ถ้าคุณใช้ WordPress อยู่ ข่าวนี้สำคัญมากๆ ครับ วันที่ 30 กันยายน 2025 ที่ผ่านมา WordPress ได้ออก Security Release version 6.8.3 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 2 จุดที่อาจส่งผลกระทบต่อธุรกิจของคุณได้ ทีม WordPress Security แนะนำให้ทุกคนอัปเดตทันทีวันนี้เรามาทำความเข้าใจกันว่าช่องโหว่ทั้ง 2 จุดนี้คืออะไร มันอันตรายแค่ไหน และส่งผลกระทบต่อธุรกิจคุณอย่างไร
2 ช่องโหว่ที่ถูกแก้ไขใน WordPress 6.8.3
ช่องโหว่ที่ 1: Data Exposure Issue – ข้อมูลลับอาจรั่วไหลได้!
พูดง่ายๆ คือ มี bug ในระบบที่ทำให้ผู้ใช้งานที่ล็อกอินเข้าระบบแล้ว (Authenticated users) สามารถเข้าถึงข้อมูลบางอย่างที่ไม่ควรจะเห็นได้ เช่น เนื้อหาที่ตั้งเป็นส่วนตัว (Private Posts) งานDraft ที่กำลังเขียนอยู่ หรือข้อมูลที่ควรจะถูกจำกัดสิทธิ์การเข้าถึง
ตัวอย่างสถานการณ์คือ ลองนึกภาพนะครับว่าคุณมีเว็บไซต์ธุรกิจที่มีพนักงานหลายคนสามารถเข้าใช้งานได้โดยพนักงานทั้ง 10 คนนี้แต่ละคนมีหน้าที่แตกต่างกันออกไป คนหนึ่งเป็นสมาชิกธรรมดา (Subscriber) อีกคนหนึ่งเป็นผู้จัดการเนื้อหา (Editor)
ปกติแล้วสมาชิกธรรมดาควรจะเห็นเฉพาะเนื้อหาที่ถูกนำเสนอออกมาแล้วเท่านั้น แต่เพราะช่องโหว่นี้ เขาอาจจะเข้าถึง
เอกสารสำคัญที่คุณซ่อนไว้ (เช่นไฟล์รูปที่เป็นความลับ) โพสต์ที่ยังเป็น draft (เช่น โปรโมชั่นที่ยังไม่ได้ประกาศ) เป็นต้น
ความเสี่ยงต่อธุรกิจของคุณ
- ข้อมูลธุรกิจรั่วไหล ข้อมูลที่เป็นความลับถูกเผยแพร่ออกไป
- เสียความได้เปรียบทางการแข่งขัน คู่แข่งอาจรู้กลยุทธ์ของคุณก่อน
- เสียชื่อเสียง ถ้าข้อมูลลูกค้ารั่วไหล อาจถูกฟ้องหรือเสียความน่าเชื่อถือ
- ละเมิดกฎหมาย PDPA อาจผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ช่องโหว่ที่ 2: Cross-Site Scripting (XSS) ใน Navigation Menus
XSS หรือ Cross-Site Scripting เป็นหนึ่งในช่องโหว่ที่พบบ่อยและอันตรายมากสำหรับเว็บไซต์ครับ ช่องโหว่นี้จะเกิดขึ้นกับผู้ใช้ที่ล็อกอินแล้วและส่งผลในส่วนของ Navigation Menus (เมนูหลักของเว็บไซต์)
XSS คือการที่แฮกเกอร์สามารถแทรก JavaScript code ที่เป็นอันตรายเข้าไปในเมนูของเว็บไซต์ เมื่อมีคนคลิกหรือเข้าไปที่หน้านั้น โค้ดที่เป็นอันตรายจะทำงานและสามารถขโมยข้อมูล session (เพื่อปลอมตัวเป็นคุณ) ขโมยข้อมูล cookies เปลี่ยนแปลงเนื้อหาบนหน้าเว็บ นำผู้ใช้ไปยังเว็บไซต์ปลอม (Phishing) หรือติดตั้ง malware บนคอมพิวเตอร์ของผู้เข้าชม
