fbpx

ช่องโหว่หลักของ WordPress เข้าถึงไซต์นับล้าน

WordPress ประกาศจุดอ่อนระดับภัยคุกคามสูงที่ได้รับการแนะนำโดยทีมพัฒนาหลักเอง

WordPress ประกาศว่าได้แก้ไขช่องโหว่สี่จุดที่มีคะแนนสูงถึง 8 ในระดับ 1 ถึง 10 ช่องโหว่นั้นอยู่ในแกนหลักของ WordPress และเกิดจากข้อบกพร่องที่ทีมพัฒนา WordPress นำเสนอ

สี่ช่องโหว่ของ WordPress

การประกาศของ WordPress มีรายละเอียดสั้น ๆ ว่าช่องโหว่มีความรุนแรงเพียงใดและมีรายละเอียดเพียงเล็กน้อย

อย่างไรก็ตาม ฐานข้อมูลช่องโหว่แห่งชาติของรัฐบาลสหรัฐอเมริกา ซึ่งมีการบันทึกและเผยแพร่ช่องโหว่ดังกล่าว โดยให้คะแนนช่องโหว่ดังกล่าวสูงถึง 8.0 ในระดับ 1 ถึง 10 โดย 10 รายการแสดงถึงระดับอันตรายสูงสุด

ช่องโหว่สี่ประการคือ :

  1. SQL Injection เนื่องจากขาดการล้างข้อมูลใน WP_Meta_Query (ระดับความรุนแรงสูง 7.4)
  2. Authenticated Object Injection ใน Multisites (ระดับความรุนแรงระดับปานกลาง 6.6)
  3. Stored Cross Site Scripting (XSS) ผ่านผู้ใช้ที่ตรวจสอบแล้ว (ระดับความรุนแรงสูง 8.0)
  4. SQL Injection ผ่าน WP_Query เนื่องจากการกำจัดสคริปท์ที่ไม่เหมาะสม (ระดับความรุนแรงสูง 8.0)

นักวิจัยด้านความปลอดภัยภายนอก WordPress ค้นพบช่องโหว่สามในสี่ช่องโหว่ WordPress ไม่มีความคิดจนกระทั่งพวกเขาได้รับแจ้ง

ช่องโหว่ดังกล่าวถูกเปิดเผยโดยส่วนตัวใน WordPress ซึ่งทำให้ WordPress สามารถแก้ไขปัญหาได้ก่อนที่จะเป็นที่รู้จักในวงกว้าง

การพัฒนา WordPress พุ่งไปในทางที่เป็นอันตราย?

WordPress พัฒนาชะลอตัวลงใน 2021 เพราะพวกเขาไม่สามารถที่จะเสร็จสิ้นการทำงานในรุ่นล่าสุด 5.9 ซึ่งเห็นว่ารุ่นของWordPress ผลักกลับไปในภายหลัง 2022

มีการพูดคุยกันใน WordPress เกี่ยวกับการชะลอความเร็วของการพัฒนาเนื่องจากความกังวลต่อความสามารถในการติดตาม

นักพัฒนาหลักของ WordPress เองได้ส่งสัญญาณเตือนในช่วงปลายปี 2021 เกี่ยวกับความเร็วของการพัฒนา โดยร้องขอให้มีเวลามากขึ้น

หนึ่งในนักพัฒนาเตือน :

“โดยรวมแล้ว ดูเหมือนว่าตอนนี้เรากำลังเร่งรีบในทางที่อันตราย”

เมื่อพิจารณาว่า WordPress ไม่สามารถรักษากำหนดการเผยแพร่ของตนเองได้และกำลังหารือเกี่ยวกับการปรับปฏิทินการเปิดตัวในปี 2022 จากสี่รุ่นเป็นสามรุ่น เราต้องตั้งคำถามเกี่ยวกับความเร็วของการพัฒนา WordPress และควรพยายามมากขึ้นหรือไม่เพื่อให้มั่นใจว่าช่องโหว่ต่างๆ จะไม่ถูกเปิดเผยโดยไม่ได้ตั้งใจ ประชาชน.

ปัญหาการล้างข้อมูลใน WordPress

การล้างข้อมูลเป็นวิธีควบคุมประเภทของข้อมูลที่ได้รับผ่านอินพุตและลงในฐานข้อมูล ฐานข้อมูลคือสิ่งที่เก็บข้อมูลเกี่ยวกับเว็บไซต์ รวมถึงรหัสผ่าน ชื่อผู้ใช้ ข้อมูลผู้ใช้ เนื้อหา และข้อมูลอื่นๆ ที่จำเป็นสำหรับเว็บไซต์ในการทำงาน

เอกสาร WordPressอธิบายการล้างข้อมูล:

