ช่องโหว่ในปลั๊กอิน Ninja Forms เสี่ยงเว็บถูกยึด

พบช่องโหว่ในปลั๊กอิน Ninja Forms ที่มีเว็บไซต์ WordPress ใช้งานกว่า 1 ล้านเว็บ โดยมีช่องโหว่อยู่ 4 ช่องโหว่ที่อาจทำให้แฮกเกอร์เข้ามายึดเว็บของเราได้ ช่องโหว่แรก จะเป็นการใช้ปลั๊กอิน SendWP ร่วมกับปลั๊กอิน Ninja Forms เพื่อเปลี่ยนเส้นทางอีเมลไปยังบัญชี SendWP ของแฮกเกอร์ โดยแฮกเกอร์สามารถตรวจสอบข้อมูลทั้งหมดที่ส่งมาทางอีเมลได้ รวมไปถึงการเปลี่ยนรหัสผ่านของบัญชี admin การเรียกใช้โค้ดเพื่อยึดเว็บ แก้ไขไฟล์ธีม/ปลั๊กอิน หรืออัปโหลดธีม/ปลั๊กอินที่เป็นอัตรายลงไป มีระดับความรุนแรงอยู่ที่ 9.9 (ร้ายแรง) มีผลกับปลั๊กอิน…

Continue reading

ช่องโหว่ร้ายแรงในปลั๊กอิน NextGEN Gallery เสี่ยงเว็บถูกยึด

พบช่องโหว่ในปลั๊กอิน NextGEN Gallery ที่มีเว็บไซต์ WordPress ใช้งานกว่า 8 แสนเว็บ โดยมีช่องโหว่อยู่ 2 ช่องโหว่ ในช่องโหว่แรกจะอยู่ในฟังก์ชัน is_authorized_request ที่ทำให้แฮกเกอร์เพิ่มลิงก์ที่เป็นอันตรายลงไปในเว็บของเรา ส่วนอีกช่องโหว่จะอยู่ในฟังก์ชัน validate_ajax_request ที่แฮกเกอร์จะส่งคำขอการอัปโหลดรูปที่ดูเหมือนไฟล์รูปธรรมดาทั่วไป แต่แฮกเกอร์อาจจะซ่อน webshell หรือโค้ด PHP ที่เป็นอันตรายมาด้วย โดยทั้ง 2 ช่องโหว่ได้ใช้วิธีโจมตีแบบ RCE (Remote Code Execution) และ…

Continue reading

พบช่องโหว่ในปลั๊กอิน Popup Builder

พบช่องโหว่ในปลั๊กอิน Popup Builder ที่มีเว็บไซต์ใช้งานกว่า 2 แสนเว็บ โดยช่องโหว่นี้เกิดจากไฟล์ importConfigView.php ที่ไม่ได้มีการตรวจสอบสิทธิ์ของผู้ใช้ ทำให้แฮกเกอร์สามารถเข้าถึงไฟล์ดังกล่าวเพื่อจัดการกับรายชื่อสมาชิก เพิ่มไฟล์ที่เป็นอันตรายจาก URL ลงไป รวมไปถึงการเปลี่ยนเนื้อหาของจดหมายได้อีกด้วย ช่องโหว่นี้จะมีผลกับปลั๊กอิน Popup Builder เวอร์ชัน 3.71 หรือต่ำกว่า เพื่อความปลอดภัยแนะนำให้อัปเดตปลั๊กอิน Popup Builder เป็นเวอร์ชัน 3.74 หรือเวอร์ชันล่าสุด ที่มา : ThreatPost

Continue reading

วิธีเลือก Premium Theme ดีๆ จาก MarketPlace

Premium Theme ธีมที่ความสามารถมากมาย มีความสวยงาม โหลดเร็ว ลูกเล่นเยอะ มีฟังก์ชั่นการทำงานเจ๋งๆ เพียบ ซึ่งธีมแบบนี้ต้องเลือกซื้อตามเว็บไซต์ของผู้พัฒนา อย่างของไทยที่ดังๆ ก็มี DDtemplate กับ SeedThemes หรือจะเลือกซื้อจาก MarketPlace ก็ได้อย่าง ThemeForest StudioPress TemplateMonster เป็นต้น โดยในบทความนี้เราจะสอนเลือก Premium Theme กันใน ThemeForest สำหรับสายฟรี ไม่อยากเสียเงิน ก็ตามบทความด้านล่างนี้ได้เลย>> วิธีเลือก…