ตัวอย่างสถานการณ์คือ สมมติคุณมีเว็บไซต์ e-commerce และคุณให้สิทธิ์ Editor role กับพนักงานคนหนึ่ง แต่พนักงานคนนั้นมีเจตนาไม่ดี (หรือ account ของเขาถูกแฮก) เขาสามารถแทรก JavaScript ที่เป็นอันตรายเข้าไปในเมนูหลัก เมื่อลูกค้าคลิกเมนู “สินค้า” โค้ดที่เป็นอันตรายจะทำงาน ข้อมูลบัตรเครดิตของลูกค้าอาจถูกขโมย หรือลูกค้าอาจถูกนำไปยังหน้าสั่งซื้อสินค้าของปลอมที่ถูกสร้างขึ้น
ความเสี่ยงต่อธุรกิจของคุณ
- ขโมยข้อมูลลูกค้า ข้อมูลส่วนตัว, ข้อมูลการชำระเงินอาจรั่วไหล
- เสียชื่อเสียง ลูกค้าไม่เชื่อถือและไม่กลับมาอีก
- ความรับผิดทางกฎหมาย อาจถูกฟ้องร้องหรือปรับจากการรั่วไหลของข้อมูล
- สูญเสียรายได้ ลูกค้าหนีไป การขายลดลง
- ค่าใช้จ่ายในการแก้ไข ต้นทุนสูงมากในการฟื้นฟูเว็บไซต์และชื่อเสียง
3 วิธีอัปเดต Wordpress 6.8.3 แบบง่ายๆ
วิธีที่ 1 อัปเดตอัตโนมัติ (แนะนำ)
ถ้าคุณเปิดใช้งาน automatic background updates ไว้ เว็บไซต์จะอัปเดตเองอัตโนมัติ ไม่ต้องทำอะไรเลยครับ
วิธีที่ 2 อัปเดตด้วยตนเอง
- เข้า WordPress Dashboard
- คลิกที่ “อัปเดต” (Updates) ในเมนูด้านซ้าย
- คลิก “อัปเดตตอนนี้” (Update Now)
รอสักครู่ก็อัปเดตเสร็จแล้ว ง่ายมากเลยใช่มั้ยครับ
วิธีที่ 3: ดาวน์โหลดด้วยตนเอง
ดาวน์โหลด WordPress 6.8.3 จากเว็บไซต์ทางการ
ข่าวดีคือ WordPress ทีมได้แก้ไขช่องโหว่เหล่านี้ย้อนหลังไปถึง WordPress 4.7 ด้วย
นั่นหมายความว่าถ้าคุณใช้ WordPress 4.7 ขึ้นไป คุณจะได้รับการแก้ไข security นี้ แต่ WordPress จะใช้งานได้อย่างเต็มที่ก็ต่อเมื่อคุณใช้ version ล่าสุด (ตอนนี้คือ 6.8.3) ดังนั้นเราเลยอยากแนะนำให้คุณคอยอัปเดตเป็น version ล่าสุดเสมอเพื่อความปลอดภัยสูงสุด
WordPress Version ต่อไปจะออกเมื่อไหร่?
WordPress 6.9 วางแผนจะออกวันที่ 2 ธันวาคม 2025 ครับ ซึ่งจะเป็น Major Release ที่มีฟีเจอร์ใหม่ ๆ อีกมากมายเพิ่มขึ้น อย่าลืมว่า Security Updates สำคัญกว่า Feature Updates เสมอครับ ฟีเจอร์ใหม่ ๆ รอได้ แต่ช่องโหว่ด้าน Security ห้ามรอเด็ดขาด อ่านจบแล้วอย่าลืมไปอัปเดต WordPress 6.8.3 กันนะครับ
