ปลั๊กอิน WordPress ที่ล้าสมัยถูกแฮ็กเกอร์ใช้ประโยชน์จากเว็บไซต์

Apr 20, 2023

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Sucuri บริษัทรักษาความปลอดภัยบนเว็บที่ GoDaddy เป็นเจ้าของได้ค้นพบว่า Eval PHP ซึ่งเป็นปลั๊กอิน WordPress ที่ไม่ได้ใช้งานแต่ถูกกฎหมายกำลังถูกโจมตีเพื่อประนีประนอมเว็บไซต์ เดิมที Eval PHP ได้รับการพัฒนาขึ้นเพื่อให้ผู้ใช้สามารถเพิ่มโค้ด PHP ลงในบทความและข้อมูลบล็อก โดยการอัปเดตล่าสุดเกิดขึ้นเมื่อประมาณทศวรรษที่แล้ว ตั้งแต่นั้นเป็นต้นมา ก็มีการดาวน์โหลดเพียงเล็กน้อยเป็นระยะเวลานานก่อนที่จะมีการดาวน์โหลดเพิ่มขึ้นอย่างกะทันหันในเดือนที่ผ่านมา โดยมียอดดาวน์โหลดมากกว่า 100,000 ครั้ง โดยมียอดดาวน์โหลดสูงสุดถึง 7,000 ครั้งต่อวัน

ประกาศ Sucuri อธิบายรายละเอียดเกี่ยวกับกลยุทธ์ที่แฮ็กเกอร์ใช้ Eval PHP รหัสสร้างสคริปต์ PHP ใน docroot ของเว็บไซต์ที่มีประตูหลังการดำเนินการโค้ดระยะไกลที่ระบุโดยใช้ฟังก์ชัน file_put_contents เนื่องจากแบ็คดอร์ใช้ประโยชน์จาก $_REQUEST[id] เพื่อรับโค้ด PHP ที่เรียกใช้งานได้ จึงสามารถรับเนื้อหาของ $_GET, $_POST และ $_COOKIE ซ่อนพารามิเตอร์ได้อย่างมีประสิทธิภาพโดยแสดงเป็นคุกกี้ Sucuri ย้ำว่าแม้จะตรวจจับได้น้อยกว่า POST แต่ GET ก็อันตรายไม่แพ้กัน

นอกจากนี้ Sucuri ยังระบุด้วยว่าแฮ็กเกอร์สร้างแบ็คดอร์ในโพสต์แบบร่างต่างๆ ทำให้ไม่เปิดเผยต่อสาธารณะและยากต่อการเปิดเผยเมื่อเทียบกับเพจที่เผยแพร่ WordPress ยังไม่ได้ให้ความเห็นเกี่ยวกับนโยบายของพวกเขาเกี่ยวกับปลั๊กอินที่ถูกละทิ้งตามข้อซักถามของ TechRadar Pro ก่อนหน้านั้น Sucuri แนะนำให้ผู้ใช้ WordPress เสริมแผง wp-admin และตรวจสอบกิจกรรมอย่างขยันขันแข็ง องค์กรเสนอแผนสี่ขั้นตอนเพื่อปรับปรุงความปลอดภัย:

ตรวจสอบให้แน่ใจว่าเว็บไซต์ของคุณยังคงอัปเดตและแพตช์ตามการรักษาความปลอดภัยล่าสุด
ใช้การรับรองความถูกต้องด้วยสองปัจจัย (2FA) หรือมาตรการจำกัดการเข้าถึงที่คล้ายกันสำหรับแผงการดูแลระบบของคุณ
ดูแลการสำรองข้อมูลเว็บไซต์อย่างสม่ำเสมอเพื่อป้องกันเหตุการณ์ที่ไม่คาดฝัน
ใช้ไฟร์วอลล์เว็บแอปพลิเคชันเพื่อป้องกันบอทที่เป็นอันตรายและแก้ไขช่องโหว่ที่รู้จัก

ด้วยการนำแพลตฟอร์ม no-code และ low-code มาใช้เพิ่มมากขึ้น นักพัฒนาและผู้นำทางธุรกิจจึงสามารถสร้างเว็บและแอปพลิเคชันบนมือถือได้อย่างง่ายดาย โดยไม่ต้องผ่านความยุ่งยากของปลั๊กอินที่ล้าสมัย โซลูชันหนึ่งดังกล่าวคือแพลตฟอร์ม AppMaster ซึ่งเป็นเครื่องมือที่ no-code เข้าถึงได้และปรับขนาดได้สำหรับการสร้างแบ็กเอนด์ เว็บ และแอปพลิเคชันมือถือ AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.

สำหรับข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับการพัฒนาแอปแบบ no-code และ low-code โปรดดูคู่มือฉบับสมบูรณ์ของเรา: คู่มือฉบับเต็มเกี่ยวกับการพัฒนาแอปแบบ No-Code และโค้ดต่ำสำหรับปี 2022

กระทู้ที่เกี่ยวข้อง

เริ่มต้นฟรี

แรงบันดาลใจที่จะลองสิ่งนี้ด้วยตัวเอง?

วิธีที่ดีที่สุดที่จะเข้าใจถึงพลังของ AppMaster คือการได้เห็นมันด้วยตัวคุณเอง สร้างแอปพลิเคชันของคุณเองในไม่กี่นาทีด้วยการสมัครสมาชิกฟรี

นำความคิดของคุณมาสู่ชีวิต