ช่องโหว่ Essential Addons for Elementor 5.9.11

วันนี้ผมมีข่าวสำคัญมาแจ้งให้ทุกคนได้ทราบกันเกี่ยวกับช่องโหว่ความปลอดภัยที่ถูกค้นพบใน Essential Addons for Elementor ปลั๊กอินยอดนิยมที่มียอดติดตั้งกว่า 2 ล้านครั้งทั่วโลก ซึ่งหากไม่รีบอัปเดตแก้ไข อาจส่งผลให้เว็บไซต์ของคุณตกอยู่ในความเสี่ยงจากการโจมตีของแฮกเกอร์ได้

Essential Addons for Elementor เป็นปลั๊กอินที่ได้รับความนิยมอย่างสูงในการเพิ่มความสามารถและปรับแต่งการแสดงผลของ Elementor ให้มีความหลากหลายและน่าสนใจยิ่งขึ้น แต่จากรายงานล่าสุด พบว่ามีช่องโหว่ที่มีความเสี่ยงสูงซ่อนอยู่ใน 2 Widget หลักของปลั๊กอินนี้ นั่นคือ ‘Countdown Widget’ และ ‘Woo Product Carousel Widget’ ซึ่งเปิดโอกาสให้แฮกเกอร์สามารถนำไปใช้ในการโจมตีเว็บไซต์แบบ Cross Site Scripting ได้

ลักษณะของช่องโหว่เป็นอย่างไร?

จุดบกพร่องหลักของช่องโหว่นี้อยู่ที่กระบวนการจัดการข้อมูลที่ถูกส่งเข้ามาจากฝั่งผู้ใช้งาน (User Input) โดยเฉพาะในส่วนของวิดเจ็ตและ Form Field ที่ไม่ได้มี’ทำความสะอาดข้อมูล’หรือกรองข้อมูลอย่างเหมาะสม (Sanitize) และการไม่กำจัดข้อมูลส่วนเกินที่ไม่ต้องการออกจากผลลัพธ์ (Escape Output) ทำให้เปิดช่องให้แฮกเกอร์สามารถแทรกสคริปต์ที่เป็นอันตรายเข้ามาในเว็บไซต์ได้ สคริปต์เหล่านี้อาจถูกนำไปใช้เพื่อขโมยข้อมูลส่วนตัวที่ละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลบัตรเครดิต จากผู้เยี่ยมชมเว็บไซต์โดยไม่รู้ตัว

ผลกระทบมีความกว้างขวางเพียงใด?

จากรายงานที่มีการเผยแพร่ออกมา มีการประเมินว่าเว็บไซต์ WordPress กว่า 2 ล้านเว็บทั่วโลกอาจได้รับผลกระทบจากช่องโหว่นี้ ซึ่งนับเป็นตัวเลขที่สูงมากและสะท้อนให้เห็นถึงความสำคัญของการอัปเดตปลั๊กอินต่าง ๆ ให้เป็นปัจจุบันอยู่เสมอ เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นได้ตลอดเวลา

ผู้ใช้ควรดำเนินการอย่างไร?

สำหรับผู้ที่กำลังใช้งานปลั๊กอิน Essential Addons for Elementor อยู่ สิ่งสำคัญที่สุดที่ควรทำอย่างเร่งด่วนคือการอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด (สูงกว่าเวอร์ชั่น 5.9.11 ขึ้นไป) ที่ได้รับการแก้ไขช่องโหว่เหล่านี้แล้วโดยเร็วที่สุดเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น นอกจากการอัพเดตแล้ว การใช้มาตรการรักษาความปลอดภัยเสริมก็เป็นสิ่งที่แนะนำเช่นกัน ไม่ว่าจะเป็น:

• การใช้รหัสผ่านที่คาดเดายาก และเปลี่ยนรหัสผ่านสำหรับการเข้าสู่ระบบของผู้ดูแลเว็บไซต์
• การอัพเดต WordPress, ธีม และปลั๊กอินอื่น ๆ ให้เป็นเวอร์ชันล่าสุด
• การสำรองข้อมูลเว็บไซต์ (Backup) อย่างสม่ำเสมอ เพื่อลดผลกระทบเมื่อเกิดเหตุไม่คาดฝัน

ซึ่งช่วยลดความเสี่ยงและความเสียหายที่อาจเกิดขึ้นได้ ควรทำสิ่งเหล่านี้เป็นกระบวนการพื้นฐานของบริษัทเลยครับ

ข้อควรรู้เพิ่มเติม

• ถึงแม้จะอัปเดตปลั๊กอินแล้ว การตรวจสอบช่องโหว่ของเว็บไซต์อย่างสม่ำเสมอก็ยังเป็นเรื่องที่ไม่ควรละเลย โดยสามารถใช้เครื่องมือหรือปลั๊กอินด้านความปลอดภัยเข้ามาช่วยให้การตรวจสอบเป็นไปอย่างมีประสิทธิภาพมากยิ่งขึ้น
• ติดตั้งปลั๊กอินความปลอดภัยที่มีฟังค์ชั่น Virtual Patching ซึ่งสามารถแก้ไขช่องโหว่เฉพาะหน้าได้อย่างรวดเร็ว
• การติดตามแหล่งข่าวที่มีการอัพเดทและวิจัยด้านความปลอดภัยอยู่เสมอเช่น WordFence และ Patchstack ครับ

หากเว็บไซต์ของคุณพัฒนาด้วย Elementor และมีปลั๊กอินนี้อยู่ล่ะก็อย่าลืมรีบไปอัพเดทและแชร์ต่อไปให้เพื่อนของคุณทราบด้วยนะครับ

อ้างอิง:

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/essential-addons-for-elementor-lite/essential-addons-for-elementor-best-elementor-templates-widgets-kits-woocommerce-builders-5911-authenticated-contributor-stored-cross-site-scripting-1

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/essential-addons-for-elementor-lite/essential-addons-for-elementor-best-elementor-templates-widgets-kits-woocommerce-builders-5911-authenticated-contributor-stored-cross-site-scripting