Hiện nay, các hệ thống quản trị nội dung mã nguồn mở như Joomla, WordPress… ngày một phát triển và được sử dụng rộng rãi. Các hệ thống này có đầy đủ các tính năng cần có của một Website như quản trị nội dung (CMS), RSS Feed, Blog… và hỗ trợ khả năng tùy biến cao cho phép điều chỉnh Website theo phong cánh, ngôn ngữ riêng biệt.

Tuy nhiên, các hệ thống này thiếu một tính năng an ninh quan trọng. Đó là cơ chế chống tự động đăng ký thành viên. Điều đó dẫn đến nhiều website sử dụng các CMS này có thể bị kẻ xấu phá hoại bằng cách đăng ký hàng loạt các tài khoản, khiến cơ sở dữ liệu bị đầy.

Hiện nay, chức năng “đăng ký người dùng” (Registration User) của các hệ thống này đa phần được thiết kế đơn giản và khá thuận tiện cho người sử dụng.

Giao diện đăng ký người dùng của Joomla không có cơ chế chống đăng ký tự động

Tuy nhiên, chức năng này lại không được thiết kế sẵn cơ chế chống lại việc đăng ký tự động. Điều này dẫn đến khả năng hệ thống bị lợi dụng bởi các phần mềm đăng ký tự động như spampot, email spam, virus… Việc này có thể dẫn đến tính không ổn định của hệ thống.

Thực tế, vấn đề này không phải lỗ hổng an ninh. Nó chỉ có thể ảnh hưởng đến tính ổn định của hệ thống và sự điều hành của quản trị. Bên cạnh đó, các cơ chế nhằm chống lại việc đăng ký hay đăng nhập tự động đang tồn tại đều có khả năng bị vượt qua. Điển hình nhất là việc xuất hiện các dòng virus máy tính có khả năng vượt qua hệ thống CAPTCHA của các hãng lớn như Google, Yahoo, Microsoft (thông tin chi tiết có thể xem lại đây). Do đó, nhóm phát triển các hệ thống quản trị nội dung mã nguồn mở có lẽ đã đơn giản hóa chức năng này và cho phép các quản trị mạng tùy biến lựa chọn giải pháp an ninh phù hợp nhất với hệ thống của mình. Bằng chứng là các Website của nhóm phát triển vẫn cung cấp khá nhiều các thành phần mở rộng (Extension Component) hỗ trợ tính năng này.

Mặc dù đánh giá đây không phải lỗ hổng an ninh, chúng tôi vẫn nhận thấy chức năng này tiềm ẩn nhiều nguy cơ bị tấn công làm mất sự ổn định của thống với các lý do sau :

-       Chức năng này mặc định không được cài đặt sẵn cơ chế chống đăng ký tự động.

-       Ngày càng xuất hiện nhiều các hệ thống virus, email spams, spambot...

-       Số lượng người sử dụng Joomla, Wordpress… là rất lớn.

Giải pháp

Đối với các cá nhân, tổ chức sử dụng các hệ thống quản trị nội dung mã nguồn mở, nếu có nhu cầu sử dụng chức năng đăng ký cho người dùng, chúng tôi khuyến cáo nên cài đặt thêm tính năng chống đăng ký tự động nhằm hạn chế các nguy cơ xấu có thể xảy ra:

Với Joomla:

Các quản trị có thể cài đặt thêm CAPTCHA thông qua chức năng mở rộng Joomla Captcha.

Với Wordpress:

Các quản trị có thể cài đặt thêm CAPTCHA thông qua chức năng mở rộng Raz Captcha.

Download và hướng dẫn cài đặt tại đây : raz-captcha

Chúng tôi xin cảm ơn bạn Ngọc Khánh, MIS – Đại học Ngân hàng, đã làm việc cùng chúng tôi để cảnh báo nguy cơ này.

Bkis