Các nhóm tội phạm mạng đang gia tăng cường độ các tấn công mạng nhắm vào các trang web WordPress bằng cách lén lút sửa đổi các tệp chủ đề (theme files) để phân phát các script của bên thứ ba trái phép. Chiến dịch này tận dụng các đoạn mã PHP tiêm nhiễm tinh vi vào tệp functions.php của chủ đề đang hoạt động để lấy mã bên ngoài, biến các trang web bị xâm nhập thành những kênh phân phối quảng cáo độc hại và phần mềm độc hại một cách thầm lặng.

Chiến dịch Tiêm nhiễm Mã độc WordPress

Sự việc bắt đầu được phát hiện khi chủ sở hữu trang web nhận thấy các đoạn JavaScript không quen thuộc được thực thi trên các trang của họ. Gần đây, một khách hàng lớn đã phát hiện ra rằng mọi khách truy cập vào trang của họ đều vô tình tải JavaScript độc hại từ các tên miền do kẻ tấn công kiểm soát. Điều này làm suy yếu lòng tin của người dùng, làm lộ dữ liệu nhạy cảm và gây rủi ro cho tính toàn vẹn của trang web. Chi tiết về chiến dịch này đã được ghi nhận tại Sucuri Blog.

Mekanism Khai Thác Tiềm ẩn

Kiểm tra nhanh mã nguồn trang cho thấy một thẻ script duy nhất tham chiếu đến porsasystem.com. Dòng mã này là chìa khóa để làm sáng tỏ toàn bộ tấn công mạng. Các tìm kiếm tiếp theo trên PublicWWW chỉ ra rằng cùng một script này đã xuất hiện trên ít nhất 17 trang web WordPress khác nhau, cho thấy một chiến dịch quy mô lớn nhắm mục tiêu vào các cài đặt dễ bị tổn thương.

Phân tích URL độc hại trên VirusTotal xác nhận sự nguy hiểm: 17 nhà cung cấp bảo mật đã đưa tên miền này vào danh sách đen vì phân phối nội dung có hại. Việc điều tra sâu hơn vào payload JavaScript cho thấy nó tải quảng cáo và chuyển hướng lưu lượng truy cập thông qua các kỹ thuật che giấu (cloaking techniques), khiến việc loại bỏ trở nên khó khăn hơn.

Sự vắng mặt của các triệu chứng rõ ràng như thay đổi giao diện trang (defaced pages) hoặc lỗi đăng nhập đã cho phép kẻ tấn công duy trì hoạt động không bị phát hiện trong thời gian dài.

Chuỗi Lây Nhiễm và Hoạt động

Một cuộc kiểm toán toàn bộ hệ thống tệp đã phát hiện ra nguồn gốc thực sự của sự xâm nhập: một đoạn mã lừa đảo được thêm vào cuối tệp functions.php của chủ đề. Bề ngoài, mã được tiêm nhiễm trông có vẻ vô hại—một hàm nhỏ bao bọc một lệnh gọi đến wp_enqueue_script.

Tuy nhiên, kiểm tra kỹ hơn cho thấy nó tự động xây dựng một URL từ xa và lấy JavaScript bằng cách sử dụng wp_remote_get, sau đó đưa nó vào phần chân trang (footer). Chuỗi lây nhiễm hoạt động như sau:

1. Kẻ tấn công tiêm một đoạn mã PHP vào tệp functions.php của chủ đề WordPress.
2. Đoạn mã này sử dụng hàm wp_remote_get để tải JavaScript độc hại từ một máy chủ từ xa.
3. Mã JavaScript độc hại sau đó được đưa trực tiếp vào mã HTML của trang, thường là ở phần footer.
4. Khi người dùng truy cập trang, JavaScript độc hại được thực thi, dẫn đến hiển thị quảng cáo không mong muốn hoặc chuyển hướng đến các trang web độc hại khác.

Vì nhiều quản trị viên trang web không thường xuyên kiểm tra các tệp chủ đề, đặc biệt sau các bản cập nhật hoặc thay đổi plugin, cách tiếp cận này cho phép kẻ tấn công duy trì quyền truy cập liên tục để tiêm nội dung không mong muốn mà không gây ra cảnh báo. Đây là một phương thức tấn công mạng tinh vi.

