เว็บไซต์ WordPress จำนวนมากกำลังเผชิญความเสี่ยง หลังนักวิจัยด้านความปลอดภัยตรวจพบช่องโหว่ร้ายแรงในปลั๊กอิน User Registration & Membership ซึ่งถูกแฮกเกอร์นำไปใช้โจมตีจริงแล้ว เพื่อสร้างบัญชีผู้ดูแลระบบ (Admin) และเข้าควบคุมเว็บไซต์ได้ทั้งหมด
ปลั๊กอินดังกล่าวถูกติดตั้งบนเว็บไซต์ WordPress มากกว่า 60,000 เว็บไซต์ทั่วโลก ทำให้ช่องโหว่นี้มีความเสี่ยงสูง หากผู้ดูแลเว็บไซต์ยังไม่ได้อัปเดตเวอร์ชันล่าสุด
รายละเอียดช่องโหว่
ช่องโหว่นี้ถูกติดตามด้วยรหัส CVE-2026-1492 และส่งผลกระทบต่อปลั๊กอิน User Registration & Membership ทุกเวอร์ชันจนถึง 5.1.2 โดยการโจมตีช่องโหว่นี้ทำให้แฮกเกอร์สามารถ
- สร้างบัญชีผู้ดูแลระบบใหม่บนเว็บไซต์
- เข้าควบคุมระบบหลังบ้านของ WordPress
- ติดตั้งมัลแวร์หรือปลั๊กอินอันตราย
- ขโมยข้อมูลผู้ใช้หรือข้อมูลเว็บไซต์
- ใช้เว็บไซต์เป็นฐานสำหรับโจมตีระบบอื่น
ซึ่งถือว่าเป็นความเสี่ยงระดับสูง เพราะเมื่อผู้โจมตีได้สิทธิ์ Administrator แล้ว ก็จะสามารถควบคุมเว็บไซต์ได้แทบทั้งหมด
แพตช์แก้ไขความปลอดภัย
ทีมพัฒนาปลั๊กอินได้ออกแพตช์แก้ไขช่องโหว่นี้แล้ว โดยเริ่มจาก
- เวอร์ชัน 5.1.3 แพตช์ช่องโหว่
- เวอร์ชันล่าสุด 5.1.4 ปรับปรุงเพิ่มเติมและปล่อยเมื่อสัปดาห์ที่ผ่านมา
ผู้ดูแลเว็บไซต์ควรอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดทันที เพื่อป้องกันการถูกโจมตี แต่ถ้าหากยังไม่สามารถอัปเดตได้ แนะนำให้ปิดการใช้งานปลั๊กอินไปชั่วคราว หรือไม่ก็ถอนการติดตั้งปลั๊กอินออกไปก่อนจนกว่าจะสามารถอัปเดตได้
จนถึงตอนนี้ WordPress ก็ยังคงตกเป็นเป้าหมายหลักในการโจมตีของแฮกเกอร์อยู่เสมอ เนื่องจาก เป็นระบบจัดการเว็บไซต์ที่ได้รับความนิยมมากที่สุดในโลก ไม่ว่าจะปลั๊กอินหรือธีมจำนวนมากต่างก็ถูกเพ่งเล็งช่องโหว่เพื่อเจาะเว็บไซต์มาใช้
- กระจายมัลแวร์
- ทำเว็บไซต์ phishing
- ใช้เป็นเซิร์ฟเวอร์ควบคุม (Command-and-Control)
- ใช้เป็น proxy สำหรับโจมตีระบบอื่น
- เก็บข้อมูลที่ขโมยมา
ดังนั้นการ อัปเดต WordPress, ธีม และปลั๊กอินอย่างสม่ำเสมอ จึงเป็นหนึ่งในวิธีป้องกันความเสี่ยงที่สำคัญที่สุด
ที่มา: BleepingComputer