“เป็นกระบวนการในการทำความสะอาดหรือกรองข้อมูลที่คุณป้อน ไม่ว่าข้อมูลจะมาจากผู้ใช้หรือ API หรือบริการเว็บ คุณใช้การฆ่าเชื้อเมื่อคุณไม่รู้ว่าจะเกิดอะไรขึ้นหรือคุณไม่ต้องการเข้มงวดกับการตรวจสอบข้อมูล”

เอกสารระบุว่า WordPress ให้ในตัวฟังก์ชั่นผู้ช่วยในการป้องกันปัจจัยการผลิตที่เป็นอันตรายและว่าการใช้ฟังก์ชั่นผู้ช่วยเหล่านี้ต้องใช้ความพยายามน้อยที่สุด

WordPress คาดการณ์ช่องโหว่การป้อนข้อมูลสิบหกประเภทและนำเสนอวิธีแก้ไขเพื่อบล็อกช่องโหว่เหล่านี้

ดังนั้นจึงเป็นเรื่องน่าแปลกใจที่ปัญหาการป้อนข้อมูลสะอาดควรยังคงปรากฏอยู่ในแกนหลักของ WordPress เอง

มีช่องโหว่ระดับสูงสองประการที่เกี่ยวข้องกับการกำจัดสคริปท์ที่ไม่เหมาะสม:

  • WordPress: SQL Injection เนื่องจากการฆ่าเชื้อที่ไม่เหมาะสมใน WP_Meta_Query 
    เนื่องจากขาดการกำจัดสคริปท์ที่เหมาะสมใน WP_Meta_Query จึงมีโอกาสในการ SQL Injection ที่ตาบอด
  • WordPress: SQL Injection ผ่าน WP_Query 
    เนื่องจากการกำจัดสคริปท์ที่ไม่เหมาะสมใน WP_Query อาจมีกรณีที่ SQL Injection สามารถทำได้ผ่านปลั๊กอินหรือธีมที่ใช้ในลักษณะบางอย่าง

ช่องโหว่อื่นๆ ได้แก่:

  • WordPress: Authenticated Object Injection in Multisites 
    บนหลายเว็บไซต์ ผู้ใช้ที่มีบทบาทผู้ดูแลระบบระดับสูงสามารถเลี่ยงการเสริมความแข็งแกร่งอย่างชัดแจ้ง/เพิ่มเติมได้ภายใต้เงื่อนไขบางประการผ่านการ Injectionวั ตถุ
  • WordPress : XSS ที่จัดเก็บผ่านผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ ผู้ใช้ที่
    มีสิทธิ์ได้รับสิทธิ์ต่ำ (เช่นผู้เขียน) ในแกนหลักของ WordPress สามารถเรียกใช้ JavaScript/ดำเนินการโจมตี XSS ที่จัดเก็บไว้ ซึ่งอาจส่งผลต่อผู้ใช้ที่มีสิทธิพิเศษสูง

WordPress แนะนำให้อัปเดตทันที

เนื่องจากช่องโหว่ต่างๆ ถูกเปิดเผย จึงเป็นเรื่องสำคัญที่ผู้ใช้ WordPress ต้องแน่ใจว่าการติดตั้ง WordPress ของตนได้รับการอัปเดตเป็นเวอร์ชันล่าสุด ซึ่งปัจจุบันคือ 5.8.3

แหล่งอ้างอิง

Read the Official WordPress Notice

WordPress 5.8.3 Security Release

National Vulnerability Database Reports

Authenticated Object Injection in Multisites

Stored XSS through authenticated users

Improper sanitization in WP_Query

SQL injection due to improper sanitization in WP_Meta_Query

https://www.searchenginejournal.com/wordpress-core-vulnerabilities/432042/

** ขอสงวนสิทธิ์ในการตอบคำถามทางแชทไว้เฉพาะลูกค้าที่สนสนใจใช้บริการออกแบบ-พัฒนาเว็บไซต์ และบริการอื่นๆ จากเว็บไซต์ zixzax studio เท่านั้น

google-workspace อีเมลบริษัท ราคาถูก
ads aoostudio พื้นลงโฆษณา
Zixzax Studio on Google News

Zixzax On Google News

คุณสามารถติดตามข่าวสาร และบทความจาก ZIXZAX STUDIO ได้แล้วที่ Google News

ads aoostudio พื้นลงโฆษณา


บทความที่เกี่ยวข้อง ในหมวดหมู่ 



Category กับ Tag ต่างกันอย่างไร ?

