เว็บไซต์ WordPress ที่ใช้งานปลั๊กอิน Burst Statistics กำลังตกเป็นเป้าหมายของการโจมตี หลังพบช่องโหว่ร้ายแรงที่เปิดทางให้แฮกเกอร์สามารถข้ามระบบล็อกอิน (Authentication Bypass) และเข้ายึดสิทธิ์ผู้ดูแลระบบ (Admin) ได้ทันที
ปลั๊กอิน Burst Statistics คืออะไร?
Burst Statistics เป็นปลั๊กอินวิเคราะห์สถิติสำหรับ WordPress ที่เน้นความเป็นส่วนตัว (Privacy-focused Analytics) และถูกใช้งานบนเว็บไซต์มากกว่า 200,000 เว็บไซต์ โดยหลายคนเลือกใช้แทน Google Analytics เพราะมีขนาดเบาและไม่พึ่งพาบริการภายนอกมากนัก
รายละเอียดช่องโหว่
ช่องโหว่นี้ได้ถูกระบุในรหัส CVE-2026-8181 จากรายงานระบุว่า ช่องโหว่นี้ถูกเพิ่มเข้ามาในปลั๊กอินตั้งแต่เวอร์ชัน 3.4.0 ที่ปล่อยเมื่อวันที่ 23 เมษายน 2026 และยังคงอยู่ในเวอร์ชัน 3.4.1 ด้วย โดยปัญหาเกิดจากการตรวจสอบสิทธิ์ใน REST API ที่ไม่รัดกุม ทำให้ผู้โจมตีที่ไม่ได้ล็อกอินสามารถ
- ปลอมเป็นผู้ดูแลระบบ (Administrator)
- เข้าถึงระบบหลังบ้าน WordPress
- สร้างบัญชีแอดมินปลอม
- เข้ายึดเว็บไซต์อย่างสมบูรณ์
โดยที่ไม่จำเป็นต้องรู้รหัสผ่านของผู้ดูแลเลย
ผลกระทบที่อาจเกิดขึ้น
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
วิธีป้องกันและแก้ไข
สำหรับผู้ดูแลเว็บไซต์ WordPress ที่ใช้งานปลั๊กอิน Burst Statistics ควรดำเนินการต่อไปนี้ทันที
- อัปเดตปลั๊กอินทันที ตรวจสอบและอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุด (เวอร์ชัน 3.4.2)
- ตรวจสอบบัญชีผู้ดูแลระบบ เช็กว่ามีบัญชี Admin แปลกปลอมหรือไม่
- ตรวจสอบ Log การเข้าใช้งาน มองหาพฤติกรรมผิดปกติ เช่น การ Login จาก IP ที่ไม่รู้จัก หรือการสร้างบัญชีใหม่โดยไม่ได้รับอนุญาต
- ใช้งาน Web Application Firewall (WAF) เช่น Wordfence หรือ Cloudflare เพื่อช่วยบล็อกการโจมตี
- อัปเดต WordPress และปลั๊กอินอื่น ๆ เสมอ เพื่อลดความเสี่ยงจากช่องโหว่อื่นที่อาจถูกโจมตีร่วมกัน
เหตุการณ์นี้ได้สะท้อนให้เห็นอีกครั้งว่า ปลั๊กอิน WordPress ยังคงเป็นเป้าหมายหลักของผู้โจมตี โดยเฉพาะกับปลั๊กอินที่มีผู้ใช้งานจำนวนมาก เพื่อป้องกันการถูกยึดสิทธิ์และลดความเสียหายที่อาจเกิดขึ้นในอนาคต ควรหมั่นอัปเดตและตรวจสอบระบบอยู่เสมอ
ที่มา: BleepingComputer
