ปัญหาช่องโหว่บน WordPress ยังมีมาเรื่อยๆ ล่าสุดมีการพบ 2 ช่องโหว่ในปลั๊กอินกับธีมที่นิยมนำมาใช้งานบน WordPress
ช่องโหว่แรกเป็นช่องโหว่ที่พบในปลั๊กอิน WordPress AdSanity ช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถสั่งรันโค้ดจากระยะไกล (Remote Code Execution-RCE) ทำให้เข้ายึดเว็บไซต์ได้
ระดับความรุนแรงของช่องโหว่นี้คือ 9.9 (สูง) แต่ยังไม่ได้มีการกำหนดหมายเลขช่องโหว่หรือ CVE และล่าสุดในตอนนี้มีการออกแพตช์อัปเดตแล้ว คือเวอร์ชัน 1.8.2 สำหรับผู้ที่ทำการอัปเดตเวอร์ชันแล้วก็ควรเข้าไปตรวจสอบการตั้งค่า การอนุญาตการเข้าใช้งานของผู้ใช้ และการเข้าถึงการตั้งค่าของปลั๊กอินด้วย เพื่อเป็นการป้องกันอีกชั้นหนึ่ง
ช่องโหว่ที่ 2 เป็นช่องโหว่ที่แฮกเกอร์ได้ทำการโจมตีโดยสร้าง Backdoor ไว้ที่เว็บใน 40 ธีมและ 53 ปลั๊กอินที่เป็นของธีม AccessPress ส่งผลให้แฮกเกอร์สามารถสั่งรันโค้ดจากระยะไกลเพื่อเข้ายึดเว็บไซต์ได้
ในตอนนี้ปลั๊กอินนี้มีผู้ติดตั้งไปแล้วกว่า 360,000 เว็บไซต์แล้ว อย่างไรก็ตามช่องโหว่นี้ยังไม่ได้รับการแก้ไข แต่ปลั๊กอินส่วนใหญ่นั้นได้รับการอัปเดตแล้ว แต่ธีมที่ได้รับผลกระทบยังไม่ได้รับการอัปเดตแต่อย่างไร
ในตอนนี้ทาง wordpress[.]org ได้นำธีมที่ยังไม่ได้รับการแก้ไขช่องโหว่ออกไปจากหน้า download แล้ว
สำหรับผู้ใช้งาน WordPress ควรหมั่นทำการอัปเดตปลั๊กอินและธีมที่ใช้งานอยู่เสมอ อีกทั้งคอยตรวจสอบเว็บไซต์ของตนเองว่ามีไฟล์แปลกปลอม หรือมีผู้ใช้งานแปลกๆ เพิ่มเข้ามาหรือไม่ เพื่อเป็นการป้องกันการโจมตีเบื้องต้น
ที่มา: Theat Post