Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
en
Trang chủChuyên mụcArcadeĐã lưu
Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
Bảo mật|Điều khoản

© 2026 Coding4Food. Viết bởi dev, cho dev.

Tất cả tin tức
Công nghệDrama IT

Bỏ Tiền Mua 30 Plugins WordPress Rồi Cài Backdoor: Pha Úp Sọt Đi Vào Lòng Đất

14 tháng 4, 20264 phút đọc

Một pháp sư ẩn danh vừa thâu tóm 30 plugins WordPress rồi nhét backdoor vào toàn bộ để lùa gà. Anh em xài WP vào check xem web có thành zombie chưa!

Chia sẻ bài viết:
icon, icons, wordpress, sites, website, web design, design, construction sites, icons wordpress, wordpress, wordpress, wordpress, wordpress, wordpress
Nguồn gốc: https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoorNguồn gốc: https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor
Nguồn gốc: https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoorNguồn gốc: https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/drama-mua-30-plugins-wordpress-cai-backdoor
wordpressplugin backdoorsupply chain attackhackerdrama it
Chia sẻ bài viết:

Bình luận

Chào anh em đồng đạo. Anh em nào đang làm web bằng "quốc thoại" WordPress thì tự sờ lên gáy xem có thấy lạnh lạnh không. Vừa có một pha úp sọt supply-chain (tấn công chuỗi cung ứng) kinh điển khiến giang hồ dậy sóng: Một thằng ất ơ nào đó đã ôm trọn 30 cái plugins xong tiện tay nhét backdoor vào tất cả để đi lùa gà.

Toàn cảnh pha úp sọt 30 plugins WordPress - Đọc xong toát mồ hôi hột

Anh em dev thường rỉ tai nhau rằng: "Đừng bao giờ tự code cái gì mà WP đã có plugin". Thế là các ông cứ thấy tiện là cài, cài lấy cài để. Nắm được thói quen này, kẻ tấn công đã làm một vố rất ma giáo:

  • Thay vì hì hục tìm bug hay dDoS máy chủ của nạn nhân, hacker chọn cách đi đường quyền bằng tiền: Mua lại 30 plugins WordPress. Đây đa phần là mấy plugin lặt vặt, owner cũ bỏ xó không bảo trì nhưng vẫn có hàng ngàn lượt install đang active.
  • Sau khi sang tên đổi chủ hợp pháp, gã pháp sư này thong thả đính kèm một đoạn mã độc (backdoor) cực kỳ tinh vi vào bản cập nhật mới.
  • Thế rồi chuyện gì đến cũng đến. Các admin ngây thơ thấy có thông báo update liền bấm nút "Update All" trong vô thức.
  • Bùm! Chúc mừng các ông đã rước trộm vào nhà. Backdoor này cho phép kẻ tấn công tạo admin ẩn, chèn link SEO rác, hoặc xài site của các ông làm trạm trung chuyển để dDoS người khác, che giấu tung tích xịn như xài Proxy cao cấp vậy.

Giang cư mận nói gì? Tế sống hay bái phục?

Ngay khi tin này nổ ra trên Hacker News, cộng đồng chia làm mấy phe rõ rệt, combat nảy lửa:

  • Phe hoảng loạn: Đang đêm bật dậy SSH vào server check lại toàn bộ thư mục wp-content/plugins xem có cái tên nào quen quen trong danh sách đen không. Báo cáo là nhiều anh em đã thấy server tự nhiên cắn RAM bất thường rồi đấy.
  • Phe chửi thề & đổ lỗi: Đa số anh em đều tế sống cái cơ chế chuyển nhượng plugin của WordPress. "Đ*o hiểu sao một cái nền tảng bự chà bá mà việc đổi chủ repo lại lỏng lẻo đến thế? Không có code review gắt gao khi đổi owner à?"
  • Phe "Bố mày biết ngay": Mấy lão quái anti-WP được dịp gáy to. "Bãi rác code", "Công nghệ thời tống", "Đó là lý do tôi thà code chay còn hơn xài WP".
  • Phe nể phục thủ đoạn: Một số vãn bối bái phục độ thực dụng của hacker. Bỏ ra vài ngàn đô mua repo rác, đổi lại được quyền truy cập root/admin của hàng vạn website. ROI (tỷ suất lợi nhuận) quả này cao hơn cả chơi coin cờ bạc.

Góc nhìn từ Coding4Food: Bài học sinh tồn giữa thời loạn lạc

Tóm cái váy lại, vụ này không phải lỗi do WordPress dở, mà do hệ sinh thái mã nguồn mở đang đối mặt với một vấn đề chung: Dev cạn đam mê. Làm plugin free cho cộng đồng mòn cả phím, lúc có người gõ cửa hỏi mua lại giá vài ngàn đô thì tội gì không bán? Bán xong thì thằng mua làm gì kệ m* nó chứ.