Phát hiện Xâm nhập và IOCs

Việc phát hiện các dấu hiệu của một cuộc tấn công mạng đòi hỏi sự tỉ mỉ và hiểu biết về hoạt động bất thường. Các chỉ số bị xâm phạm (Indicators of Compromise – IOCs) đóng vai trò quan trọng trong việc xác định và ứng phó với các mối đe dọa.

Chỉ số Đe dọa (IOCs)

• Tên miền độc hại:porsasystem.com
• Vị trí tệp bị sửa đổi:/wp-content/themes/[active_theme_name]/functions.php
• Đoạn mã PHP đáng ngờ: Chứa các lệnh gọi đến wp_remote_get để lấy mã từ xa và echo nội dung vào trang.

Quản trị viên cần chủ động theo dõi các tệp hệ thống và lưu lượng mạng để kịp thời phát hiện xâm nhập. Bất kỳ script hoặc tên miền không quen thuộc nào xuất hiện trong mã nguồn trang đều là dấu hiệu cần được điều tra ngay lập tức.

Các Biện pháp Phòng vệ Hiệu quả

Để bảo vệ trang web WordPress khỏi vector tấn công mạng ngày càng gia tăng này, chủ sở hữu trang web nên áp dụng các thực hành bảo mật sau:

Kiểm tra Toàn vẹn Tệp Thường xuyên

• Triển khai quét tự động các tệp cốt lõi và tệp chủ đề để phát hiện các sửa đổi trái phép.
• Các giải pháp như Wordfence hoặc Sucuri có thể so sánh hàm băm (file hashes) của tệp với các phiên bản “sạch” đã biết và cảnh báo quản trị viên về bất kỳ thay đổi nào.

Nguyên tắc Đặc quyền Tối thiểu

• Đảm bảo chỉ những người dùng đáng tin cậy mới có quyền ghi vào các thư mục chủ đề.
• Hạn chế quyền trên tệp functions.php để ngăn chặn các chỉnh sửa trái phép và tránh hoạt động với thông tin đăng nhập FTP hoặc SSH có quyền quá rộng.

Quy trình Cập nhật An toàn và Bản vá bảo mật

Giữ cho WordPress core, các chủ đề và plugin luôn được cập nhật để giảm thiểu khả năng phơi nhiễm với các lỗ hổng đã biết mà kẻ tấn công khai thác để có được quyền truy cập ban đầu. Trước khi áp dụng các cập nhật, hãy sao lưu các tệp và cơ sở dữ liệu để cho phép khôi phục nhanh chóng nếu có vấn đề phát sinh. Việc áp dụng các bản vá bảo mật kịp thời là yếu tố then chốt.

Kiểm tra Mã Thủ công

• Định kỳ xem xét mã chủ đề và plugin tùy chỉnh, tập trung vào các hàm mà đưa vào (enqueue) hoặc bao gồm (include) các tài sản bên ngoài.
• Tìm kiếm các tên hàm không quen thuộc hoặc các khối mã tham chiếu đến các tên miền từ xa.

Tường lửa Trang web và Giám sát

• Triển khai Tường lửa Ứng dụng Web (WAF) để chặn các yêu cầu HTTP độc hại và bảo vệ trang web khỏi các mẫu tấn công đã biết.
• Kết hợp với giám sát theo thời gian thực, WAF có thể chặn lưu lượng truy cập đáng ngờ trước khi nó tiếp cận các script dễ bị tổn thương.

Việc tiêm nhiễm mã PHP độc hại một cách thầm lặng vào các tệp chủ đề WordPress đại diện cho một vector tấn công mạng đang phát triển, lợi dụng các khoảng trống trong việc bảo trì trang web định kỳ. Bằng cách nhúng các hàm lén lút vào functions.php, kẻ tấn công có thể chiếm đoạt phiên truy cập của khách truy cập, phân phối quảng cáo không mong muốn và có khả năng gửi các payload độc hại hơn—tất cả mà không để lại dấu vết rõ ràng.

Sự cảnh giác thông qua giám sát tính toàn vẹn của tệp, kiểm soát quyền truy cập nghiêm ngặt, thực hành cập nhật cẩn thận và kiểm toán mã là rất quan trọng để bảo vệ các trang web WordPress chống lại sự xâm nhập lén lút này. Vệ sinh bảo mật cẩn trọng biến các cài đặt WordPress từ mục tiêu mềm thành những pháo đài kiên cường chống lại các cuộc tấn công mạng bất ngờ.