*หัดอ่านบ้าง สมาชิกที่มาโปรโมทเว็บ หรือ บริการ กรุณาตั้งกระทู้ให้ถูกหมวดด้วย ไม่ต้องเนียน เว็บบอร์ดมีคนดูแล ห้าม เว็บการพนัน ลบอย่างเดียว



ผู้เขียน หัวข้อ: ช่องโหว่ “WordPress” ผ่าน Plugins และ Theme บางตัว  (อ่าน 4563 ครั้ง)

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

เมษายน 27, 2015, 20:50:11
อ่าน 4563 ครั้ง

CoolhostPlus

  • *****
  • Information ออฟไลน์
  • เริ่มโตขึ้น
  • เจ้าของเว็บ
  • กระทู้: 106
  • คะแนน : 10001
    • ดูรายละเอียด
    • www.coolhostplus.net
ช่องโหว่ “WordPress” ผ่าน Plugins และ Theme บางตัว



เมื่อทางคอมมูนิตี้ของ WordPresss ได้มีการเปิดเผยข่าวที่น่าตกใจว่า พวกเขาได้พบช่องโหว่ที่ XSS สามารถเจาะเข้ามาได้

XSS คือเทคนิคการฝังโค้ดเข้าไปกับหน้าเวปเพจที่มีช่องโหว่ เมื่อผู้ใช้โหลดหน้าเวปเพจไป ค่าที่สำคัญบางอย่าง เช่น ค่าของ cookie, username, password ,… ก็อาจจะถูกขโมยไปได้ >> ที่มา: oknation

ซึ่งงานนี้เกิดขึ้นโดย Plugins และ Themes ที่ไม่ได้มีการป้องกันในส่วนนี้อย่างเพียงพอ ถึงแม้เราจะซื้อผ่าน ThemeForest หรือ CodeCanyon ก็ตาม (แน่นอนว่าผู้โหลดเถื่อนก็คงไม่ต้องสืบเท่าไหร่…)

ซึ่งวิธีการป้องกันคือการตรวจสอบว่า Theme หรือ Plugins ตัวไหนมีปัญหาผ่าน Website ดังต่อไปนี้

    https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html
    http://wptavern.com/xss-vulnerability-affects-more-than-a-dozen-popular-wordpress-plugins
    https://poststatus.com/coordinated-plugin-updates-to-address-security-vulnerability-in-many-popular-wordpress-plugins/

และอาจจะยังมี plugins หรือ Themes นอกเหนือจากนี้มีรอยรั่วเช่นเดียวกันอยู่ ซึ่งเราควรที่จะตรวจสอบอยู่เสมอ ๆ ผ่าน blog wordpress โดยตรงเพื่อรับทราบวิธีแก้ไขต่อไปในอนาคต

ซึ่งหลังจากที่ได้มีข่าวนี้ออกมา ทางเว็บ Themeforest และ CodeCanyon ก็ได้มีการเพิ่มมาตรการตรวจสอบ Themes รวมไปถึง Plugins ที่เขามีอยู่ทั้งหมดเพื่อป้องกันไม่ให้ลูกค้าของเขาโดนโจมตีโดยเหล่าผู้ไม่หวังดี และเพิ่มการ update ขึ้นอย่างสม่ำเสมอ ซึ่ง ณ ตอนนี้เราก็สามารถสบายใจได้ในระดับหนึ่งครับ

ทางเราก็ขอแนะนำให้ทุกท่านที่ใช้ WordPress ทำการ update ทั้ง themes และ plugins ให้เป็นรุ่นใหม่ล่าสุดจะเป็นการดีที่สุดครับ


ที่มาบทความ beartai   ที่มา : envato


« แก้ไขครั้งสุดท้าย: มีนาคม 25, 2019, 01:56:08 โดย CoolhostPlus »