ปลั๊กอิน WordPress ยอดนิยมที่มีผู้ใช้งานมากกว่า 500,000 เว็บไซต์กำลังถูกจับตา หลังพบช่องโหว่ในปลั๊กอิน Kirki ที่อาจเปิดทางให้แฮกเกอร์ยึดบัญชีผู้ใช้งานได้ รวมถึงบัญชี Admin ที่มีสิทธิ์ควบคุมเว็บไซต์ทั้งหมด
ช่องโหว่ดังกล่าวมีรหัส CVE-2026-8206 และถูกพบในปลั๊กอิน Kirki – Freeform Page Builder, Website Builder & Customizer โดยขณะนี้มีรายงานว่ากำลังถูกแฮกเกอร์นำไปใช้โจมตีจริงแล้ว ซึ่ง Wordfence บริษัทด้านความปลอดภัยของ WordPress เปิดเผยว่าสามารถตรวจจับและบล็อกความพยายามโจมตีที่อาศัยช่องโหว่นี้ได้มากกว่า 222 ครั้งภายใน 24 ชั่วโมงที่ผ่านมา
การทำงานของช่องโหว่นี้
ต้นตอของปัญหาอยู่ที่ระบบ Forgot Password หรือฟังก์ชันรีเซ็ตรหัสผ่านของปลั๊กอิน Kirki
โดยปกติ เมื่อผู้ใช้ขอรีเซ็ตรหัสผ่าน ระบบจะส่งลิงก์สำหรับตั้งรหัสผ่านใหม่ไปยังอีเมลที่ผูกกับบัญชีนั้น แต่ช่องโหว่นี้กลับเปิดโอกาสให้ผู้โจมตีระบุอีเมลปลายทางได้เอง
นั่นหมายความว่า หากแฮกเกอร์รู้ Username ของผู้ใช้งาน ระบบจะสร้างลิงก์รีเซ็ตรหัสผ่านให้ตามปกติ แต่แทนที่จะส่งไปยังเจ้าของบัญชี กลับถูกส่งไปยังอีเมลของผู้โจมตีแทน และเมื่อได้รับลิงก์ดังกล่าว แฮกเกอร์ก็สามารถตั้งรหัสผ่านใหม่และเข้าควบคุมบัญชีได้ทันที โดยไม่ต้องผ่านการยืนยันจากเจ้าของบัญชี
เมื่อบัญชี Admin ถูกยึด แฮกเกอร์ที่ได้สิทธิ์จะสามารถควบคุมเว็บไซต์ได้เกือบทั้งหมด ไม่ว่าจะเป็นการติดตั้งปลั๊กอินอันตราย แก้ไขเนื้อหาเว็บไซต์ ฝังมัลแวร์ สร้าง Backdoor สำหรับกลับเข้ามาในภายหลัง หรือเข้าถึงข้อมูลสำคัญที่เก็บอยู่ในฐานข้อมูล
สำหรับเว็บไซต์ธุรกิจ ร้านค้าออนไลน์ หรือเว็บไซต์ที่เก็บข้อมูลลูกค้า ความเสียหายอาจไม่ได้จบแค่หน้าเว็บถูกเปลี่ยน แต่ยังอาจนำไปสู่การรั่วไหลของข้อมูลสำคัญและกระทบต่อความน่าเชื่อถือของธุรกิจอีกด้วย
ใครได้รับผลกระทบบ้าง
ช่องโหว่นี้กระทบปลั๊กอิน Kirki เวอร์ชัน 6.0.0 ถึง 6.0.6
Wordfence ระบุว่า เวอร์ชันที่ได้รับผลกระทบยังคงถูกใช้งานอยู่เกือบ 40% ของผู้ใช้ทั้งหมด ทำให้ยังมีเว็บไซต์จำนวนมากที่อาจตกอยู่ในความเสี่ยง
ควรทำอะไรตอนนี้
ผู้พัฒนาได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วใน Kirki เวอร์ชัน 6.0.7 หากเว็บไซต์ของคุณใช้งานปลั๊กอิน Kirki อยู่ ควรดำเนินการดังนี้
- ตรวจสอบเวอร์ชันของปลั๊กอินที่ใช้งานอยู่
- อัปเดตเป็น Kirki เวอร์ชัน 6.0.7 หรือใหม่กว่าโดยเร็วที่สุด
- หากยังไม่สามารถอัปเดตได้ ควรปิดการใช้งานปลั๊กอินชั่วคราว
- ตรวจสอบบัญชีผู้ใช้งานและกิจกรรมที่ผิดปกติภายในเว็บไซต์
เนื่องจากมีรายงานการโจมตีจริงแล้ว การปล่อยให้เว็บไซต์ใช้งานเวอร์ชันที่มีช่องโหว่ต่อไป อาจเพิ่มความเสี่ยงต่อการถูกยึดบัญชีและเข้าควบคุมเว็บไซต์ได้ การอัปเดต WordPress และปลั๊กอินอย่างสม่ำเสมอ ก็เป็นหนึ่งในวิธีสำคัญที่ช่วยลดความเสี่ยงด้านความปลอดภัยของเว็บไซต์
หากกำลังมองหา WordPress Hosting ที่ใช้งานง่าย พร้อมระบบที่ช่วยเสริมความปลอดภัยและความเสถียร
hostatom มีแพ็กเกจที่ออกแบบมาเพื่อรองรับเว็บไซต์ธุรกิจโดยเฉพาะ
ที่มา: BleepingComputer
