🚨 Cảnh báo khẩn: W3 Total Cache dính lỗ hổng nghiêm trọng, hơn 1 triệu website WordPress có nguy cơ bị tấn công

W3 Total Cache – plugin cache phổ biến với hơn 1 triệu lượt cài đặt – đang rơi vào khủng hoảng bảo mật nghiêm trọng khi lỗ hổng CVE-2025-9501 liên tục bị khai thác. Đáng lo ngại hơn, dù nhà phát triển đã phát hành tới 3 bản vá liên tiếp, nhưng các biện pháp này vẫn chưa thể khắc phục triệt để vấn đề.

Cảnh báo lỗ hổng bảo mật W3 Total Cache CVE-2025-9501
Ảnh minh họa: Lỗ hổng bảo mật nghiêm trọng trên plugin W3 Total Cache.

🔍 Lỗ hổng CVE-2025-9501 là gì?

Theo công bố từ nhà nghiên cứu bảo mật wcraft với WPScan, tất cả các phiên bản W3 Total Cache trước 2.8.13 đều bị ảnh hưởng bởi lỗ hổng có điểm CVSS 9.0 – Critical.

Nguyên nhân xuất phát từ hàm _parse_dynamic_mfunc, trong đó plugin sử dụng hàm eval() của PHP để xử lý nội dung động đã được cache. Thiết kế này vô tình cho phép các đoạn mã được nhúng trong bình luận bị coi là lệnh hợp lệ và thực thi trực tiếp trên máy chủ.

⚠️ Chỉ cần chèn được payload phù hợp vào comment, hacker có thể chiếm quyền kiểm soát website.

🎪 Quá trình vá lỗi bị ví như “rạp xiếc bảo mật”

  • Phiên bản 2.8.13: Sử dụng str_replace để loại bỏ thẻ độc hại, nhưng hacker có thể lồng chuỗi (ví dụ: rcercesecsec) khiến sau khi lọc, chuỗi còn lại tự ghép thành token hợp lệ, làm vô hiệu hóa cơ chế phòng thủ.
  • Phiên bản 2.8.14: Bổ sung thêm nhiều bước kiểm tra, nhưng lỗ hổng vẫn chưa được khắc phục triệt để.
  • Phiên bản 2.8.15: Kiểm tra bằng regex \s+ (bắt buộc có khoảng trắng), trong khi mã gốc cho phép \s* (có hoặc không). Hacker chỉ cần xóa khoảng trắng để vượt qua.

➡️ Kết quả: các bản vá liên tục bị bypass, khiến rủi ro bảo mật vẫn còn nguyên.

🎯 Điều kiện để khai thác lỗ hổng

Để tấn công thành công, kẻ xấu cần đồng thời thỏa mãn 3 điều kiện:

  1. Có được token bảo mật W3TC_DYNAMIC_SECURITY do quản trị viên cấu hình;
  2. Website cho phép người dùng chưa đăng nhập đăng bình luận;
  3. Tính năng cache trang của W3 Total Cache đang được bật.

Dù các điều kiện này phần nào hạn chế phạm vi tấn công, nhưng với hơn 1 triệu website đang sử dụng W3 Total Cache, số nạn nhân tiềm năng vẫn không hề nhỏ.

🛡️ Chỉ cập nhật plugin là chưa đủ!

Các chuyên gia bảo mật khuyến cáo quản trị viên WordPress nên thực hiện ngay những biện pháp sau:

  • ✅ Cập nhật W3 Total Cache lên phiên bản mới nhất;
  • 🔑 Thay đổi ngay hằng số W3TC_DYNAMIC_SECURITY sang một chuỗi mạnh, duy nhất;
  • 🚫 Hạn chế hoặc tạm tắt bình luận với người dùng chưa xác thực;
  • 📜 Rà soát log và dữ liệu bình luận từ tháng 10/2025 đến nay để phát hiện dấu hiệu chèn mã;
  • 🔍 Theo dõi các hành vi bất thường trong file cache và log server.

⚠️ Lời kết

W3 Total Cache từng là giải pháp tăng tốc quen thuộc cho hàng triệu website WordPress, nhưng sự cố lần này là lời nhắc mạnh mẽ rằng:

⚡ Tối ưu tốc độ là quan trọng – nhưng bảo mật mới là nền tảng sống còn.

Nếu website của bạn đang sử dụng plugin này, hãy kiểm tra và hành động ngay hôm nay trước khi trở thành mục tiêu tiếp theo của hacker.