Tag Archive for พบช่องโหว่ Wordpress

พบช่องโหว่ WordPress ในการ Hack เปลี่ยนรหัสผ่าน

ถือว่าเป็นข่าวใหญ่มาก ที่มีผู้ค้นพบช่องโหว่ในการ Reset Password ของตัวระบบ WordPress CMS แต่อย่างไรก็ตาม มันไม่ได้มาจาก WordPress โดยตรง แต่เป็นการตั้งค่า Web Server ให้สามารถเข้าใช้งานเว็บไซต์ผ่านหมายเลข IP Address ได้ โดยไม่จำเป็นต้องเข้าผ่าน Domain Name ช่องโหว่นี้จึงมีผลทำให้ Hacker สามารถปลอมแปลง SERVER NAME เพื่อทำการส่งอีเมลล์สำหรับ Reset Password ไปยังอีเมลล์ของ Hacker และกดยืนยันการเปลี่ยนรหัสผ่านได้อย่างง่ายดาย หลังจากที่ทำการเปลี่ยนรหัสผ่านแล้ว ยังสามารถทำการต่อยอดอื่นๆได้ เช่น ฝังไฟล์, ทำ Backdoor และอื่นๆ เป็นต้น

วิธีการแก้ไขช่องโหว่นี้ จะต้องปิดใช้งานการเข้าถึงเว็บไซต์ด้วยหมายเลข IP Address ได้ และบังคับให้เข้าใช้งานผ่าน Domain Name เท่านั้น