พบช่องโหว่ในปลั๊กอิน Contract Form 7 Plugin ซึ่งเป็นปลั๊กอินที่นิยมใช้กันบน WordPress ช่องโหว่นี้จะช่วยให้แฮกเกอร์อัปโหลดไฟล์มัลแวร์หรือไฟล์ที่เป็นอันตรายลงบนเว็บของผู้ใช้ได้
ช่องโหว่นี้เกิดจากแบบฟอร์มที่ใช้อัปโหลดไฟล์ ที่อนุญาตให้อัปโหลดไฟล์ โดยไม่มีการตรวจสอบหรือเช็คว่าชื่อไฟล์นั้นมีการเพิ่มอักขระ หรือมีการเว้นวรรค หรือไม่ ทำให้แฮกเกอร์สามารถใช้ช่องโหว่นี้ข้ามผ่านการตรวจสอบ และอัปโหลดมัลแวร์หรือไฟล์ที่เป็นอันตรายๆ ต่างลงบนเว็บได้
แต่ก็มีวิธีป้องกันเบื้องต้น ที่จะช่วยให้แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ยากขึ้น ก็คือ
- ลบไฟล์ที่อัปโหลดทันทีหลังจากที่ส่งไปเรียบร้อยแล้ว โดยไฟล์นั้นจะต้องเก็บไว้ในโฟลเดอร์ชั่วคราว ซึ่งถูกสร้างขึ้นมาด้วยวิธีการ Random ดังนั้นหากแฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้จะต้องหาไฟล์ดังกล่าวให้เจอก่อนถูกลบถึงจะทำการโจมตีได้
- มีการสั่งรันโค้ดใน .htaccess เพื่อไม่ให้เข้าถึงไฟล์ที่อัปโหลดใน Contract Form 7 Plugin แต่วิธีนี้จะใช้ได้ผลกับเว็บที่ออนอยู่บน Apache เท่านั้นนะ
- นามสกุลของไฟล์จะต้องเป็นนามสกุลที่ได้กำหนดค่าไว้ใน Apache เท่านั้น โดยระบบปฏิบัติการนี้กำหนดให้ PHP เป็นตัวจัดการกับไฟล์ที่อัปโหลด
- หากคุณใช้ปลั๊กอินโดยไม่มีการอัปโหลดไฟล์ คุณก็ไม่เสี่ยงต่อการโจมนี้
ที่มา: Wordfence