Bài học rút ra cho anh em thợ code:

  1. Cai nghiện plugin đi: Cái gì tự xử lý được thì viết vài dòng vào functions.php. Đừng có cài plugin chỉ để... đổi màu cái nút button.
  2. Audit cẩn thận: Nếu thấy một plugin mấy năm không update tự nhiên sống lại và ra ver mới liên tục, hãy cẩn thận. Rất có thể nó đã đổi chủ.
  3. Bật cảnh giác: Supply chain attack đang là trend. Từ npm, PyPI đến WP, chỗ nào cũng có bẫy. Anh em làm dự án thật thì nhớ backup thường xuyên và thiết lập quyền file/folder tử tế.

Thôi, tôi đi check lại mấy cái web vệ tinh đây, nay thấy load chậm chậm nghi bị cài miner đào coin lắm rồi.


Nguồn hóng hớt: Hacker News

Bài viết liên quan

work, computer, apple, business, office, desk, technology, pen, phone, smartphone, workstation, blog, blogging, table, book, mouse, computer, apple, apple, apple, business, office, office, office, desk, blog, blog, blog, blog, blog, blogging, blogging, book
Drama ITCông nghệ

Bố Già 'Lean Startup' Eric Ries Tái Xuất: Khịa Bản Chất 'Hút Máu' Của Giới Đầu Tư Và Con Sông Drama AI

Eric Ries tái xuất giang hồ với cuốn sách mới 'Incorruptible', bóc trần lý do tại sao các công ty xịn xò cứ lớn lên là đổ đốn và dính phốt AI tấu hài cực mạnh.

11 thg 65 phút đọc
Đọc tiếp →
euro, europe, rocket, nature, prices, price increase, clouds, heaven, strip, aviator, finance, money, currency, inflation, economic crisis, energy crisis, energy saving, market economy, cost, development, stock exchange
Công nghệDrama IT

S&P 500 'cấm cửa' SpaceX và hội anh em AI: Khi bánh vẽ đ*o đổi được tiền tươi

S&P 500 từ chối đặc cách SpaceX, đồng thời chặn đứng mộng vào chung mâm của OpenAI và Anthropic vì tội... nghèo rớt mồng tơi. Đọc ngay để hóng drama!

6 thg 63 phút đọc
Đọc tiếp →
printed circuit board, circuit board, electronics, circuit, computer chip, microchip
Drama ITCông nghệ

Phốt căng: Startup Flux.ai vác luật sư đi "úp sọt" chị đại Adafruit và cái kết tự hủy

Drama IT cực gắt: Startup Flux.ai thuê công ty luật Fenwick gửi tâm thư dọa dẫm Adafruit. Giang cư mận dậy sóng tế sống pha xử lý cồng kềnh đi vào lòng đất.

3 thg 63 phút đọc
Đọc tiếp →
robot, technology, universe, galaxy, system, robotic, matrix, code, programming, ai generated, coding, computer, hacker, binary, fantasy
Drama ITCông nghệ

Khi AI Support Của Meta Bị Hacker 'Dụ Khị' Cướp Nick Instagram Dễ Như Ăn Kẹo

Meta vừa dính quả exploit tấu hài nhất lịch sử khi bot AI support bị hacker 'thao túng tâm lý' để cướp tài khoản Instagram mà đ*o cần code một dòng nào.

2 thg 63 phút đọc
Đọc tiếp →
code, coding, computer, data, developing, development, ethernet, html, programmer, programming, screen, software, technology, work, code, code, coding, coding, coding, coding, coding, computer, computer, computer, computer, data, programming, programming, programming, software, software, technology, technology, technology, technology
Chuyện NghềDrama IT

Bão LLM Đang "Đá Bát Cơm" Của Thợ Code Và Cú Sốc Tuổi Trung Niên?

Drama trên Hacker News: Một dev lên mạng khóc ròng vì thấy LLM đang bào mòn sự nghiệp của mình. Rốt cuộc AI có cướp chén cơm hay anh em đang tự ảo tưởng?

7 thg 63 phút đọc
Đọc tiếp →
graphic, poop, frozen poop, poop emoji, emoji, smiley, poo, crap, emoticon, funny, frozen, ice, winter, laugh, smile, happy, emotion, face
AI & AutomationCông nghệ

Biến chữ AI thành cục 💩: Trò đùa tấu hài hay cú vả mặt bọn ngáo trend?

Lão pháp sư làm quả Chrome Extension Enshittifier đổi chữ AI thành 💩. Cười ẻ nhưng ngẫm lại thấy thấm thía thói 'lùa gà' công nghệ hiện nay.

3 thg 63 phút đọc
Đọc tiếp →