như Wordfence, Patchstack, WPScan.

• Kiểm tra quyền người dùng, tránh để tài khoản phụ có quyền quản trị.

• Huấn luyện đội ngũ kỹ thuật về nhận diện lỗ hổng và phản ứng nhanh khi bị xâm nhập.

Góc nhìn từ chuyên gia

Ông Michael Day, chuyên gia bảo mật tại Wordfence, cho biết:
“Những kẻ tấn công không cần nhắm vào hệ thống phức tạp. Chúng chỉ cần tìm những plugin bị bỏ quên, những bản vá chưa cài đặt, và thế là đủ để chiếm quyền điều khiển hàng nghìn website cùng lúc.”

Theo ông, chỉ cần duy trì thói quen cập nhật và giám sát thường xuyên, 90% các cuộc tấn công dạng này hoàn toàn có thể ngăn chặn được trước khi gây thiệt hại.

Cảnh báo cho doanh nghiệp công nghệ và agency thiết kế web

Đối với các doanh nghiệp như FTECHX Solutions – công ty cung cấp dịch vụ WordPress và công nghệ – sự cố lần này là lời nhắc mạnh mẽ rằng bảo mật phải là ưu tiên hàng đầu.
Khi công ty quản lý website cho khách hàng, trách nhiệm không chỉ dừng lại ở việc website hoạt động, mà còn phải đảm bảo nó an toàn, sạch mã, không bị lợi dụng để phát tán mã độc hoặc spam.

Doanh nghiệp nên:

• Gửi thông báo khẩn đến toàn bộ khách hàng đang sử dụng hai plugin nói trên.

• Kiểm tra và cập nhật đồng loạt trên hệ thống.

• Thêm điều khoản “bảo trì bảo mật định kỳ” trong hợp đồng dịch vụ.

• Thiết lập quy trình phản ứng nhanh khi có cảnh báo bảo mật mới từ các hãng lớn.

Kết luận

Chiến dịch tấn công khai thác lỗ hổng GutenKit và Hunk Companion là một ví dụ điển hình cho thực tế bảo mật ngày nay: hacker không tìm lỗ hổng mới, mà tìm người không cập nhật.
Chỉ trong vòng 48 giờ, hơn 8,7 triệu lượt tấn công bị chặn – con số đủ để cho thấy mức độ khốc liệt của cuộc chiến an ninh mạng hiện tại.

Nếu bạn đang sử dụng WordPress, hãy kiểm tra và cập nhật ngay lập tức.
Đừng để hacker là người đầu tiên “phát hiện” ra phiên bản lỗi thời của bạn.
Bảo mật không phải chi phí, mà là khoản đầu tư để website và thương hiệu tồn tại lâu dài.