เว็บบอร์ด สาระน่ารู้ ชุมชน คนทำเว็บ โปรโมทฟรี แจกสคริปฟรี CMS Web hosting

:: เว็บบอร์ด CoolhostPlus :: => สอบถาม พูดคุย แลก เปลี่ยนความรู้ => ข้อความที่เริ่มโดย: CoolhostPlus ที่ เมษายน 27, 2015, 20:50:11

หัวข้อ: ช่องโหว่ “WordPress” ผ่าน Plugins และ Theme บางตัว
เริ่มหัวข้อโดย: CoolhostPlus ที่ เมษายน 27, 2015, 20:50:11

ช่องโหว่ “WordPress” ผ่าน Plugins และ Theme บางตัว

(https://upic.me/i/nb/wordpress1112.png)


เมื่อทางคอมมูนิตี้ของ WordPresss ได้มีการเปิดเผยข่าวที่น่าตกใจว่า พวกเขาได้พบช่องโหว่ที่ XSS สามารถเจาะเข้ามาได้

XSS คือเทคนิคการฝังโค้ดเข้าไปกับหน้าเวปเพจที่มีช่องโหว่ เมื่อผู้ใช้โหลดหน้าเวปเพจไป ค่าที่สำคัญบางอย่าง เช่น ค่าของ cookie, username, password ,… ก็อาจจะถูกขโมยไปได้ >> ที่มา: oknation (http://www.oknation.net/blog/AAd/2008/01/16/entry-2)

ซึ่งงานนี้เกิดขึ้นโดย Plugins และ Themes ที่ไม่ได้มีการป้องกันในส่วนนี้อย่างเพียงพอ ถึงแม้เราจะซื้อผ่าน ThemeForest หรือ CodeCanyon ก็ตาม (แน่นอนว่าผู้โหลดเถื่อนก็คงไม่ต้องสืบเท่าไหร่…)

ซึ่งวิธีการป้องกันคือการตรวจสอบว่า Theme หรือ Plugins ตัวไหนมีปัญหาผ่าน Website ดังต่อไปนี้

    https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html (https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html)
    http://wptavern.com/xss-vulnerability-affects-more-than-a-dozen-popular-wordpress-plugins (http://wptavern.com/xss-vulnerability-affects-more-than-a-dozen-popular-wordpress-plugins)
    https://poststatus.com/coordinated-plugin-updates-to-address-security-vulnerability-in-many-popular-wordpress-plugins/ (https://poststatus.com/coordinated-plugin-updates-to-address-security-vulnerability-in-many-popular-wordpress-plugins/)

และอาจจะยังมี plugins หรือ Themes นอกเหนือจากนี้มีรอยรั่วเช่นเดียวกันอยู่ ซึ่งเราควรที่จะตรวจสอบอยู่เสมอ ๆ ผ่าน blog wordpress โดยตรงเพื่อรับทราบวิธีแก้ไขต่อไปในอนาคต

ซึ่งหลังจากที่ได้มีข่าวนี้ออกมา ทางเว็บ Themeforest และ CodeCanyon ก็ได้มีการเพิ่มมาตรการตรวจสอบ Themes รวมไปถึง Plugins ที่เขามีอยู่ทั้งหมดเพื่อป้องกันไม่ให้ลูกค้าของเขาโดนโจมตีโดยเหล่าผู้ไม่หวังดี และเพิ่มการ update ขึ้นอย่างสม่ำเสมอ ซึ่ง ณ ตอนนี้เราก็สามารถสบายใจได้ในระดับหนึ่งครับ

ทางเราก็ขอแนะนำให้ทุกท่านที่ใช้ WordPress ทำการ update ทั้ง themes และ plugins ให้เป็นรุ่นใหม่ล่าสุดจะเป็นการดีที่สุดครับ


ที่มาบทความ beartai (http://www.beartai.com/news/itnews/46559)   ที่มา : envato (http://marketblog.envato.com/news/wordpress-item-security-vulnerability/)