ช่องโหว่ “WordPress” ผ่าน Plugins และ Theme บางตัว

[CoolhostPlus]

ช่องโหว่ “WordPress” ผ่าน Plugins และ Theme บางตัว



เมื่อทางคอมมูนิตี้ของ WordPresss ได้มีการเปิดเผยข่าวที่น่าตกใจว่า พวกเขาได้พบช่องโหว่ที่ XSS สามารถเจาะเข้ามาได้

XSS คือเทคนิคการฝังโค้ดเข้าไปกับหน้าเวปเพจที่มีช่องโหว่ เมื่อผู้ใช้โหลดหน้าเวปเพจไป ค่าที่สำคัญบางอย่าง เช่น ค่าของ cookie, username, password ,… ก็อาจจะถูกขโมยไปได้ >> ที่มา: oknation

ซึ่งงานนี้เกิดขึ้นโดย Plugins และ Themes ที่ไม่ได้มีการป้องกันในส่วนนี้อย่างเพียงพอ ถึงแม้เราจะซื้อผ่าน ThemeForest หรือ CodeCanyon ก็ตาม (แน่นอนว่าผู้โหลดเถื่อนก็คงไม่ต้องสืบเท่าไหร่…)

ซึ่งวิธีการป้องกันคือการตรวจสอบว่า Theme หรือ Plugins ตัวไหนมีปัญหาผ่าน Website ดังต่อไปนี้

    https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html
    http://wptavern.com/xss-vulnerability-affects-more-than-a-dozen-popular-wordpress-plugins
    https://poststatus.com/coordinated-plugin-updates-to-address-security-vulnerability-in-many-popular-wordpress-plugins/

และอาจจะยังมี plugins หรือ Themes นอกเหนือจากนี้มีรอยรั่วเช่นเดียวกันอยู่ ซึ่งเราควรที่จะตรวจสอบอยู่เสมอ ๆ ผ่าน blog wordpress โดยตรงเพื่อรับทราบวิธีแก้ไขต่อไปในอนาคต

ซึ่งหลังจากที่ได้มีข่าวนี้ออกมา ทางเว็บ Themeforest และ CodeCanyon ก็ได้มีการเพิ่มมาตรการตรวจสอบ Themes รวมไปถึง Plugins ที่เขามีอยู่ทั้งหมดเพื่อป้องกันไม่ให้ลูกค้าของเขาโดนโจมตีโดยเหล่าผู้ไม่หวังดี และเพิ่มการ update ขึ้นอย่างสม่ำเสมอ ซึ่ง ณ ตอนนี้เราก็สามารถสบายใจได้ในระดับหนึ่งครับ

ทางเราก็ขอแนะนำให้ทุกท่านที่ใช้ WordPress ทำการ update ทั้ง themes และ plugins ให้เป็นรุ่นใหม่ล่าสุดจะเป็นการดีที่สุดครับ


ที่มาบทความ beartai   ที่มา : envato