เว็บไซต์ WordPress กว่า 1.6 ล้านเว็บไซต์ ถูกโจมตี

เมื่อวันที่ 9 ธันวาคมที่ผ่านมา ทางทีม Threat Intelligence ของ Wordfence ได้พบการโจมตี 13.7 ล้านครั้ง จาก 16,000 IPs บนเว็บไซต์ WordPress มากกว่า 1.6 ล้านเว็บไซต์ภายใน 36 ชั่วโมง

แฮกเกอร์จะใช้ประโยชน์จากการโจมตีครั้งนี้ทำการลงทะเบียน และทำการเพิ่มสิทธิ์ให้ตนเองเป็นแอดมิน จากนั้นทำการเข้ายึดเว็บไซต์ทันที

ซึ่งจากการตรวจสอบพบว่า แฮกเกอร์จะใช้ช่องโหว่ จาก 4 ปลั๊กอิน ได้แก่ Kiwi Social Share, WordPress Automatic, Pinterest Automatic และ PublishPress Capabilities นอกจากนี้ยังมีการใช้ช่องโหว่ผ่าน Theme Epsilon Framework

10 IPs ที่ทำการโจมตีมากที่สุดใน 36 ชั่วโมงที่ผ่านมาได้แก่

  1. 144.91.111.6 โจมตี 430,067 ครั้ง
  2. 185.9.156.158 โจมตี 277,111 ครั้ง
  3. 195.2.76.246 โจมตี 274,574 ครั้ง
  4. 37.187.137.177 โจมตี 216,888 ครั้ง
  5. 51.75.123.243 โจมตี 205,143 ครั้ง
  6. 185.200.241.249 โจมตี 194,979 ครั้ง
  7. 62.171.130.153 โจมตี 192,778 ครั้ง
  8. 185.93.181.158 โจมตี 181,508 ครั้ง
  9. 188.120.230.132 โจมตี 158,873 ครั้ง
  10. 104.251.211.115 โจมตี 153,350 ครั้ง

สำหรับปลั๊กอินที่ได้รับผลกระทบได้แก่

  • PublishPress Capabilities มีผลกระทบตั้งแต่เวอร์ชั่น 2.3 ลงไป
  • Kiwi Social Plugin มีผลกระทบตั้งแต่เวอร์ชั่น 2.0.10 ลงไป
  • Pinterest Automatic มีผลกระทบตั้งแต่เวอร์ชั่น 4.14.3 ลงไป
  • WordPress Automatic มีผลกระทบตั้งแต่เวอร์ชั่น 3.53.2 ลงไป

ธีม Epsilon Framework ที่ได้รับผลกระทบได้แก่

  • Shapely มีผลกระทบตั้งแต่เวอร์ชั่น 1.2.8 ลงไป
  • NewsMag มีผลกระทบตั้งแต่เวอร์ชั่น 2.4.1 ลงไป
  • Activello มีผลกระทบตั้งแต่เวอร์ชั่น 1.4.1 ลงไป
  • Illdy  มีผลกระทบตั้งแต่เวอร์ชั่น 2.1.6 ลงไป
  • Allegiant มีผลกระทบตั้งแต่เวอร์ชั่น 1.2.5 ลงไป
  • Newspaper X มีผลกระทบตั้งแต่เวอร์ชั่น 1.3.1 ลงไป
  • Pixova Lite มีผลกระทบตั้งแต่เวอร์ชั่น 2.0.6 ลงไป
  • Brilliance มีผลกระทบตั้งแต่เวอร์ชั่น 1.2.9 ลงไป
  • MedZone Lite มีผลกระทบตั้งแต่เวอร์ชั่น 1.2.5 ลงไป
  • Regina Lite มีผลกระทบตั้งแต่เวอร์ชั่น 2.0.5 ลงไป
  • Transcend มีผลกระทบตั้งแต่เวอร์ชั่น 1.1.9 ลงไป
  • Affluent มีผลกระทบกับเวอร์ชั่นที่ต่ำกว่า 1.1.0
  • Bonkers มีผลกระทบตั้งแต่เวอร์ชั่น 1.0.5 ลงไป
  • Antreas มีผลกระทบตั้งแต่เวอร์ชั่น 1.0.6 ลงไป
  • NatureMag Lite ไม่รู้ว่าส่งผลกระทบกับเวอร์ชั่นใด แนะนำให้เอาออกก่อน

สำหรับผู้พัฒนาเว็บหรือแอดมินท่านใดสงสัยว่าเว็บของเราโดนโจมตีหรือไม่ แนะนำให้ตรวจสอบบัญชีผู้ที่มีสิทธิ์เข้าถึงหลังบ้านของเว็บไซต์ว่ามีชื่อบัญชีแปลกๆ หรือที่ไม่ได้อนุญาตให้เข้าถึงหรือไม่

ยิ่งเว็บไซต์มีการติดตั้งปลั๊กอินหรือธีมที่มีช่องโหว่ที่กล่าวมาด้านบน และมีชื่อบัญชีที่ไม่รู้จักอยู่ แสดงว่าเว็บคุณโดนโจมตีแล้ว แนะนำให้ลบบัญชีนั้นออกไปทันที

และที่สำคัญ อย่าลืมตรวจสอบการตั้งค่าของเว็บไซต์ ด้วย ว่ามีการเปลี่ยนแปลงหรือไม่ ซึ่งสามารถดูได้ที่ http://examplesite[.]com/wp-admin/options-general.php โดยให้ตรวจสอบที่การตั้งค่าสมาชิก `Membership`  และที่บทบาทของสมาชิกใหม่ `New User Default Role` ว่ามีการเปิดหรือปิดการใช้งานตามที่ตั้งไว้หรือไม่ แนะนำเลยว่าที่บทบาทของสมาชิกใหม่ อย่าตั้งค่า Default เป็น `Administrator` 

ที่มา: Wordfence, The Hacker News