Đầu tháng 05/2020, hơn 900.000 website WordPress đã bị tấn công bởi một tác nhân độc hại chưa được xác định trong một chiến dịch tấn công quy mô lớn. Defiant - công ty phát triển các plugin bảo mật Wordfence cho nền tảng xuất bản web (Mỹ) cho biết, họ bắt đầu phát hiện và theo dõi sự gia tăng đột biến của số lượng các cuộc tấn công đặc biệt nhắm vào các lỗ hổng Cross-Site Scripting (XSS) vào ngày 28/4/2020. Chiến dịch tấn công quy mô lớn này đã khiến lưu lượng tấn công tăng gấp 30 lần.

Dựa trên payload độc hại, Defiant nghi ngờ rằng hầu hết các cuộc tấn công này được thực hiện bởi một tác nhân độc hại riêng lẻ. Theo Ram Gall - kỹ sư đảm bảo chất lượng sản phẩm của Wordfence, kẻ tấn công đã bắt đầu với một số lượng tấn công nhỏ và đã không tăng cường tấn công cho đến ngày 03/5/2020, khi chiến dịch tấn công đạt đỉnh điểm với 20 triệu tấn công nhắm vào hơn nửa triệu website.

“Trong suốt tháng 04/2020, chúng tôi đã phát hiện tổng cộng hơn 24.000 địa chỉ IP riêng biệt gửi yêu cầu tương tự với các tấn công tới hơn 900.000 website”, Ram Gall cho biết thêm. Lỗ hổng XSS cũng như các lỗ hổng khác đã cho phép tin tặc chèn mã độc vào các website, sau đó chuyển hướng khách truy cập đến các website quảng cáo độc hại.

Đáng chú ý là các bản cập nhật bảo mật cho các lỗ hổng đang được khai thác đều đã có sẵn. Các bản vá này đã được phát hành trong vài tháng, thậm chí trong một số trường hợp là vài năm trước.

Ba trong số năm lỗ hổng được nhắm mục tiêu có liên quan đến XSS. Một lỗ hổng ảnh hưởng đến plugin Easy2Map, liên quan đến hơn một nửa các cuộc tấn công và có khả năng được cài đặt trên khoảng 3.000 website. Lỗ hổng thứ hai nằm trong Blog Designer và đã được vá vào năm 2019. Lỗ hổng này đã được nhắm mục tiêu trước đây và Defiant ước tính rằng có khoảng 1.000 website đã cài đặt bản chưa được vá. Lỗ hổng XSS thứ ba nằm trong chủ đề Newspaper, cũng là mục tiêu của các cuộc tấn công trước đây và đã được vá từ năm 2016.

Hai lỗ hổng cuối cùng là tùy chọn cập nhật cho lỗ hổng. Một lỗ hổng ảnh hưởng đến plugin WP GDPR Compliance đã được vá từ năm 2018. ESET cũng đã có bài viết về một chiến dịch tấn công cố gắng chiếm quyền kiểm soát các website qua việc lợi dụng plugin này. Lỗ hổng còn lại ảnh hưởng đến plugin Total Donations đã được loại bỏ vĩnh viễn khỏi Envato Marketplace vào năm 2019. Hai lỗ hổng này cho phép tin tặc thay đổi địa chỉ home của website.

Các nhà nghiên cứu nghi ngờ rằng, tin tặc có đủ kỹ năng để nhắm vào các lỗ hổng khác trong tương lai. Lời khuyên tốt nhất cho quản trị viên website WordPress đó là: giữ phần mềm WordPress cốt lõi và cập nhật tất cả các plugin. Điều quan trọng không kém là xóa tất cả các plugin không còn được hỗ trợ hoặc không cần thiết, vì chúng sẽ làm gia tăng phạm vi tấn công trên nền tảng WordPress.