Cybercrime

เว็บไซต์ WordPress นับล้านถูกโจมตี

5 ช่องโหว่ในปลั๊กอิน (Plugin) ที่ทำให้เว็บไซต์ WordPress นับล้านโดนโจมตี

Defiant ผู้ผลิตปลั๊กอิน (Plugin) Wordfence สำหรับแพลตฟอร์มเว็บไซต์บอกว่า แฮกเกอร์นิรนามโจมตีเว็บไซต์มากกว่า 900,000 เว็บไซต์ ด้วย Payload อันตราย

ทาง Defiant สงสัยว่าการโจมตีเกิดขึ้นจากแฮกเกอร์กลุ่มหรือรายเดียว ในช่วงแรกการโจมตีเกิดขึ้นในวงแคบๆ แต่จู่ๆก็โจมตีในวงใหญ่ขึ้นมา 20 ล้านครั้ง กับเว็บไซต์เกือบล้านเว็บไซต์

3 ใน 5 ของเว็บไซต์มีเป้าหมายเป็นช่องโหว่ XSS (Cross-Site Scripting) หนึ่งในนั้นส่งผลกระทบต่อปลั๊กอิน Easy2Map ที่อยู่ในเว็บไซต์ไม่น้อยกว่า 3,000 เว็บไซต์ อีกอันเป็นช่องโหว่ใน Blog Designer และอีกอันอยู่ในธีม Newspaper

อีกสองช่องโหว่ ส่งผลกระทบปลั๊กอิน WP GDPR Compliance และ Donations ตามลำดับ ซึ่ง Envato Marketplace นำปลั๊กอิน Donations ออกตั้งแต่ปี 2019

เราไม่สามารถทราบได้ว่าช่องโหว่จะถูกแฮกเกอร์โจมตีอีกครั้งเมื่อไหร่ คำแนะนำที่ดีที่สุดสำหรับผู้ใช้ WordPress ก็คือ อัพเดตซอฟต์แวร์และปลั๊กอินของ WordPress รวมถึงถอนปลั๊กอินที่ไม่ได้ใช้งาน เพื่อลดโอกาสที่จะโดนโจมตี

Author: Amer Owaida
Source:
https://www.welivesecurity.com/2020/05/06/almost-million-wordpress-websites-targeted-campaign/
Translated by: Worapon H.

%d bloggers like this: