แจ้งเตือน พบการโจมตีเว็บไซต์ที่ใช้ WordPress เพื่อขโมยไฟล์คอนฟิก โปรดตรวจสอบและอัปเดตระบบ

เมื่อวันที่ 3 มิถุนายน 2563 ทีม Wordfence ผู้พัฒนาบริการด้านความมั่นคงปลอดภัยให้กับ WordPress ได้รายงานแคมเปญการโจมตีเพื่อขโมยไฟล์คอนฟิก จุดประสงค์เพื่อขโมยบัญชีและรหัสผ่านสำหรับเข้าถึงระบบฐานข้อมูลของเว็บไซต์

การโจมตีนี้เริ่มพบตั้งแต่ช่วงปลายเดือนเมษายน 2563 โดยเกิดขึ้นต่อเนื่องเป็นระยะ ๆ และพบการโจมตีเพิ่มขึ้นอย่างมากในช่วงระหว่างวันที่ 29 ถึง 31 พฤษภาคม 2563 โดยทาง Wordfence พบการโจมตีกว่า 130 ล้านครั้ง

ช่องทางการโจมตี ผู้ประสงค์ร้ายได้อาศัยช่องโหว่ใน plugin หรือ theme ที่ถูกติดตั้งอยู่ในเว็บไซต์ โดยส่วนใหญ่เป็นโจมตีช่องโหว่ประเภท Cross-site Scripting (XSS) เพื่อฝังสคริปต์สำหรับขโมย session cookie เมื่อผู้ดูแลระบบล็อกอินเข้าใช้งานเว็บไซต์ ซึ่งหลังจากที่ผู้ประสงค์ร้ายได้ข้อมูลดังกล่าวก็สามารถสวมรอยเป็นผู้ดูแลระบบและดาวน์โหลดไฟล์คอนฟิก (wp-config.php) ซึ่งเป็นไฟล์ที่มีข้อมูลชื่อบัญชีและรหัสผ่านสำหรับเข้าถึงฐานข้อมูลของเว็บไซต์ จุดประสงค์เพื่อเข้าถึงฐานข้อมูลหรือใช้เพื่อโจมตีในขั้นอื่นต่อไป

ทาง Wordfence พบว่ากว่า 75 เปอร์เซ็นของการโจมตีนั้นมุ่งเป้ามาที่ช่องโหว่ของ plugin และ theme ดังต่อไปนี้

• Easy2Map plugin
• Blog Designer plugin
• WP GDPR Compliance plugin
• Total Donations plugin
• Newspaper theme

จากรายงานของทาง Wordfence พบว่ามีเว็บไซต์ที่ใช้งาน plugin และ theme เหล่านี้กว่า 1.3 ล้านเว็บไซต์ ทั้งนี้ บาง plugin และ theme ตามรายการดังกล่าวนั้นได้ถูกถอดออกจากหน้าดาวน์โหลดหรือผู้พัฒนาได้ออกอัปเดตเวอร์ชันใหม่เพื่อแก้ไขช่องโหว่แล้ว เพื่อป้องกันและลดความเสี่ยง ผู้ดูแลระบบควรอัปเดตระบบ WordPress รวมถึง plugin และ theme ให้เป็นเวอร์ชันล่าสุดอยู่เสมอหากทำได้ หรืออาจพิจารณาหยุดใช้งาน plugin และ theme ที่ได้รับผลกระทบเป็นการชั่วคราวจนกว่าช่องโหว่จะได้รับการแก้ไข

ทั้งนี้ ผู้ดูแลเว็บไซต์อาจตรวจสอบ web access log ว่ามีการเข้าถึงหรือดาวน์โหลดไฟล์ wp-config.php หรือไม่ (HTTP response code เป็น 200) ซึ่งหากพบพฤติกรรมที่ไม่ได้เกิดจากผู้ดูแลระบบ อาจเป็นไปได้ว่าเว็บไซต์ถูกโจมตี ควรเปลี่ยนรหัสผ่านฐานข้อมูลและรหัสผ่านผู้ดูแลระบบ รวมถึงตรวจสอบและปรับปรุงระบบความมั่นคงปลอดภัยของเว็บไซต์โดยเร็ว

ที่มา: Wordfence, Wordfence, ZDNet