Trang này dạo này cũng hay lên đọc, nhất là mấy tin về văn minh ngoài trái đất. Các bài viết được dịch lại/biên soạn nhưng rất chỉnh chu, khá hài lòng.
Chợt phát hiện ra trang này sử dụng mã nguồn wordpress, phụ thuộc nhiều vào plugin cài thêm <- điểm yếu 1
Vài phương thức đơn giản, ta có được danh sách username để đăng nhập quyền admin <- điểm yếu 2
thangn*
admi*
thanhl*
dzun*
nhunguye*
drago*
bluesk*
etv*
trungv*
dknvnnew*
etvn1*
etvn0*
etvnvide*
etvnvide*0*
etvnmk*
toannguye*
Dễ thấy, có quá nhiều account đăng nhập được vào admin <- điểm yếu 3
Trang đăng nhập admin quá lộ liễu, không có phương thức authentication kể cả đơn giản nhất <- điểm yếu 4
https://daikynguyenvn.com/wp-login.php hoặc https://daikynguyenvn.com/admin
Không có chức năng chống Brute Force để ngăn chặn hack mò pass từ username ở trên <- điểm yếu 5
Do đó, nếu thật sự ai đó muốn hack Đại Kỷ Nguyên VN thì nó không còn quá khó khăn nữa. Mà đây mới chỉ là những điểm yếu khai thác được ngay trên trình duyệt thôi.
Mong là sẽ có sự thay đổi trong cách quản lý an toàn bảo mật của 1 trang web như thế này.
Đây cũng là lời cảnh báo có ích cho DaiKyNguyen giúp một trang tin tức lớn phát triển hơn. Bài viết rất hay!