มีการรายงานช่องโหว่การแทรกสิทธิ์ที่สำคัญใน WordPress 4.70 และ 4.71 ช่องโหว่นี้ทำให้แฮ็กเกอร์ที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถแก้ไขเนื้อหาของหน้า/โพสต์ในไซต์ WordPress ได้ พบช่องโหว่ใน REST API ที่เพิ่มโดย WordPress ในหนึ่งในรุ่นล่าสุด ทันทีที่มีการค้นพบช่องโหว่ ทีมรักษาความปลอดภัยของ WordPress ได้ดำเนินการแก้ไขและเผยแพร่ภายใต้การอัปเดต 4.7.2
เว็บไซต์ยังคงมีช่องโหว่
เว็บไซต์หลายพันแห่งยังคงมีความเสี่ยง เนื่องจากวิธีการแพตช์และการหาช่องโหว่นั้นถูกเปิดเผย แฮ็กเกอร์จึงใช้ประโยชน์จากจุดอ่อนและทำให้เว็บไซต์เสียหาย
ปัญหานั้นใหญ่กว่าสำหรับผู้ใช้ที่มีข้อ จำกัด ในการอัพเดท wordpress เนื่องจากการพัฒนาแบบกำหนดเองที่ด้านบน เป็นที่คาดการณ์ว่านี่เป็นเพียงการเริ่มต้นของแคมเปญการทำลายล้างจำนวนมากโดยแฮกเกอร์ นี่คือผลที่ตามมาบางส่วนจากช่องโหว่นี้:
- สแปม SEO: เนื่องจากทุกคนสามารถป้อนรหัสที่กำหนดเองในส่วนโพสต์/หน้า ลิงก์ seo สแปมจำนวนมากจึงถูกแทรกลงในเว็บไซต์
- บัญชีดำของ Google: เป็นที่ทราบกันดีอยู่แล้วว่า Google ได้แสดงข้อความ "ไซต์นี้อาจถูกแฮ็ก" ใต้ URL ของเว็บไซต์ตามคำค้นหา ไม่ได้รับการทำความสะอาด เว็บไซต์ดังกล่าวอาจถูกขึ้นบัญชีดำโดย Google
- การโจมตีแบบกำหนดเป้าหมาย: แฮกเกอร์สามารถโจมตีเป้าหมายได้มากขึ้นเพื่อขโมยข้อมูลเซสชันของผู้ดูแลระบบ/ผู้ใช้เว็บไซต์
ประมาณ 70,000 เว็บไซต์คาดว่าจะถูกแฮ็กเกอร์เอาเปรียบจนถึงขณะนี้ จำนวนนี้เพิ่มขึ้นทุกวันเนื่องจากชุมชนแฮ็กเกอร์ได้รับรู้เกี่ยวกับขนาดของเว็บไซต์ขนาดใหญ่ที่ยังคงมีช่องโหว่มากขึ้นเรื่อยๆ
ทีม Astra Security อยู่เหนือสิ่งนี้ เราจะทำการอัปเดตสิ่งนี้ต่อไปเมื่อมีการค้นพบใหม่เกิดขึ้น ผู้ใช้ Astra Firewall จะปลอดภัยจากช่องโหว่นี้ คุณสามารถเริ่มใช้ Astra สำหรับเว็บไซต์ WordPress ของคุณได้แล้ว:https://www.getastra.com/wordpress-security