เมื่อไม่กี่ชั่วโมงก่อนหน้านี้ เว็บไซต์ exploitbox.io ได้ออกมาเปิดเผยถึงช่องโหว่ของ WordPress ซึ่งถูกค้นพบโดย Dawid Golunski ซึ่งช่องโหว่นี้ เป็นภัยร้ายแรง ที่เปิดโอกาสให้แฮกเกอร์สามารถเปลี่ยนรหัสผ่านของ user ใด ๆ ก็ได้ (รวมถึง admin) ในระบบ แต่ทั้งนี้เงื่อนไขการที่แฮกเกอร์จะสามารถโจมตีได้นั้น ขึ้นอยู่กับการ setup web server ของผู้ฝช้ WordPress อีกทีครับ

ซึ่งในส่วนของรายละเอียด ขออนุญาติยกเอา คำอธิบายของเพจ สอนแฮกเว็บแบบแมวๆ มาให้ได้อ่านกันอีกที

โดยแนวทางการป้องกันก็คือ ต้องปิดการใช้งานการกู้รหัสผ่าน ซึ่งทำได้ 2 วิธีคือ

  1. ใช้ Plug-in ที่มีชื่อว่า Disable Password Reset ปิดกั้นการใช้งาน การกู้คืนรหัสผ่าน ดาวน์โหลดได้ตามลิ้งนี้?https://wordpress.org/plugins/disable-password-reset/

  2. แก้โค้ดที่ไฟล์ functions.php โดยมีขั้นตอนง่ายๆดังนี้
    2.1 Log-in เข้าระบบหลังบ้าน ผ่าน cPanel หรือ DirectAdmin ของท่านที่ใช้งานอยู่
    2.2 ไปที่ wp-content > themes > theme ที่คุณใช้งานอยู่ > functions.php
    2.3 นำไฟล์ functions.php ม่แก้ไข ด้วยการเพิ่มโค้ด ด้านล่างนี้ ในส่วนท้ายสุดของไฟล์

function disable_password_reset() { return false; }
add_filter ( 'allow_password_reset', 'disable_password_reset' );

2.4 อัพโหลดไฟล์ functions.php กลับไปไว้ที่เดิม
2.5 ทดลองการใช้งานการกู้คืนรหัสผ่าน ซึ่งคุณควรจะเจอข้อความตามภาพด้านล่างนี้

แต่ทั้งหมดนี้คือการ ป้องกันชั่วคราว เท่านั้น ซึ่งอย่างไรก็ตามแต่ เมื่อทาง WordPress ออก เวอร์ชั่นที่มีการแก้ไขช่องโหว่นี้แล้ว ผู้ใช้งาน WordPress ควรจะทำการอัพเดตทันที เพื่อทำให้เว็บไซต์ของคุณ?ไม่ตกอยู่ในความเสี่ยง

ขอขอบคุณ?สอนแฮกเว็บแบบแมวๆ?ที่แจ้งข่าวสาร และขอขอบคุณโค้ดจาก?mythemeshop