ตามรายงานของ WordPress site security firm Wordfence และจากหลายๆ บทความใน WordPress.org พบว่า Hacker ได้ค้นพบวิธีการติดตั้ง Backdoored Plugins บนเว็บ WordPress โดย Hacker จะใช้ช่องโหว่บัญชี WordPress.com ที่มีการป้องกันที่อ่อนแอ และช่องโหว่ Jetpack plugin ซึ่งตอนนี้ Hacker หลายๆ คนได้ใช้วิธีการโจมตีนี้ทำการ Spam ผู้ใช้ และทำการหลอกลวง tech support
สำหรับวิธีการโจมตีนั้น เกิดจาก Hacker จะทำการขโมยข้อมูล usernames กับ passwords จากนั้นทำการ login เข้าสู่บัญชี WordPress.com จากนั้นจะทำ Upload ไฟล์ Zip Backdoored Plugins ผ่านทาง Jetpack plugin
สาเหตุที่เลือก Jetpack นั่นก็เพราะว่า ความสามารถของ plugin นี้สามารถเชื่อมต่อเว็บ WordPress ในโฮสต์ของตัวเอง ไปยังบัญชีใน WordPress.com ที่ใช้ Jetpack panel เพื่อทำการจัดการเว็บ WordPress ที่มีทั้งหมดในโฮสต์เดียวกัน
ด้วยเหตุนี้เองทำให้ Hacker ที่ที่มีบัญชี WordPress.com สามารถทำการเข้าถึงเว็บ WordPress ที่อยู่ภายในโฮสเดียวกัน
ผู้เชี่ยวชาญกล่าวว่า การโจมตีนี้เกิดขึ้นเมื่อวันที่ 16 พฤษภาคมที่ผ่านมา โดย Hacker ใช้ plugin ที่ชื่อว่า “pluginsamonsters” จากนั้นก็เปลี่ยนมาใช้ plugin “wpsmilepack” ในวันที่ 21 พฤษภาคม
ในตอนนี้ยังรู้จำนวนเว็บที่ถูกโจมตี และการตรวจหาเว็บที่โดนโจมตีตอนนี้ยังไม่สามารถทำได้ ทางทีมงานของ Wordfence กล่าวว่า “เราสามารถมองเห็น plugin บนหน้า Dashboard ของ WordPress แต่เมื่อ plugin ทำงานเราไม่เห็นถึงการโจมตีบนเว็บ WordPress เลย”
คำแนะนำในการป้องกันในตอนนี้ สำหรับผู้ให้บริการโฮสที่ใช้ Jetpack plugin กับบัญชี WordPress.com ควรทำการตรวจดู Plugin ในหน้า dashboard WordPress หากพบว่ามี plugin ที่น่าสงสัย ควรทำการเปลี่ยนรหัสผ่านบัญชี
WordPress.com ทันทีเพื่อเปิดการยืนยันตนเองสองระดับ (Two-factor authentication) และให้ทำการ site-cleaning
ที่มา : Bleeping Computer
