เตือนช่องโหว่ Zero-day บน WordPress Plugin หลายค่ายกำลังถูกโจมตีจากแฮ็กเกอร์

WordPress ถือเป็น CMS เจ้าหลักของเว็บไซต์ในตลาด โดยระยะหลังมานี้ได้มีการเปิดเผยช่องโหว่บน Plugin ยอดนิยมหลายตัว ซึ่งแฮ็กเกอร์ได้เริ่มจู่โจมไปล่วงหน้าแล้ว ทาง Zdnet จึงได้รวบรวมช่องโหว่ดังกล่าวมาเตือนให้ผู้ใช้เร่งอัปเดตครับ

แทนที่จะโจมตีที่ตัว WordPress โดยตรงการโจมตีในส่วนของ Plugin ก็ได้ผลดีไม่น้อยและคาดว่าจะเป็นกระแสต่อไปในปีนี้ สำหรับ Plugin ที่น่าสนใจมีดังนี้

  • Duplicator – กลางเดือนที่ผ่านมาพบการโจมตีบั๊กใน Plugin ที่ทำให้แฮ็กเกอร์สามารถลอบ Export สำเนาของไซต์ได้ ซึ่งนำไปสู่การ Extract Credentials บนฐานข้อมูลหรือแม้กระทั่งการ Hijack ไซต์ ทั้งนี้มีการอัปเดตแล้วในเวอร์ชัน 1.3.28 แต่ความน่ากังวลคือ Duplicator เป็นปลั๊กอินยอดนิยมที่มีผู้ติดตั้งแล้วกว่า 170,000 ไซต์
  • Profile Builder – Plugin ตัวนี้มีบั๊กทั้งในเวอร์ชันฟรีและเสียเงิน โดยทำให้แฮ็กเกอร์สามารถลงทะเบียนบัญชีแอดมินได้ โดยมีการออกแพตช์มาตั้งแต่ 10 ก.พ. หลังพบการโจมตีตั้งแต่ 24 ม.ค. ปัจจุบันมีผู้ใช้งานทุกเวอร์ชันรวมกันราว 65,000 ไซต์
  • Themegrill Demo Importer – มีผู้ใช้งานราว 200,000 ไซต์ โดยช่องโหว่ทำให้คนร้ายเข้าไปลบไซต์ได้หรือในบางกรณีสามารถเข้ายึดไซต์ได้ด้วย (ติดตามเพิ่มเติมได้จากข่าวเก่าของ TechTalkThai)
  • Themerex Addon – พบการโจมตีตั้งแต่วันที่ 18 กุมภาพันธ์ โดยแฮ็กเกอร์พบช่องโหว่ Zero-day ที่ช่วยเข้าไปสร้างบัญชีแอดมินได้ อย่างไรก็ตามยังไม่มีแพตช์ดังนั้นจึงแนะนำให้ลบการติดตั้ง (ติดตามเพิ่มเติมได้จากข่าวเก่าของ TechTalkThai)
  • Flexible Checkout Field for Woocommerce – พบแฮ็กเกอร์ใช้ช่องโหว่ Zero-day เพื่อ Inject XSS Payload ใน Dashboard ที่ล็อกอินด้วยสิทธิ์แอดมิน เพื่อนำไปสู่การลอบสร้างบัญชีระดับแอดมิน

นอกจากนี้ยังมีช่องโหว่ Zero-day ที่นำไปสู่ XSS บน Plugin อื่นอย่าง Async JavaScript, 10Web Map Builder for Google Maps และ Modern Events Calendar Lite ที่มีผู้ใช้กว่า 100,000 200,000 และ 40,000 ตามลำดับ โดย Plugin ที่กล่าวมาทั้งหมดนี้ล้วนแล้วแต่เป็นช่องโหว่ Zero-day ที่ถูกเริ่มโจมตีหรือเป็นเป้าหมายที่คาดว่าแฮ็กเกอร์จะติดพอร์ตไว้ในคลังแสง ดังนั้นหากท่านใดใช้ Plugin ข้างต้นกรุณาอัปเดตแพตช์หรือหาทางป้องกันที่เหมาะสมด้วย

ที่มา :  https://www.zdnet.com/article/hackers-are-actively-exploiting-zero-days-in-several-wordpress-plugins/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

อุปกรณ์ Apple เสี่ยงถูกโจมตี ผ่านช่องโหว่คอนโทรลเลอร์ USB-C ACE3

ผู้ใช้อุปกรณ์ Apple กำลังเผชิญความเสี่ยงใหม่ หลังจากที่นักวิจัยด้านความมั่นคงปลอดภัยสามารถแฮ็กคอนโทรลเลอร์ USB-C ACE3 ซึ่งเป็นส่วนสำคัญที่รับผิดชอบการจัดการการชาร์จไฟและการถ่ายโอนข้อมูลบนอุปกรณ์รุ่นล่าสุดของ Apple ได้สำเร็จ

[รีวิว] TP-Link OMADA EAP723 ง่าย เร็ว คุ้ม ตอบโจทย์ทุกธุรกิจ

ในปี 2025 มาตรฐาน Wi-Fi 7 ได้ถูกบรรจุเข้ามาแล้วในอุปกรณ์เครือข่ายไร้สาย ซึ่งสำหรับ TP-Link OMADA EAP723 ถือเป็นอีกทางเลือกหนึ่งที่ธุรกิจสามารถสัมผัสกับเทคโนโลยีใหม่ล่าสุดนี้ได้ในราคาย่อมเยา เพราะเครือข่ายในธุรกิจมีความจำเป็นอย่างยิ่งต่อการดำเนินธุรกิจ โดยคอนเซปต์ของ TP-Link OMADA …