เมื่อไม่กี่ชั่วโมงก่อนหน้านี้ เว็บไซต์ exploitbox.io ได้ออกมาเปิดเผยถึงช่องโหว่ของ WordPress ซึ่งถูกค้นพบโดย Dawid Golunski ซึ่งช่องโหว่นี้ เป็นภัยร้ายแรง ที่เปิดโอกาสให้แฮกเกอร์สามารถเปลี่ยนรหัสผ่านของ user ใด ๆ ก็ได้ (รวมถึง admin) ในระบบ แต่ทั้งนี้เงื่อนไขการที่แฮกเกอร์จะสามารถโจมตีได้นั้น ขึ้นอยู่กับการ setup web server ของผู้ฝช้ WordPress อีกทีครับ

ซึ่งในส่วนของรายละเอียด ขออนุญาติยกเอา คำอธิบายของเพจ สอนแฮกเว็บแบบแมวๆ มาให้ได้อ่านกันอีกที

โดยแนวทางการป้องกันก็คือ ต้องปิดการใช้งานการกู้รหัสผ่าน ซึ่งทำได้ 2 วิธีคือ

  1. ใช้ Plug-in ที่มีชื่อว่า Disable Password Reset ปิดกั้นการใช้งาน การกู้คืนรหัสผ่าน ดาวน์โหลดได้ตามลิ้งนี้ https://wordpress.org/plugins/disable-password-reset/

  2. แก้โค้ดที่ไฟล์ functions.php โดยมีขั้นตอนง่ายๆดังนี้
    2.1 Log-in เข้าระบบหลังบ้าน ผ่าน cPanel หรือ DirectAdmin ของท่านที่ใช้งานอยู่
    2.2 ไปที่ wp-content > themes > theme ที่คุณใช้งานอยู่ > functions.php
    2.3 นำไฟล์ functions.php ม่แก้ไข ด้วยการเพิ่มโค้ด ด้านล่างนี้ ในส่วนท้ายสุดของไฟล์

function disable_password_reset() { return false; }
add_filter ( 'allow_password_reset', 'disable_password_reset' );

2.4 อัพโหลดไฟล์ functions.php กลับไปไว้ที่เดิม
2.5 ทดลองการใช้งานการกู้คืนรหัสผ่าน ซึ่งคุณควรจะเจอข้อความตามภาพด้านล่างนี้

แต่ทั้งหมดนี้คือการ ป้องกันชั่วคราว เท่านั้น ซึ่งอย่างไรก็ตามแต่ เมื่อทาง WordPress ออก เวอร์ชั่นที่มีการแก้ไขช่องโหว่นี้แล้ว ผู้ใช้งาน WordPress ควรจะทำการอัพเดตทันที เพื่อทำให้เว็บไซต์ของคุณ ไม่ตกอยู่ในความเสี่ยง

ขอขอบคุณ สอนแฮกเว็บแบบแมวๆ ที่แจ้งข่าวสาร และขอขอบคุณโค้ดจาก mythemeshop

SHARE
Previous articleFences (2016)
Next articleรีวิว Manchester by the Sea (2016)
ชอบกิน ชอบเที่ยว ชอบฟังเพลง ชอบดูซีรีย์อเมริกา ชอบ Walking Dead, Game Of Thrones, Arrow และ The Flash ชอบดูบอลทีมชาติไทย ในลีกไทย เชียร์เมืองทองยูไนเต็ด บางทีชอบเขียนบล็อก บางทีชอบถ่ายรูป บางทีชอบแต่งรูปถึงมันจะดูแปลกๆไปก็เถอะ ชอบความเป็นไทย และชอบเทคโนโลยีใหม่

Leave a Reply