ปลั๊กอินด้านความปลอดภัยที่คุณไว้ใจสำหรับ WordPress อาจกลายเป็นจุดอ่อนให้เว็บไซต์โดนเจาะ! ล่าสุดมีรายงานช่องโหว่ในปลั๊กอินชื่อดังที่อาจทำให้ผู้ใช้ระดับสมาชิกเข้าถึงไฟล์สำคัญได้โดยไม่รู้ตัว!
ปลั๊กอิน Anti-Malware Security and Brute-Force Firewall ที่ถูกติดตั้งในเว็บไซต์ WordPress กว่า 100,000 แห่ง กำลังตกเป็นเป้าหมายของการแจ้งเตือนด้านความปลอดภัย หลังจากพบช่องโหว่ที่เปิดให้ผู้ใช้ระดับ Subscriber สามารถอ่านไฟล์ใด ๆ บนเซิร์ฟเวอร์ได้ รวมถึงไฟล์ wp-config.php ซึ่งเก็บข้อมูลฐานข้อมูลสำคัญอย่างชื่อผู้ใช้และรหัสผ่าน
ช่องโหว่นี้รหัส CVE-2025-11705 ถูกค้นพบในฟังก์ชัน GOTMLS_ajax_scan() ที่ไม่มีการตรวจสอบสิทธิ์ผู้ใช้ก่อนเรียกใช้งาน โดยผู้โจมตีสามารถใช้ nonce ที่ดึงมาจากระบบเพื่อเรียกใช้ AJAX และอ่านไฟล์ในเซิร์ฟเวอร์
หากแฮกเกอร์ได้ไฟล์ wp-config.php ก็อาจนำไปใช้ขโมยรหัสผ่าน เข้าถึงอีเมล หรือดูข้อมูลส่วนตัวของผู้ใช้งานทั้งหมดในเว็บไซต์ได้ทันที
แม้จะต้องล็อกอินก่อนโจมตีได้ แต่นั่นก็ไม่ยากสำหรับเว็บที่เปิดให้ผู้ใช้สมัครสมาชิก เช่น เว็บข่าว เว็บบล็อก หรือเว็บคอมมูนิตี้
โชคดีที่ทางนักพัฒนาปลั๊กอินได้ปล่อยเวอร์ชันอัปเดต 4.23.83 ออกมาแล้วเมื่อวันที่ 15 ตุลาคม 2025 ซึ่งมีการเพิ่มระบบตรวจสอบสิทธิ์ผ่านฟังก์ชัน GOTMLS_kill_invalid_user() เพื่อป้องกันปัญหานี้โดยเฉพาะ
แต่จากสถิติ WordPress พบว่ามีผู้ดูแลเว็บอัปเดตเพียงครึ่งเดียวเท่านั้น! นั่นหมายถึงอีกกว่า 50,000 เว็บไซต์ยังคงเสี่ยงต่อการถูกโจมตีอยู่
ผู้ใช้ปลั๊กอิน Anti-Malware เวอร์ชัน 4.23.81 หรือต่ำกว่า ควรอัปเดตทันที เนื่องจากมีความเสี่ยงต่อการถูกโจมตี โดยเฉพาะเว็บไซต์ที่มีระบบสมาชิก ควรตรวจสอบ log การเข้าถึงที่ /wp-json/gotmls/v1/ เพื่อหากิจกรรมต้องสงสัย
ที่มา: Bleeping Computer