Continue reading

พบช่องโหว่ในปลั๊กอิน Contact Form 7

พบช่องโหว่ในการอัปโหลดไฟล์ของปลั๊กอิน Contact Form 7 ปลั๊กอิน WordPress ยอดนิยมที่มีเว็บไซต์ใช้งานกว่า 5 ล้านเว็บ ซึ่งช่องโหว่นี้เกิดจากฟังก์ชันอัปโหลดไฟล์ที่ Hacker สามารถแนบไฟล์ที่เป็นอันตรายเข้าไปโดยไม่โดนตรวจสอบได้ ช่องโหว่นี้จะมีผลกับปลั๊กอิน Contact Form 7 เวอร์ชัน 5.3.1 หรือต่ำกว่า และทางผู้พัฒนาปลั๊กอินได้ปล่อยแพทซ์แก้ไขออกมาในเวอร์ชัน 5.3.2แล้ว เพื่อความปลอดภัยแนะนำให้อัปเดตปลั๊กอิน Contact Form 7 เป็นเวอร์ชันล่าสุด ที่มา : Wordfence

Continue reading

พบช่องโหว่ในปลั๊กอิน Easy WP SMTP

พบช่องโหว่ด้านความปลอดภัยในปลั๊กอิน Easy WP SMTP ปลั๊กอิน WordPress ที่ใช้ในการจัดการอีเมลที่มีการติดตั้งกว่า 500,000 ครั้ง โดยช่องโหว่นี้จะอนุญาตให้ผู้ใช้ที่ไม่ได้ตรวจสอบสิทธิ์สามารถเปลี่ยนรหัสผ่านของ admin และเข้ามายึดเว็บไซต์ของเราได้ ช่องโหว่นี้จะมีผลกับปลั๊กอิน Easy WP SMTP เวอร์ชัน 1.4.2 หรือต่ำกว่า เพื่อความปลอดภัยแนะนำให้อัปเดตปลั๊กอิน Easy WP SMTP เป็นเวอร์ชัน 1.4.4 หรือเวอร์ชันล่าสุด ที่มา : Threatpost

Continue reading

WooCommerce ทดสอบ Feature การชำระเงินใน Instagram Shopping

ตอนนี้ WooCommerce กำลังทำการทดสอบ Feature การชำระเงินใน Instagram ที่จะช่วยให้ผู้ใช้ซื้อสินค้าได้โดยที่ไม่ต้องออกจากแอป เพื่อช่วยขยายธุรกิจไปยังกลุ่มผู้ใช้บน Instagram และรองรับการทำงานร่วมกับ e-commerce อีกหลายเจ้า โดยตัว Feature การชำระเงินใน Instagram นั้นอยู่ในระหว่างทดสอบกับปลั๊กอิน Facebook for WooCommerce ที่เปิดให้ทดสอบได้ฟรี ล่าสุดได้มีการรองรับโพสต์ที่มาจาก catalog ที่สร้างบน Facebook และเชื่อมบัญชี Instagram เข้ากับร้าน นอกจากนี้ทางร้านยังไม่ต้องจ่ายค่าธรรมเนียมในการขายจนถึงวันที่ 31…

Continue reading

WooCommerce 4.6 ทำหน้าจอหลักใหม่เป็นค่าเริ่มต้นทั้งร้านใหม่และเก่า

ใน WooCommerce 4.6 ที่เปิดตัวไปไม่นานนั้น ได้มีการอัปเดตหน้าจอหลักใหม่ให้เป็นค่าเริ่มต้นกับร้านทั้งหมด (ก่อนหน้านี้เป็นเพียงค่าเริ่มต้นของร้านที่เปิดใหม่) โดยหน้าหลักใหม่นี้จะช่วยให้ตรวจสอบกิจการในเว็บได้สะดวกมากขึ้น เมลที่ลิงก์ถึงการจัดการของร้านค้าได้อย่างรวดเร็ว ภาพรวมสถิติการซื้อขายและผู้เข้าชมเว็บ รวมไปถึงการจัดการคำสั่งซื้อที่มีประสิทธิภาพมากขึ้น ที่มา : WordPress Tavern

Continue reading

ช่องโหว่ในปลั๊กอิน WPBakery

ทีมงาน Threat Intelligence ของ Wordfence ได้พบช่องโหว่ในปลั๊กอิน WPBakery บน WordPress ที่มีการติดตั้งอยู่บนเว็บไซต์กว่า 4.3 ล้านเว็บ มีระดับความรุนแรงอยู่ที่ 6.4 (ปานกลาง) โดย Hacker สามารถอาศัยช่องโหว่นี้เข้าไปเพิ่ม script ที่เป็นอันตรายลงใน Page หรือ Post ได้ และสามารถเข้าไปแก้ไข Post ของผู้ใช้คนอื่นได้อีกด้วย ช่องโหว่นี้จะมีผลกระทบกับปลั๊กอิน WPBakery เวอร์ชัน…

Continue reading