Bing

ช่องโหว่ร้ายแรงในปลั๊กอิน The Plus Addons for Elementor เสี่ยงถูกยึดเว็บ

พบช่องโหว่ในปลั๊กอิน The Plus Addons for Elementor ปลั๊กอิน Premium ที่มีเว็บไซต์ใช้งานกว่า 3 หมื่นเว็บ โดยช่องโหว่นี้จะทำให้แฮกเกอร์สามารถสร้างบัญชี admin ขึ้นมาใหม่ได้หากเว็บไซต์นั้นเปิดใช้งานการลงทะเบียนและการเข้าสู่ระบบ เพื่อเข้าไปติดตั้งปลั๊กอินที่เป็นอันตรายหรือทำการยึดเว็บ ช่องโหว่นี้จะมีผลกับปลั๊กอิน The…

WordPress เตรียมยกเลิกการ support บน Internet Explorer 11 แล้ว

WordPress ได้ออกมาประกาศว่าจะยกเลิกการ support การใช้งาน WordPress บนเบราว์เซอร์ Internet Explorer 11 (IE11) ภายในวันที่ 18 มีนาคม 2564 เนื่องจากจำนวนยอดการใช้งาน WordPress บนเบราว์เซอร์ดังกล่าวลดลงเหลือต่ำกว่า…

ช่องโหว่ร้ายแรงในปลั๊กอิน WooCommerce Upload Files เสี่ยงถูกยึดเว็บ

พบช่องโหว่ในปลั๊กอิน WooCommerce Upload Files ปลั๊กอิน Premium เสริมของปลั๊กอิน WooCommerce ที่มีเว็บไซต์ใช้งานกว่า 5 พันเว็บ โดยช่องโหว่นี้เกิดจากฟังก์ชัน ajax_manage_file_chunk_upload ที่เมื่อมีการอัปโหลดไฟล์จะทำการตรวจสอบชื่อไฟล์ว่าไฟล์ดังกล่าวอยู่ในลิสต์ไฟล์ที่เป็นอันตรายหรือไม่ ปกติแล้วถ้าใช่ก็จะทำการลบไฟล์ออกไป แต่กลายเป็นว่าไปเปลี่ยนนามสกุลของไฟล์แทน ซึ่งแฮกเกอร์จะใช้ช่องโหว่นี้อัปโหลดไฟล์ที่เป็นอันตรายลงไป…

วิธีปิด Script Concatenation

Script Concatenation เป็นฟังก์ชันการรวมไฟล์ JavaScript หลายไฟล์ไว้เป็นไฟล์เดียวกันใน WordPress ทำให้เว็บเบราว์เซอร์ สามารถแสดงผลหน้าเว็บได้เร็ว และมีประสิทธิภาพมากขึ้น (พูดง่ายๆ คือเว็บจะโหลดเร็วขึ้นนั่นเอง) แต่การเปิดใช้ฟังก์ชันนี้อาจไปทับกับปลั๊กอินเพิ่มประสิทธิภาพตัวอื่นอย่าง WP Rocket หรือ Autoptimize เนื่องจากมีฟังก์ชั่นบางตัวที่ทำงานเหมือนกันจนอาจทำให้เกิด…

ช่องโหว่ในปลั๊กอิน Ninja Forms เสี่ยงเว็บถูกยึด

พบช่องโหว่ในปลั๊กอิน Ninja Forms ที่มีเว็บไซต์ WordPress ใช้งานกว่า 1 ล้านเว็บ โดยมีช่องโหว่อยู่ 4 ช่องโหว่ที่อาจทำให้แฮกเกอร์เข้ามายึดเว็บของเราได้ ช่องโหว่แรก จะเป็นการใช้ปลั๊กอิน SendWP ร่วมกับปลั๊กอิน Ninja Forms…

Elementor เตรียมปรับราคาสำหรับลูกค้าใหม่

Elementor ได้ออกมาประกาศว่าจะมีการปรับราคาของแต่ละ Plan สำหรับลูกค้าใหม่ในวันที่ 9 มีนาคม 2564 จะเห็นว่า Plan สำหรับ 1,000 เว็บใน Expert Plan 199$/ปี ณ ตอนนี้…

ช่องโหว่ร้ายแรงในปลั๊กอิน NextGEN Gallery เสี่ยงเว็บถูกยึด

พบช่องโหว่ในปลั๊กอิน NextGEN Gallery ที่มีเว็บไซต์ WordPress ใช้งานกว่า 8 แสนเว็บ โดยมีช่องโหว่อยู่ 2 ช่องโหว่ ในช่องโหว่แรกจะอยู่ในฟังก์ชัน is_authorized_request ที่ทำให้แฮกเกอร์เพิ่มลิงก์ที่เป็นอันตรายลงไปในเว็บของเรา ส่วนอีกช่องโหว่จะอยู่ในฟังก์ชัน validate_ajax_request ที่แฮกเกอร์จะส่งคำขอการอัปโหลดรูปที่ดูเหมือนไฟล์รูปธรรมดาทั่วไป…

พบช่องโหว่ในปลั๊กอิน Popup Builder

พบช่องโหว่ในปลั๊กอิน Popup Builder ที่มีเว็บไซต์ใช้งานกว่า 2 แสนเว็บ โดยช่องโหว่นี้เกิดจากไฟล์ importConfigView.php ที่ไม่ได้มีการตรวจสอบสิทธิ์ของผู้ใช้ ทำให้แฮกเกอร์สามารถเข้าถึงไฟล์ดังกล่าวเพื่อจัดการกับรายชื่อสมาชิก เพิ่มไฟล์ที่เป็นอันตรายจาก URL ลงไป รวมไปถึงการเปลี่ยนเนื้อหาของจดหมายได้อีกด้วย ช่องโหว่นี้จะมีผลกับปลั๊กอิน Popup Builder…