อีกหนึ่งช่องโหว่ที่ผู้ใช้ WordPress ไม่ควรมองข้าม เมื่อ Smart Slider 3 ถูกพบปัญหาด้านความปลอดภัยที่อาจเปิดให้ผู้ไม่หวังดีเข้าถึงไฟล์สำคัญของระบบได้โดยไม่ได้รับอนุญาต ซึ่งส่งผลกระทบต่อเว็บไซต์ WordPress กว่า 5 แสนเว็บ
Smart Slider 3 คือปลั๊กอินอะไร?
Smart Slider 3 เป็นปลั๊กอินสำหรับสร้างสไลด์โชว์และหน้าเว็บไซต์แบบ Visual Builder บน WordPress ที่มีผู้ใช้งานมากกว่า 500,000 เว็บไซต์ทั่วโลก เนื่องจากใช้งานง่ายและมีฟีเจอร์หลากหลาย
รายละเอียดช่องโหว่
ช่องโหว่นี้เป็นประเภท Arbitrary File Read (การอ่านไฟล์โดยไม่ได้รับอนุญาต) ที่ผู้โจมตีสามารถอ่านไฟล์ในเซิร์ฟเวอร์ได้จากระยะไกล (Remote) โดยไม่จำเป็นต้องล็อกอินก่อนโจมตี เช่น
- ไฟล์ wp-config.php (มีข้อมูล database)
- ไฟล์ config อื่น ๆ
หากผู้โจมตีได้ข้อมูลเหล่านี้ไป อาจนำไปสู่การยึดเว็บไซต์ (Full site compromise) ได้
ผลกระทบที่ต้องระวัง
ถ้าเว็บไซต์ยังไม่ได้อัปเดต อาจเสี่ยงต่อการโดน
- ขโมยข้อมูลฐานข้อมูล
- เข้าควบคุมเว็บไซต์
- ฝังมัลแวร์ / backdoor
- ใช้เป็นจุดโจมตีไปยังระบบอื่น
วิธีป้องกันและแก้ไข
- อัปเดตปลั๊กอิน Smart Slider 3 เป็นเวอร์ชันล่าสุด
- ตรวจสอบว่าไม่มีไฟล์แปลกปลอมในระบบ
- เปลี่ยนรหัสผ่าน (WordPress / Database / Hosting)
- สำรองข้อมูลเว็บไซต์ (Backup)
ช่องโหว่ในปลั๊กอิน Smart Slider 3 ได้สะท้อนให้เห็นว่า แม้แต่ปลั๊กอินยอดนิยมก็อาจกลายเป็นจุดเสี่ยงด้านความปลอดภัยได้ หากไม่ได้รับการอัปเดตอย่างต่อเนื่อง ผู้ดูแลเว็บไซต์จึงควรตรวจสอบและดูแลระบบอย่างสม่ำเสมอ เพื่อป้องกันการเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาต
ที่มา: BleepingComputer
