หากตั้งค่าผิดบนปลั๊กอิน WP Statistics อาจส่งผลให้เกิดช่องโหว่ได้

สำหรับผู้ที่ใช้ WP Statistics Plugin บน WordPress ลองตรวจสอบการตั้งค่าของตัวเองให้ดีๆ เพราะหากตั้งค่าผิด อาจส่งผลให้เกิดช่องโหว่ ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้เข้าควบคุมเว็บไซต์ทั้งหมดได้

หากผู้ใช้ตั้งค่าปลั๊กอินใช้ header เพื่อระบุ IP address ของผู้เข้าชม อาจะทำให้เกิดช่องโหว่ได้ ดังภาพ


ภาพ: The settings page of the plugin, while using the X_Forwarded_For header to identify the IP
ที่มาภาพ: SUCURI Blog

ช่องโหว่นี้มีผลกระทบกับปลั๊กอิน WP Statistics ตั้งแต่เวอร์ชั่น 12.6.7 ลงไป โดยจะเกิดเมื่อมีการใช้ Firewall

ทำไมการใช้ Firewall จะต้องใช้ header ด้วย?

ปกติแล้ว เมื่อมีการเข้าชมเว็บ เว็บไซต์จะสามารถทราบ IP Address ของผู้เข้าชมได้ ดังภาพ


ภาพ: Request to a website without a firewall
ที่มาภาพ: SUCURI Blog

แต่เมื่อเว็บไซต์มีการติดตั้ง Firewall ทำให้ผู้ที่เข้าชมเว็บนั้นจะต้องผ่าน Firewall ก่อน ถึงจะเข้าชมเว็บได้ ดังภาพ


ภาพ: Request to a website using a firewall, ignoring the original user IP
ที่มาภาพ: SUCURI Blog

เพื่อให้ Firewall รู้ว่าผู้ที่เข้ามนั้น IP Address เดิมคืออะไร มันจึงเพิ่ม header ที่มี IP Address ของผู้ใช้เดิมด้วย ดังภาพ


ภาพ: Request to a website where the firewall forwards the user IP
ที่มาภาพ: SUCURI Blog

หากแฮกเกอร์ระบุ forwarded IP Address ปลอมที่มีมัลแวร์ไป ส่งผลให้ server เกิดความสับสน ระหว่าง IP จริง กับ IP หลอก ทำให้ Firewall ของเว็บสับสนและจะใช้ IP ที่แฮกเกอร์สร้างขึ้นแทน ดังภาพ


ภาพ: User sending a forwarded IP, confusing the server
ที่มาภาพ: SUCURI Blog

ดังนั้นเพื่อเป็นการป้องกัน แนะนำให้ผู้ใช้อัปเดตปลั๊กอิน WP Statistics ให้เป็นเวอร์ชั่นล่าสุดคือ 12.6.7

ที่มา: SUCURI Blog