Category กับ Tag ต่างกันอย่างไร ?

category กับ tag ต่างกันอย่างไร และแนวทางปฏิบัติที่ดีที่สุดสำหรับการทำ SEO บนเว็บไซต์ของคุณ ซึ่งในวันนี้ทาง

อ่านเพิ่มเติม
วิธีลบธีม เวิร์ดเพรสส์ (Delete Theme WordPress)

วิธีลบธีม เวิร์ดเพรสส์ (Delete Theme WordPress)

วิธีลบธีม เวิร์ดเพรสส์ (Delete Theme Wordpress) ซึ่งคุณอาจจะติดตั้งธีมหลายธีมบนเว็บไซต์ Wordpress ของคุณ จนอาจทำให้เว็บไซต์ทำงานช้า และต้องการลบธีม

อ่านเพิ่มเติม
วิธีตั้งค่าหน้าแรก WordPress (ตั้งหน้า Home เว็บไซต์ WordPress)

วิธีตั้งค่าหน้าแรก WordPress (ตั้งหน้า Home เว็บไซต์ WordPress)

วิธีตั้งค่าหน้าแรก บน WordPress (ตั้ง Home เว็บไซต์ Wordpress) ซึ่งเป็นวิธีที่ทำให้หน้าเว็บไซต์นั้นๆเป็นหน้าแรก...

อ่านเพิ่มเติม

บทความล่าสุด …

DuckDuckGo เปิดตัวเบราว์เซอร์เดสก์ท็อป

DuckDuckGo เปิดตัวเบราว์เซอร์เดสก์ท็อป

DuckDuckGo เปิดตัวเบราว์เซอร์เดสก์ท็อป นั่นเป็นอีกทางเลือกหนึ่งของ Chrome ที่ไม่รองรับ FLoC Duckduckgo ซึ่งเป็นเสิร์ชเอ็นจิ้นที่เน้นความเป็นส่วนตัว กำลังทำงาน

PHP คืออะไร ?

PHP คืออะไร ?

PHP คือตัวย่อจากคำว่า Hypertext Preprocessor เป็นภาษาสคริปต์ที่ทำงานฝั่งเซิร์ฟเวอร์ที่ใช้สำหรับการทำเว็บไซต์ สามารถฝังไฟล์ HTML ได้อย่างง่ายดาย

Cluster Computing คืออะไร ?

Cluster Computing คืออะไร ?

Cluster Computing คือ ชุดของคอมพิวเตอร์ที่เชื่อมต่อตั้งแต่ 3 Node ขึ้นไป ซึ่งทำงานร่วมกันเพื่อให้ทำหน้าที่เป็นเอนทิตีเดียว คอมพิวเตอร์ที่เชื่อมต่อ

ควรสร้างกี่เนื้อหา ถึงจะดีสำหรับการจัดอันดับ SEO ?

ควรสร้างกี่เนื้อหา ถึงจะดีสำหรับการจัดอันดับ SEO ?

ควรสร้าง Content เท่าไร ถึงจะได้ใจ Google สำหรับการจัดอันดับ SEO เนื้อหาเว็บไซต์ของคุณเป็นรากฐานสำหรับทุกกลยุทธ์ SEO ที่คุณใช้บนเว็บไซต์ของคุณ

PhpMyAdmin คืออะไร ?

PhpMyAdmin คืออะไร ?

PhpMyAdmin คือ ตัวจัดการฐานข้อมูล (DBMS) ที่น่าเชื่อถือและเป็นมิตรกับผู้ใช้มากที่สุด และส่วนใหญ่ใช้สำหรับแอปพลิเคชันหรือโปรแกรมบนเว็บไซต์ ใน

CKEditor คืออะไร ?

CKEditor คืออะไร ?

CKEditor (เดิมชื่อ FCKeditor) คือ โปรแกรมแก้ไขข้อความ โปรแกรมแก้ไข Rich Text WYSIWYG ซึ่งช่วยให้เขียนเนื้อหาภายในหน้าเว็บหรือแอปพลิเคชัน

วิธีทำให้เว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้น

วิธีทำให้เว็บไซต์ WordPress ของคุณปลอดภัยยิ่งขึ้น

เพิ่มความปลอดภัยให้เว็บไซต์ WordPress บทความนี้กล่าวถึงเคล็ดลับและเทคนิคง่ายๆ ที่มือใหม่สามารถทำได้ เพื่อความปลอดภัยของบล็อกและข้อมูลที่จัดเก็บไว้ใน

เว็บไซต์ คืออะไร ?

เว็บไซต์ คืออะไร ?

เว็บไซต์ คืออะไร เว็บไซต์ คือ ชุดของไฟล์เอกสาร HTML ที่สามารถเรียกเป็นหน้าเว็บไซต์แต่ละหน้าได้โดยใช้ URL เดียว บนเว็บกับไคลเอ็นต์ เช่น เบราว์เซอร์ 

Broken Link (ลิงก์เสีย) คืออะไร ?

Broken Link (ลิงก์เสีย) คืออะไร ?

Broken Link (ลิงก์เสีย) คืออะไร Broken Link (ลิงก์เสีย) คือไฮเปอร์ลิงก์ของเว็บไซต์ที่เชื่อมโยงกับหน้าเว็บภายนอกที่ว่างเปล่าหรือไม่มีอยู่จริง เมื่อคลิกลิงก์ที่เสีย ระบบจะแสดง

กดติดตามเพื่อไม่ให้พลาดข่าวสารและโปรโมชั่น