1. WordPress dễ bị lộ thông tin nhạy cảm
- Mã nguồn mở và phổ biến: WordPress là một nền tảng mã nguồn mở, dễ bị khai thác bởi những lập trình viên không có chuyên môn cao về bảo mật.
- Cách triển khai kém an toàn: Nhiều lập trình viên hardcode khóa API trực tiếp vào các tệp JavaScript hoặc HTML thay vì sử dụng biến môi trường.
- Plugin bên thứ ba không kiểm soát: WordPress phụ thuộc rất nhiều vào plugin, trong đó có nhiều plugin chưa được kiểm duyệt chặt chẽ hoặc không được cập nhật thường xuyên, làm tăng nguy cơ rò rỉ dữ liệu.
2. Bằng chứng từ Truffle Security
- Trong số 11.908 khóa API bị lộ, đa số đến từ các trang web sử dụng mã JavaScript phía frontend – một cách phổ biến mà nhiều trang WordPress triển khai tính năng.
- 63% khóa API bị lặp lại trên nhiều trang web, cho thấy một lỗi bảo mật phổ biến ở các trang web không được quản lý tốt, trong đó WordPress thường xuyên bị nhắc đến.
Một khóa API WalkScore bị phát hiện hơn 57.000 lần trên hơn 1.800 tên miền phụ, một con số cho thấy sự lỏng lẻo trong cách các website quản lý dữ liệu API.
3. Rủi ro thực tế: Lừa đảo, đánh cắp dữ liệu
- Nếu một trang web WordPress để lộ khóa API, hacker có thể giả mạo thương hiệu, gửi email lừa đảo hoặc tấn công cơ sở dữ liệu của khách hàng.
Các webhook Slack bị phát hiện cho thấy nhiều tổ chức không biết cách bảo vệ thông tin nội bộ, mở đường cho các cuộc tấn công vào hệ thống làm việc của doanh nghiệp.
4. Kết luận: WordPress không phải lựa chọn an toàn cho doanh nghiệp
- Nếu doanh nghiệp đang cân nhắc sử dụng WordPress, họ cần hiểu rằng bảo mật không phải là thế mạnh của nền tảng này.
- Các nền tảng như .NET MVC, Laravel hoặc các hệ thống tự phát triển với quy trình kiểm soát chặt chẽ sẽ an toàn hơn rất nhiều.
