เตือนผู้ใช้ WordPress อัพเกรดด่วน
Posted September 7th, 2009 by konlungkaoขณะนี้มีรายงานว่า เว็บไซต์ที่ใช้ Wordpress เวอร์ชันต่ำกว่า 2.8.4 กำลังถูกโจมตีอย่างหนัก โดยอาศัยช่องโหว่ที่ทำให้สามารถสร้างบัญชีผู้ใช้ระดับ Administrator ขึ้นมาได้ และการโจมตีนี้มีผลลงไปถึงระดับฐานข้อมูลเลยทีเดียว
วิธีดูว่าเว็บที่ใช้ WordPress ถูกแฮ็กโดยวิธีการนี้หรือเปล่า มีอยู่สองวิธีคือ
- มีข้อความแปลกๆ โผล่ขึ้นมาหลัง permalink (clean URL ของ WordPress) ตัวอย่างเช่น example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5B HTTP_REFERER%5D))%7D%7D|.+)&%/ โดยคำสำคัญคือ "eval" และ "
base64_decode" - มีผู้ใช้ระดับ Administrator เพิ่มขึ้นมาอีก 1 คน ถ้าดูในรายการผู้ใช้แล้วเห็น "Administrator (2)" หรือชื่ออื่นที่ไม่รู้จัก ก็ให้สงสัยไว้ก่อนว่าอาจโดนแฮ็ก
แนะนำให้ผู้ใช้ WordPress ทุกคน อัพเกรดเป็นเวอร์ชันล่าสุด สำหรับคนที่โดนแฮ็กไปเรียบร้อยแล้ว คำแนะนำเบื้องต้นคือให้ export ฐานข้อมูลทั้งหมดออกมา โดยใช้ความสามารถในการ export เป็นไฟล์ XML ของ WordPress แล้วทำการติดตั้ง WordPress ใหม่ แล้วจึง import ฐานข้อมูลกลับเข้าไปครับ
ทั้งนี้ผู้ที่ใช้บริการบล็อกของ WordPress.com จะไม่ได้รับผลกระทบแต่อย่างใด
ที่มา - Mashable via @smashingmag
Filed under:Uncategorized
2 Responses to “เตือนผู้ใช้ WordPress อัพเกรดด่วน”
December 18th, 2009 at 4:10 pm
ของผมยังไม่ได้ update เลยครับ สงสัยต้องรีบ update ซะแล้ว ขอบคุณสำหรับข้อมูลครับ
January 18th, 2010 at 1:00 pm
ขอบคุณมากน่ะครับ อ่านแล้วได้ความรู้ดี ผมกำลังศึกษาเกี่ยวกับ CMS ครับ
Leave a Reply