นักวิจัยด้านความปลอดภัยได้เผยแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าไปยังเว็บไซต์ WordPress โดยใช้ปลั๊กอินปลอมในชื่อ WP-antymalwary-bot.php ซึ่งปลอมเป็นเครื่องมือรักษาความปลอดภัย แต่แท้จริงแล้วเป็นมัลแวร์ที่ให้แฮกเกอร์เข้าถึงระบบจากระยะไกลได้
การทำงานของมัลแวร์
- ติดตั้งปลั๊กอินปลอม – เมื่อผู้ดูแลเว็บไซต์ติดตั้งปลั๊กอินนี้ มัลแวร์จะสร้างบัญชีผู้ดูแลระบบใหม่และซ่อนตัวเองจากแดชบอร์ดของผู้ดูแล
- เข้าถึงจากระยะไกล – มัลแวร์จะใช้ REST API เพื่อฝังโค้ด PHP ที่เป็นอันตรายลงในไฟล์ธีมของเว็บไซต์ หรือเคลียร์แคชของปลั๊กอินแคชยอดนิยม เพื่อให้แฮกเกอร์สามารถควบคุมเว็บไซต์ได้จากระยะไกล
- ฟื้นตัวอัตโนมัติ – หากปลั๊กอินถูกลบออก มัลแวร์จะใช้ไฟล์ wp-cron.php ที่ถูกแก้ไขเพื่อสร้างและเปิดใช้งานปลั๊กอินอีกครั้งโดยอัตโนมัติในการเยี่ยมชมเว็บไซต์ครั้งถัดไป
- ฝังโฆษณา – แฮกเกอร์ได้ฝังโค้ด Google AdSense ลงในเว็บไซต์อย่างน้อย 17 แห่ง เพื่อแสดงโฆษณาที่ไม่พึงประสงค์และสร้างรายได้จากการคลิกหรือแสดงผล
- หลอกลวงผู้ใช้ – มีการใช้ไฟล์ GIF ปลอมที่ความจริงแล้วเป็นสคริปต์ PHP ทำหน้าที่เป็นพร็อกซีย้อนกลับ เพื่อรวบรวมข้อมูลเมื่อผู้เยี่ยมชมเว็บไซต์เข้าสู่หน้าชำระเงิน
การตรวจสอบและการป้องกัน
- ตรวจสอบปลั๊กอิน – ตรวจสอบรายชื่อปลั๊กอินที่ติดตั้งอยู่ในเว็บไซต์ หากพบปลั๊กอินที่ไม่รู้จักหรือมีชื่อแปลก ๆ เช่น WP-antymalwary-bot.php, addons.php, wpconsole.php, wp-performance-booster.php หรือ scr.php ควรลบออกทันที
- ตรวจสอบบัญชีผู้ใช้ – ตรวจสอบบัญชีผู้ดูแลระบบ หากพบบัญชีที่ไม่รู้จักหรือไม่ได้สร้างขึ้นเอง ควรลบออกและเปลี่ยนรหัสผ่านของบัญชีที่เหลือ
- อัปเดตระบบ – อัปเดต WordPress, ธีม และปลั๊กอินทั้งหมดให้เป็นเวอร์ชันล่าสุด เพื่อปิดช่องโหว่ที่อาจถูกใช้ในการโจมตี
- ใช้เครื่องมือรักษาความปลอดภัยเพิ่มเติม – เลือกใช้ปลั๊กอินรักษาความปลอดภัยที่เชื่อถือได้ เช่น Wordfence หรือ Sucuri เพื่อช่วยตรวจจับและป้องกันมัลแวร์
กรณีปลั๊กอินปลอมบน WordPress ครั้งนี้ เป็นตัวอย่างที่ดีของ “การโจมตีแบบแฝงตัว” ที่อาศัยความไว้ใจของผู้ดูแลระบบในการติดตั้งเครื่องมือที่ดูเหมือนมีประโยชน์แต่กลับเป็นภัย สำหรับเจ้าของเว็บไซต์หรือผู้ดูแลระบบ WordPress ทุกคน การตรวจสอบปลั๊กอินอย่างละเอียดก่อนติดตั้ง รวมถึงการสำรองข้อมูลและอัปเดตระบบอยู่เสมอ จะเป็นเกราะป้องกันที่ดีที่สุดจากการตกเป็นเหยื่อของมัลแวร์ในลักษณะนี้
สำหรับผู้ที่ใช้บริการ WordPress Hosting กับ hostatom หากกังวลเรื่องความปลอดภัยในเว็บไซต์ WordPress ของคุณ สามารถติดต่อทีมงานของเรา ให้ช่วยคุณอัปเดตปลั๊กอิน ตรวจสอบระบบ หรือป้องกันภัยคุกคามต่าง ๆ ได้อย่างมืออาชีพ เพื่อให้มั่นใจได้ว่าเว็บไซต์ของคุณทำงานได้อย่างปลอดภัยอยู่เสมอ
ที่มา : The Hacker News
