ปลั๊กอิน RankMath SEO คืออะไร?
วันนี้มีข่าวด่วนมาอัพเดตให้ทราบกันครับเกี่ยวกับช่องโหว่ความปลอดภัยที่เพิ่งถูกค้นพบในปลั๊กอิน Rank Math SEO ที่หลายคนกำลังใช้งานอยู่ โดยปัญหานี้รายงานโดยทีมนักวิจัยจาก Wordfence
สำหรับใครที่ยังไม่คุ้นชื่อ Rank Math นั้น ต้องบอกก่อนเลยว่ามันคือปลั๊กอิน SEO ที่กำลังได้รับความนิยมอย่างสูงในขณะนี้ ด้วยฟีเจอร์การทำ SEO ที่จัดเต็มมาแบบครบเครื่อง ไม่ว่าจะเป็นเรื่องการจัดการคีย์เวิร์ด, การติดตั้ง Schema Markup, การเชื่อมต่อกับ Search Console และ Analytics ของ Google ตลอดจนระบบการทำ Redirection ต่าง ๆ จนหลายคนมองว่ามันเป็นตัวเลือกที่น่าสนใจสำหรับใช้แทนปลั๊กอินอย่าง Yoast ที่ครองตลาดมานาน
จุดแข็งอีกอย่างของ Rank Math คือการที่มันมาในรูปแบบปลั๊กอินแบบโมดูลาร์ กล่าวคือผู้ใช้งานสามารถเลือกเปิดใช้เฉพาะฟีเจอร์ที่ต้องการได้ ส่วนฟีเจอร์ที่ไม่จำเป็นก็สามารถปิดการทำงานเพื่อช่วยเพิ่มประสิทธิภาพของเว็บไซต์ได้ นอกจากนั้น Rank Math ยังมีขนาดไฟล์ที่เล็กกระชับกว่า (61,100 บรรทัด เทียบกับ 97,100 บรรทัดของ Yoast) พร้อมกับใช้ทรัพยากรของเซิร์ฟเวอร์ที่น้อยกว่าอีกด้วย (+0.35MB เทียบกับ +1.62MB)
ช่องโหว่ RankMath SEO จากรายงานของ WordFence
แต่ถึงอย่างนั้น ด้วยความที่ Rank Math เป็นปลั๊กอินที่ฟีเจอร์ครบครันและถูกใช้งานอย่างกว้างขวาง การค้นพบช่องโหว่จึงเป็นเรื่องที่เกิดขึ้นได้ไม่ยาก และนั่นก็คือสิ่งที่ Wordfence ได้ออกมารายงานเมื่อไม่นานมานี้นั่นเอง
จากรายงานระบุว่า Rank Math มีช่องโหว่ Stored XSS ในส่วนของ HowTo Block ที่เกิดจากการตรวจสอบข้อมูลนำเข้าและการหลบหนีเอาต์พุตที่ไม่เพียงพอ ทำให้ผู้โจมตีที่ผ่านการตรวจสอบสิทธิ์ในระดับ Contributor ขึ้นไปสามารถฝังสคริปต์ที่เป็นอันตรายลงในหน้าเว็บเพจ และสคริปต์เหล่านั้นจะทำงานทุกครั้งที่มีผู้ใช้เข้าชมหน้าเว็บที่ถูกฝังสคริปต์เอาไว้
นี่ถือเป็นปัญหาที่น่ากังวลครับเพราะนั่นหมายความว่าเว็บไซต์ที่ใช้ Rank Math เสี่ยงต่อการถูกบุกรุกและถูกขโมยข้อมูลสำคัญได้ง่ายขึ้น ซึ่งนอกจากอาจจะส่งผลเสียต่อเจ้าของเว็บแล้ว ยังเป็นอันตรายต่อผู้ใช้งานเองอีกด้วย เพราะข้อมูลส่วนตัวต่าง ๆ เสี่ยงจะถูกขโมยและนำไปใช้ในทางที่ผิดได้ แต่หากคุณได้ทำการอัปเดตแล้วและไม่ได้มีผู้ใช้งาน Contributor ที่ต้องสงสัย ก็หมดห่วงครับ
ไม่ต้องตกใจไปนะครับ เพราะ Rank Math เองได้ออกอัปเดตเพื่อแก้ไขปัญหานี้ให้เรียบร้อยแล้วในเวอร์ชั่น 1.0.215 ซึ่งได้ระบุข้อมูลเอาไว้อย่างชัดเจนในบันทึกการเปลี่ยนแปลง (Changelog) ว่า:
“Improved: Strengthened the security of the plugin’s HowTo Block to prevent potential exploitation by users with post edit access. Thanks to WordFence for revealing it responsibly.”
การสื่อสารที่ตรงไปตรงมาและการดำเนินการอย่างรวดเร็วแบบนี้ ถือเป็นการจัดการที่ดีของทาง Rank Math ที่ควรยกย่องครับ เพราะนอกจากจะช่วยให้ผู้ใช้สามารถอัปเดตแก้ไขได้ทันท่วงทีแล้ว ยังแสดงให้เห็นถึงความใส่ใจต่อความปลอดภัยของผู้ใช้และความรับผิดชอบต่อปัญหาที่เกิดขึ้นอีกด้วย
ดังนั้น หากคุณได้ทำเว็บไซต์และเป็นหนึ่งในผู้ใช้งาน Rank Math อยู่ล่ะก็ ผมแนะนำว่าให้รีบอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเลยครับ เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่ดังกล่าว และถึงแม้คุณจะยังไม่ได้ใช้ Rank Math แต่ก็ขอให้ช่วยบอกต่อให้เพื่อน ๆ หรือคนรู้จักที่ใช้อยู่ได้รับทราบด้วยนะครับ เรื่องความปลอดภัยทางไซเบอร์นี่เป็นเรื่องสำคัญที่ทุกคนต้องช่วยกันครับ ยิ่งเราแชร์และแจ้งข่าวสารกันมากเท่าไหร่ ก็ยิ่งทำให้โลกออนไลน์ของเราปลอดภัยมากขึ้นเท่านั้น
หากใครมีข้อสงสัยหรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ สามารถติดตามอ่านรายละเอียดเต็ม ๆ ได้ที่บล็อกของ Wordfence หรือติดต่อฝ่ายสนับสนุนของ Rank Math ได้โดยตรงนะครับ ขอบคุณทุกท่านที่ติดตามครับ แล้วอย่าลืมไปอัปเดตหรือแชร์ไปให้คนที่ใช้สำหรับทำ SEO ทราบด้วยนะ!
อ้างอิง: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/seo-by-rank-math/rank-math-seo-with-ai-seo-tools-10214-authenticatedcontributor-stored-cross-site-scripting-via-howto-block-attributes