พบ 2 ช่องโหว่ในปลั๊กอิน PageLayer plugin บน WordPress

Wordfence ได้ออกมาแจ้งเตือนถึง 2 ช่องโหว่ที่พบในปลั๊กอิน PageLayer plugin บน WordPress แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ทำการเปลี่ยนแปลงข้อมูลเว็บ หรือเข้ายึดเว็บไซต์ได้

ช่องโหว่นี้มีผลกระทบกับปลั๊กอิน PageLayer plugin ตั้งแต่เวอร์ชั่นที่ต่ำกว่า 1.1.2 ลงไป ซึ่งในตอนนี้มีผู้ติดตั้งปลั๊กอินนี้แล้วกว่า 200,000 เว็บ

เพื่อเป็นการป้องกันการโจมตีแนะนำให้อัปเดตปลั๊กอินให้เป็นเวอร์ชั่นล่าสุด โดยเวอร์ชั่นล่าสุดจะเป็นเวอร์ชั่น 1.1.4

เมื่อไม่นานมานี้นักวิจัยก็ได้พบการโจมตีต่างๆ ผ่านปลั๊กอินที่ติดตั้งบน WordPress ไม่ว่าจะเป็น ใน Google’s official WordPress plugin ที่ช่วยให้แฮกเกอร์สามารเข้าถึง Google Search Console ของเว็บทำให้แฮกเกอร์สามารถใช้ประโยชน์จากการทำ SEO ได้ รายละเอียดดูได้ที่ Google WordPress plugin bug can be exploited for black hat SEO

หรือ การโจมตีแบบ cross-site scripting (Stored XSS) บนปลั๊กอิน Real-Time Find and Replace, Ninja Forms, และ Contact Form 7 อีกด้วย

ดังนั้น เพื่อป้องกันการเกิดช่องโหว่ แนะนำให้พยายามอัปเดตปลั๊กอินให้เป็นเวอร์ชั่นล่าสุดเสมอ

ที่มา : Bleeping Computer