เมื่อ AI กลายเป็นประตูหลังให้แฮ็กเกอร์ยึดเว็บ WordPress
ในยุคที่ AI กลายเป็นเทคโนโลยีช่วยงานบนเว็บไซต์ WordPress ได้อย่างน่าทึ่ง ปลั๊กอินอย่าง AI Engine ก็ได้รับความนิยมเพิ่มขึ้นเรื่อยๆ ด้วยความสามารถเชื่อมต่อกับโมเดล AI อย่าง ChatGPT หรือ Claude เพื่อจัดการคอนเทนต์ ทำ SEO หรือช่วยผู้ใช้แบบอัตโนมัติ
แต่ใครจะคิดว่า… เครื่องมืออัจฉริยะนี้กำลังกลายเป็นช่องโหว่ร้ายแรงที่เปิดประตูให้ผู้ไม่หวังดีเข้ายึดเว็บของคุณได้!
ช่องโหว่ CVE-2025-5071: ยึดสิทธิ์แอดมินผ่าน Model Context Protocol
รายละเอียดของช่องโหว่มีดังนี้
- หมายเลขช่องโหว่ – CVE-2025-5071
- ระดับความรุนแรง – 8.8 (สูง)
- เวอร์ชันที่ได้รับผลกระทบ – 2.8.0-2.8.3
เมื่อวันที่ 21 พฤษภาคม 2025 ทีม Wordfence Threat Intelligence ตรวจพบช่องโหว่ Privilege Escalation ในปลั๊กอิน AI Engine (เวอร์ชัน 2.8.0 – 2.8.3) ซึ่งมีการติดตั้งมากกว่า 100,000 เว็บไซต์
ช่องโหว่นี้เกิดจากการตรวจสอบสิทธิ์ไม่เพียงพอในฟังก์ชัน can_access_mcp() ซึ่งควบคุมการเข้าถึงระบบ Model Context Protocol (MCP) — ระบบที่ใช้ให้ AI จัดการคำสั่งภายใน WordPress เช่น การสร้างผู้ใช้ การอัปเดตโพสต์ หรือการลบคอมเมนต์
หากผู้ใช้มีสิทธิ์แค่ระดับ Subscriber แต่ระบบเปิดใช้ Dev Tools และเปิด MCP เอาไว้ (ซึ่งปิดไว้ตามค่าเริ่มต้น) ผู้ไม่หวังดีสามารถ “เลื่อนขั้นตัวเองเป็นแอดมิน” ได้ด้วยคำสั่ง wp_update_user ผ่าน API
จากจุดนั้น พวกเขาสามารถติดตั้งปลั๊กอินแฝงมัลแวร์ ลบข้อมูลเว็บไซต์ หรือดัดแปลงคอนเทนต์ตามต้องการได้ทันที
อัปเดตด่วน! เวอร์ชัน 2.8.4 แก้ไขแล้ว
นักพัฒนาปลั๊กอิน Jordy Meow ได้รับรายงานและออกแพตช์อัปเดตเวอร์ชัน 2.8.4 เมื่อวันที่ 18 มิถุนายน 2025 เพื่อปิดช่องโหว่โดยจำกัดให้ MCP เข้าถึงได้เฉพาะแอดมินเท่านั้น
ผู้ใช้ Wordfence Premium ได้รับกฎไฟร์วอลล์อัตโนมัติตั้งแต่ 22 พฤษภาคม 2025 ส่วนผู้ใช้ Wordfence ฟรีจะได้รับการป้องกันในวันที่ 21 มิถุนายน 2025
AI Engine เป็นปลั๊กอินที่ทรงพลัง แต่เมื่อมีฟีเจอร์ขั้นสูง ก็ต้องระวังเป็นพิเศษ หากคุณเปิดใช้งาน MCP โดยไม่ตั้งค่าการตรวจสอบสิทธิ์ให้รัดกุม อาจทำให้เว็บไซต์ตกอยู่ในมือของผู้โจมตีได้ง่ายกว่าที่คิด
หากคุณใช้ปลั๊กอิน AI Engine:
- ตรวจสอบให้แน่ใจว่าใช้งานเวอร์ชันล่าสุด 2.8.4
- หากไม่จำเป็น ไม่ควรเปิด Dev Tools และ MCP
หากคุณต้องการระบบตรวจจับภัยคุกคามพร้อมผู้เชี่ยวชาญดูแล:
ใช้บริการ WordPress ของ hostatom ที่ครอบคลุมทั้ง WAF (Web Application Firewall), Monitoring และการตั้งค่าความปลอดภัยระดับองค์กร
ดูรายละเอียดได้ที่ 👉https://www.hostatom.com/wordpress-hosting/
ที่มา: Wordfence
