วันแล้ววันเล่า ช่องโหว่หรือการโจมตีบน WordPress CMS ปรากฏขึ้น เห็นได้ชัดว่านี่ไม่ใช่จุดจบของมัน การเพิ่มช่องโหว่ก่อนหน้านี้ ช่องโหว่สคริปต์ข้ามไซต์ที่ค่อนข้างรุนแรงอีกช่องโหว่หนึ่งถูกเปิดเผยบนปลั๊กอิน WordPress wp-live-chat-support ปลั๊กอินสนับสนุน XSS ใน wp แชทสดนี้อยู่ในเวอร์ชันก่อนหน้า 8.0.27
ปลั๊กอินสนับสนุนแชทสด WP มีการติดตั้งมากกว่า 60,000 รายการตามไดเรกทอรีปลั๊กอินของ WordPress อย่างเป็นทางการ และได้รับการอัปเดตเมื่อ 15 ชั่วโมงที่แล้วเท่านั้น
สถานะของความเสี่ยง
ความรุนแรงของช่องโหว่สามารถประมาณได้จากข้อเท็จจริงที่ว่าผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์ (โดยไม่ต้องมีบัญชี) สามารถใช้ประโยชน์จากช่องโหว่นี้จากระยะไกลได้โดยการใส่สคริปต์ที่เป็นอันตรายลงในเว็บไซต์ที่มีช่องโหว่
ช่องโหว่นี้เกิดขึ้นจาก admin_init . ที่ไม่มีการป้องกัน ขอเกี่ยว
ซึ่งสามารถโทรได้โดยเข้าไปที่ /wp-admin/admin-post.php หรือ /wp-admin/admin-ajax.php โดยผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์เพื่ออัปเดตตัวเลือก “wplc_custom_js ”.
นอกจากนี้เนื้อหาของ wplc_custom_js ถูกโหลดในหน้าใดก็ตามที่แชทสดปรากฏขึ้น ซึ่งหมายความว่าจาวาสคริปต์ที่เป็นอันตรายจะถูกโหลดในหน้าเดียวกัน และโดยปกติการโหลดจาวาสคริปต์ที่เป็นอันตรายจะช่วยให้ผู้โจมตีใช้ XSS ได้อย่างง่ายดาย
ลดความเสี่ยง
อัปเดตเป็นเวอร์ชันล่าสุด
ทางออกที่ดีที่สุดสำหรับสิ่งนี้คืออัปเดตการรองรับ wp-live chat เป็นเวอร์ชันล่าสุด เช่น เวอร์ชัน 8.0.27 ขึ้นไป หลังจากมีการรายงานช่องโหว่แล้ว นักพัฒนาซอฟต์แวร์ใช้เวลาเกือบครึ่งเดือนในการแก้ไขเวอร์ชันที่มีช่องโหว่ ตั้งแต่นั้นมา ปลั๊กอินสนับสนุนการแชทสดของ WP ก็ได้รับการแก้ไขสองครั้ง เวอร์ชันปัจจุบันที่สามารถดาวน์โหลดได้คือ 8.0.29
ชุดความปลอดภัยของ WordPress
การมีเจ้าหน้าที่รักษาความปลอดภัยในเว็บไซต์ของคุณช่วยได้เสมอ ชุดความปลอดภัย Astra WordPress ได้รับการปรับแต่งสำหรับ WordPress และให้การป้องกันที่สมบูรณ์ด้วยไฟร์วอลล์ที่ต่อเนื่องและครอบคลุม นอกจากนี้ Malware Scanner แบบออนดีมานด์ของ Astra ยังสแกนและตั้งค่าสถานะไฟล์ที่เป็นอันตรายด้วยการคลิกเพียงครั้งเดียว นอกจากนี้ ยังใช้เวลาน้อยกว่า 10 นาทีสำหรับการสแกนครั้งแรก และน้อยกว่าสำหรับการสแกนครั้งต่อๆ ไป
รับการสาธิต Astra ตอนนี้!
