Dưới góc độ của những kỹ sư hệ thống tại Tadu Cloud, việc đối mặt với các lỗ hổng bảo mật wordpress zero-day hay critical là chuyện cơm bữa. Đầu tháng 07/2026, cộng đồng lại một phen mất ngủ với hai lỗ hổng nghiêm trọng: SQL Injection (CVE-2026-60137) và Unauthenticated RCE (CVE-2026-63030). Rất may, Cloudflare đã nhanh chóng triển khai lớp bảo vệ Web Application Firewall (WAF) từ ngoài biên, giúp anh em dev có thêm thời gian thở trước khi tiến hành vá lỗi.
Đọc thêm: Tadu WAF – Vovinam Engine 2.0 : Vệ sĩ canh gác WordPress của bạn 24/7
Phân tích các vấn đề về kỹ thuật
Bệnh thì phải hiểu tận gốc. Lỗ hổng đầu tiên (CVE-2026-60137) là SQL injection ảnh hưởng từ bản 6.8, cho phép input được craft đặc biệt can thiệp trực tiếp vào query database. Lỗ hổng thứ hai (CVE-2026-63030) thì chí mạng hơn: RCE không cần xác thực qua endpoint batch của REST API (xuất hiện từ bản 6.9) trong trường hợp hệ thống không dùng persistent object cache. Mấu chốt ở đây là thằng RCE lợi dụng chính lỗi SQLi kể trên để thâm nhập.

Hướng dẫn các bạn “phòng ngự” chiều sâu (Defense in Depth) cho Website
Làm dev thì đều biết, WAF không bao giờ thay thế được việc patch code. Các bản vá 7.0.2, 6.9.5, 6.8.6 và 7.1 Beta 2 đã release, nhưng không phải hệ thống nào cũng auto-update được mà không gãy vỡ (break) tính năng. Việc Cloudflare update rule block mặc định mang lại một chốt chặn vòng ngoài tuyệt vời. Rule SQLi sẽ tóm gọn các parameter chứa mã độc trước khi chúng chạm tới core WordPress, còn rule RCE sẽ chặn đứng các request có ý đồ chọc vào REST API endpoint.
| WordPress – SQL Injection – CVE:CVE-2026-60137 | CVE-2026-60137 | 1c060d3a371549219ee290d7ed933fcc | db003b39b7774859a8d588ce33697a1a | Block |
| WordPress – Remote Code Execution – CVE:CVE-2026-63030 | CVE-2026-63030 | 7dfb2bd4708d4b88b9911dc0550664b6 | ebd3f2df15c74ddcbf6220c9b5ec246a | Block |
Với cả, anh em có thể sử dụng tool sau để check bảo mật cho website của mình: https://wp2shell.com/
Tại Tadu Cloud, kinh nghiệm xương máu của chúng mình là: đừng giao phó sinh mạng server hoàn toàn cho một lớp bảo mật. Hãy đảm bảo Cloudflare rules đang chạy ở chế độ Block, soi lại log để nhận diện các IP bất thường, và lên kế hoạch patch version WordPress ngay lập tức. WAF chỉ mua thời gian cho bạn, còn việc fix lỗi gốc là trách nhiệm của người làm kỹ thuật.





Bảo vệ ứng dụng WordPress trước lỗ hổng RCE và SQLi: Góc nhìn kỹ thuật từ Tadu Cloud
Phân tích từ Tadu Cloud về cách Cloudflare WAF bảo vệ ứng dụng WordPress khỏi [...]
Th7
Cloudflare Email Routing, một giải pháp email hoàn toàn miễn phí
Bài viết hướng dẫn chi tiết cách cấu hình Cloudflare Email Routing để định tuyến [...]
Th7
Giới Thiệu Về Hệ Sinh Thái Cloudflare 2026 và Cuộc Cách Mạng “Đám Mây Sách Lược” (Agentic Cloud)
Xin chào! Nếu bạn vẫn nghĩ Cloudflare chỉ đơn thuần là một dịch vụ CDN (mạng phân phối nội dung) hay một bức tường lửa chặn DDoS, thì những cập nhật mới nhất trong năm 2026 sẽ khiến bạn phải thay đổi hoàn toàn góc nhìn.
Th7
WordPress 7.0 một cú ‘refactor’ mạnh mẽ về tư duy xây dựng website hiện đại
Khám phá WordPress 7.0 dưới góc nhìn kỹ thuật với các tính năng đột phá [...]
Th5
Dynamic Page Cache: WordPress thoát xác và chạm ngưỡng 1ms
Dân dev đều hiểu cảm giác này: Mỗi request gửi đến là một lần PHP [...]
Th5
Tải ngay Tadu WAF – Vovinam Engine 2.0 “Vệ sĩ” canh gác WordPress của bạn 24/7 trên Android và iOS
Bảo vệ hệ thống WordPress toàn diện với Tadu WAF - Vovinam Engine 2.0. Giải [...]
Th5
Lỗ hổng “Copy Fail” (CVE-2026-31431) cho phép chiếm quyền Root Linux trong nháy mắt
Tóm tắt nội dung1 “Copy Fail” là gì và tại sao nó lại đáng sợ?2 [...]
Th5
Claude Design ra mắt và cú chuyển mình của ngành thiết kế công nghệ
Yên AI vừa phân tích sự kiện Claude Design ra mắt, một bước ngoặt khiến [...]
Th4