ปลั๊กอินแคชยอดฮิต W3 Total Cache (W3TC) ซึ่งติดตั้งอยู่บนเว็บ WordPress จำนวนมาก ถูกพบช่องโหว่รุนแรงที่เปิดทางให้ผู้โจมตี “สั่งรันคำสั่ง PHP บนเซิร์ฟเวอร์ได้” โดยไม่ต้องล็อกอิน ถ้าใครใช้ปลั๊กอินนี้อยู่ แนะนำให้อัปเดตด่วนเป็น เวอร์ชัน 2.8.3 ซึ่งผู้พัฒนาออกแพตช์ไว้แล้วตั้งแต่ 20 ต.ค. แต่ยังมีเว็บจำนวนมากที่ไม่ได้อัปเดตและเสี่ยงอยู่ในตอนนี้
จากรายงานระบุว่า ช่องโหว่นี้ถูกติดตามในรหัส CVE-2025-9508 และเกี่ยวข้องกับฟังก์ชันที่ใช้ประมวลผล dynamic mfunc ในแคช จึงสามารถถูกฉวยโอกาส ฉีดคำสั่ง ให้รันบนเซิร์ฟเวอร์ได้ หากผู้โจมตีส่งเพย์โหลดที่ออกแบบมาอย่างจงใจ ผลลัพธ์คืออาจยึดเว็บได้ทั้งเว็บ ลบ/แก้ไขไฟล์ หรือดึงข้อมูลลับออกไปได้ทันที นอกจากนี้นักวิจัยยังเผยว่าได้มี โค้ดตัวอย่างการโจมตี (PoC) เผยแพร่แล้ว ทำให้ความเสี่ยงยิ่งสูงขึ้นหากยังไม่อัปเดต
ต้องทำอะไร “ตอนนี้”
- อัปเดต W3 Total Cache → v2.8.3 ทันที แล้ว ล้างแคช ทุกประเภท (page/object/db)
- ถ้ายังอัปเดตไม่ได้ ให้ ปิดปลั๊กอินชั่วคราว และเฝ้าระวัง log/ไฟล์เปลี่ยนแปลงผิดปกติ
- ตรวจผู้ใช้แอดมิน, เปลี่ยนรหัสผ่าน/คีย์สำคัญ และสแกนมัลแวร์หลังบ้าน
- ตั้งสิทธิ์ไฟล์/โฟลเดอร์ให้รัดกุม และสำรองข้อมูลก่อนปรับแต่งทุกครั้ง
นี่เป็นช่องโหว่ความเสี่ยงสูงที่โจมตีได้แม้ไม่ล็อกอิน รีบอัปเดต W3 Total Cache → v2.8.3 และตรวจความผิดปกติของระบบทันที ใครดูแลหลายเว็บควรวางมาตรการอัปเดต – สำรอง – สแกนเป็นกิจวัตร ลดโอกาสถูกยึดเว็บแบบไม่รู้ตัว
ให้ hostatom คอยดูแลความปลอดภัยให้กับ เว็บไซต์ WordPress Hosting – อัปเดตปลั๊กอิน/ธีม, สำรองข้อมูล, สแกน – ล้างมัลแวร์, ฮาร์ดเดนความปลอดภัย
สนใจดูรายละเอียดได้ที่
👉 https://www.hostatom.com/wordpress-hosting/
ที่มา: Bleeping Computer
