ปลั๊กอินอื่นได้เข้าสู่รายการปลั๊กอิน WordPress ที่มีช่องโหว่มากขึ้นเรื่อยๆ ปลั๊กอิน WordPress ฟรี FV Flowplayer Video Player ซึ่งใช้สำหรับฝังวิดีโอ FLV หรือ MP4 ลงในโพสต์หรือหน้าต่างๆ พบว่ามีความเสี่ยงต่อ XSS, SQL injection &CSV Export ปัจจุบันติดตั้งบนเว็บไซต์กว่า 40,000+ แห่ง ซึ่งเพิ่งได้รับการอัปเดตเมื่อ 4 วันก่อนหลังจากมีการรายงานช่องโหว่ เวอร์ชันก่อนหน้า 7.3.14.727 มีความเสี่ยงต่อการโจมตีดังกล่าว
ช่องโหว่ SQLi ของโปรแกรมเล่นวิดีโอ FV Flowplayer
ช่องโหว่ SQLi ที่ค่อนข้างสำคัญใน FV Flowplayer ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถแทรกโค้ด JavaScript ที่เป็นอันตรายได้
ฟังก์ชันที่มีช่องโหว่ที่นี่คือ `wp_ajax_nopriv_fv_wp_flowplayer_email_signup ` อาแจ็กซ์ ฮุก 'email ' ในสคริปต์ด้านบนยอมรับอินพุตใด ๆ ในฟิลด์อีเมลและข้อมูลจะถูกส่งไปยังฐานข้อมูลอีเมลที่ละเอียดอ่อน
ในกรณีของช่องโหว่ของ SQLi ใน WordPress สัญญาณต่อไปนี้สามารถช่วยคุณได้หากเว็บไซต์ของคุณถูกบุกรุกหรือไม่ นี่คือรายการ:
- เพิ่มผู้ดูแลระบบใหม่แล้ว
- รหัสผ่านผู้ดูแลระบบใช้งานไม่ได้
- แฮ็กเกอร์ส่งอีเมลพร้อมภาพหน้าจอของฐานข้อมูล
- โทเค็น Authorize.net รั่วไหล
- เว็บไซต์เสียหาย
ช่องโหว่ XSS ของโปรแกรมเล่นวิดีโอ FV Flowplayer
ในทางกลับกัน โค้ดที่เป็นอันตรายข้างต้นจะถูกดำเนินการในเว็บเบราว์เซอร์ของผู้ดูแลระบบ
ตามที่กล่าวไว้ก่อนหน้านี้ ข้อมูลที่เป็นอันตรายจะเข้าสู่หน้าจอการส่งออกอีเมลโดยไม่ถูกฆ่าเชื้อ ผลที่ตามมาอาจเป็นความหายนะเนื่องจากอาจส่งผลให้เกิดการโจมตีแบบสคริปต์ข้ามไซต์อย่างต่อเนื่อง
มันบันทึกทุกอย่างที่ผู้ใช้ระบุในพารามิเตอร์ "อีเมล" POST
ช่องโหว่ XSS นั้นค่อนข้างรุนแรง เนื่องจากอาจนำไปสู่ความเสียหายที่ค่อนข้างร้ายแรงต่อเว็บไซต์ WordPress ของคุณหากถูกโจมตี รายการด้านล่างเป็นเพียงตัวอย่างช่องโหว่ที่อาจจะเกิดขึ้นจากช่องโหว่ XSS หรือคุณอาจปฏิบัติต่อสิ่งนี้เป็นอาการของการถูกประนีประนอม:
- กำลังเปลี่ยนเส้นทางไปยังไซต์อื่น
- ป๊อปอัปที่เป็นอันตราย
- แฮ็คบัตรเครดิต WooCommerce
- โฆษณา Google ที่เป็นอันตรายบนเว็บไซต์
- ชื่อผู้ใช้/รหัสผ่านของเว็บไซต์ถูกบุกรุก
ช่องโหว่การส่งออกไฟล์ CSV ของโปรแกรมเล่นวิดีโอ Flowplayer FV
ช่องโหว่อื่นที่ได้รับการเปิดเผยในโปรแกรมเล่น FV คือ ช่องโหว่การส่งออก CSV . ช่องโหว่นี้ทำให้ผู้ใช้ทั่วไปดาวน์โหลดรายชื่อสมาชิก ซึ่งอันที่จริงแล้วค่อนข้างละเมิดความเป็นส่วนตัว และเป็นอันตรายอย่างยิ่งด้วย ข้อมูลนี้สามารถนำมาใช้ในทางที่ผิดเพื่อใช้ประโยชน์จากเว็บไซต์ WordPress ของคุณได้
โซลูชั่นเพื่อความปลอดภัย
ช่องโหว่ หากไม่ได้รับการรักษา อาจส่งผลให้เกิดการโจมตีทางไซเบอร์ที่โหดร้าย และคุณไม่ต้องการให้เว็บไซต์ของเรา ดังนั้น ทางออกที่ดีที่สุดที่คุณสามารถมีได้ในช่วงเวลาที่คาดเดาไม่ได้เหล่านี้คือการอัปเดตปลั๊กอิน นอกจากนี้
อัปเดตเป็นเวอร์ชันล่าสุด
FV Flowplayer Video Player ได้เผยแพร่เวอร์ชันแพตช์เป็นเวอร์ชันล่าสุด 7.3.15.727 การอัปเดตปลั๊กอินของคุณเป็นเวอร์ชันนี้จะช่วยลดความเสี่ยงได้อย่างมาก
ชุดความปลอดภัย Astra WordPress
ความปลอดภัยของเว็บไซต์ Astra ที่ปรับแต่งมาสำหรับ WordPress นำเสนอ Web Application Firewall ซึ่งปกป้องเว็บไซต์ของคุณจาก XSS, SQLi, CSV, บอทที่ไม่ดี และการหาประโยชน์อื่น ๆ กว่า 100 รายการ นอกจากไฟร์วอลล์แล้ว เครื่องสแกนมัลแวร์ของ Astra ยังสแกนเว็บไซต์ได้ในเวลาไม่ถึง 10 นาที และใช้เวลาน้อยกว่า 3 นาทีสำหรับการสแกนครั้งต่อไป
รับการสาธิต Astra ตอนนี้ หรือแชทกับเราและเรายินดีที่จะช่วยเหลือคุณ
