WP Time Capsule เป็นปลั๊กอิน WordPress ที่ได้รับความนิยมอย่างมากเมื่อพูดถึงการสำรองข้อมูลและการแสดงละครของ WordPress ได้เปลี่ยนกระบวนการที่ซับซ้อนในการสำรองข้อมูลและแสดงเหตุการณ์ของการคลิก
อย่างไรก็ตาม ด้วยลักษณะความปลอดภัยที่เปราะบางในปลั๊กอิน WordPress การเปิดเผยช่องโหว่จึงไม่ใช่เรื่องที่ไม่คาดคิด แน่นอนว่าปลั๊กอิน WP Time Capsule ก็ไม่มีข้อยกเว้น อันที่จริง เมื่อวันที่ 8 มกราคม ช่องโหว่ Authentication Bypass ที่ร้ายแรงถูกค้นพบในปลั๊กอินยอดนิยมนี้
การเปิดเผยนี้ทำให้ผู้ใช้ปลั๊กอินที่ใช้งานมากกว่า 20,000 รายตกอยู่ในความเสี่ยง แม้ว่าทีมพัฒนาปลั๊กอินจะแก้ไขช่องโหว่และเผยแพร่เวอร์ชันแพตช์ 1.21.16 ในวันเดียวกันนั้น แต่ใครก็ตามในเวอร์ชันที่ล้าสมัยจะต้องเผชิญกับภัยคุกคาม
หากคุณใช้เวอร์ชันใดก่อน 1.21.16 ให้อัปเดตอย่างรวดเร็ว
จนถึงขณะนี้ ยังไม่มีข่าวการเอารัดเอาเปรียบ แต่ถ้าคุณยังคงใช้เวอร์ชันที่มีช่องโหว่อยู่ มีหลายสิ่งหลายอย่างที่อาจผิดพลาดได้
ด้วยโพสต์ในบล็อกนี้ เราจะนำคุณผ่านพื้นฐานของ Authentication Bypass ใน WordPress และตอบคำถามต่างๆ เช่น Authentication Bypass คืออะไรและส่งผลต่อเว็บไซต์ของคุณอย่างไร นอกจากนี้เรายังจะแจ้งให้คุณทราบเกี่ยวกับการแก้ไขความปลอดภัยที่คุณสามารถนำไปใช้เพื่อตรวจสอบภัยคุกคามได้
เริ่มกันเลย
การบายพาสการตรวจสอบสิทธิ์ใน WordPress คืออะไร
การกรอกข้อมูลในหน้าเข้าสู่ระบบอาจเป็นขั้นตอนแรกในการเข้าถึงข้อมูลภายในในไซต์หรือซอฟต์แวร์อื่นๆ สำหรับเรื่องนั้น เมื่อมีคนเข้าถึงไซต์ของคุณ แผงการดูแลระบบ บัญชีผู้ใช้ ฯลฯ โดยไม่มีการตรวจสอบสิทธิ์ที่ถูกต้อง จะเรียกว่า "การเลี่ยงผ่านการตรวจสอบสิทธิ์"
OWASP กำหนด Authentication Bypass ดังนี้
ส่งผลต่อเว็บไซต์ของคุณอย่างไร
แน่นอนว่าใครก็ตามที่เข้าถึงเนื้อหาภายในเว็บไซต์ของคุณอย่างผิดกฎหมายนั้นไม่ดี อย่างไรก็ตาม ผลที่ตามมาของ Authentication Bypass อาจส่งผลเสียอย่างมาก ฉันกำลังแสดงรายการผลลัพธ์ที่ทราบบางส่วนในส่วนต่อไปนี้:
- ผู้โจมตีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบสามารถจัดการการตั้งค่าเว็บไซต์ของคุณได้
- ผู้โจมตีสามารถใช้ประโยชน์จากเนื้อหาของเว็บไซต์หรือใช้ข้อมูลที่เป็นความลับในทางที่ผิด
- แฮกเกอร์สามารถอัปโหลดเว็บเชลล์บนเว็บไซต์ของคุณได้
ยังมีผลลัพธ์ทางเทคนิคอื่นๆ ที่ยังคงอยู่นอกเหนือขอบเขตของโพสต์ในบล็อกนี้
ควรทำอย่างไร
อัปเดต
ดังที่เราได้กล่าวไปแล้ว ทีมพัฒนา WP Time Capsule ได้แก้ไขช่องโหว่ในเวอร์ชันอัปเดต 1.21.16
การอัปเดตเป็นเวอร์ชันนี้เป็นขั้นตอนที่รอบคอบและสมเหตุสมผลที่สุดที่คุณสามารถทำได้
นอกจากการอัปเดตแล้ว การใช้มาตรการป้องกันต่อไปนี้จะช่วยคุณในการปกป้องไซต์ WordPress ของคุณต่อไปเท่านั้น:
- อย่าเปิดเผยสคีมาการตรวจสอบสิทธิ์ของคุณในสคริปต์เว็บเบราว์เซอร์ฝั่งไคลเอ็นต์
- ตรวจสอบการป้อนข้อมูลของผู้ใช้ทั้งหมดบนฝั่งเซิร์ฟเวอร์
- ตั้งค่ากลไกการถ่ายโอนข้อมูลที่เข้ารหัสระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ของคุณ
- ติดตั้งปลั๊กอินเพื่ออำนวยความสะดวกในการตรวจสอบสิทธิ์ซ้ำเป็นระยะ &หมดเวลาเซสชัน
- ส่งคุกกี้และข้อมูลเซสชันทั้งหมดผ่านช่องทางที่เข้ารหัส
ในที่สุด…
รู้ว่าการใช้ปลั๊กอินที่มีช่องโหว่ในเว็บไซต์ของคุณเป็นสาเหตุที่พบบ่อยที่สุดในการถูกแฮ็ก เราแจ้งผู้ใช้ WP Time Capsule ทั้งหมดให้ย้ายไปยังเวอร์ชันที่ปลอดภัยโดยเร็วที่สุด
นอกจากนี้ การรักษาความปลอดภัยเว็บไซต์ของคุณด้วยโซลูชันการรักษาความปลอดภัยเฉพาะนั้นเป็นสิ่งที่แนะนำเสมอ
หากคุณมีคำถามใด ๆ ให้แสดงความคิดเห็นด้านล่าง แล้วทีมงานของเราจะติดต่อกลับไป
