ทีมพัฒนา Gravity Forms ปลั๊กอินฟอร์มยอดนิยมของ WordPress ยืนยันว่าถูกเจาะระบบเว็บไซต์ และตัวติดตั้งแบบ manual ถูกฝังโค้ดอันตราย ทำให้เสี่ยงต่อการโดนแฮกเว็บไซต์ทั้งหมด
ปลั๊กอินเวอร์ชัน 2.9.11.1 และ 2.9.12 ที่ดาวน์โหลดผ่านเว็บไซต์ Gravity Forms ระหว่างวันที่ 10–11 กรกฎาคม 2025 มีไฟล์ common.php ซึ่งแอบส่งข้อมูลเว็บไซต์ไปยังโดเมนต้องสงสัย gravityapi.org/sites พร้อมดาวน์โหลดมัลแวร์ที่แฝงตัวในไฟล์ wp-includes/bookmark-canonical.php
มัลแวร์นี้อนุญาตให้บุคคลภายนอกรันโค้ดจากระยะไกล โดยไม่ต้องยืนยันตัวตน และสามารถเพิ่มบัญชีผู้ดูแลระบบ (admin) โดยไม่ให้ผู้ดูแลตัวจริงรู้ตัว
ใครได้รับผลกระทบ?
เว็บไซต์ที่ติดตั้ง Gravity Forms แบบ manual หรือผ่าน Composer ในช่วงเวลาดังกล่าวมีความเสี่ยงอย่างยิ่ง แม้จะไม่ได้สังเกตอาการผิดปกติ แต่ระบบอาจถูกยึดไปแล้ว
ทางทีมพัฒนา RocketGenius ชี้แจงว่า:
- บริการ API ที่ใช้ติดตั้งอัตโนมัติและอัปเดตภายในปลั๊กอินไม่ถูกแฮก
- ผู้ใช้งานที่ติดตั้งผ่าน dashboard ใน WordPress ไม่ได้รับผลกระทบ
- เวอร์ชันที่ได้รับผลกระทบคือ 2.9.11.1 และ 2.9.12 ที่ดาวน์โหลดวันที่ 10–11 ก.ค. เท่านั้น
สิ่งที่ควรทำทันที
- หากคุณดาวน์โหลดหรืออัปเดต Gravity Forms ช่วงเวลาดังกล่าว ควรลบปลั๊กอินแล้วติดตั้งใหม่จากแหล่งที่เชื่อถือได้
- ตรวจสอบว่ามีผู้ใช้แปลกปลอมระดับ admin หรือไม่
- สแกนเว็บไซต์เพื่อค้นหาสคริปต์อันตรายเพิ่มเติม
hostatom พร้อมดูแลคุณให้ปลอดภัย
ท่านสามารถใช้บริการความปลอดภัยเว็บไซต์จาก hostatom เพื่อป้องกันและตรวจสอบเว็บไซต์ WordPress ของคุณ เช่น
- บริการดูแลเว็บไซต์ WordPress
- บริการเว็บโฮสติ้งพร้อมความปลอดภัย
- บริการสำรองข้อมูลเว็บไซต์ (Backup)
ที่มา: Bleeping Computer
