เตือนภัย Plug-in Yuzo Related Posts โดน Hack ให้ลบทันที

ก่อนหน้านี้ผู้เขียนเคยมาแชร์ประสบการณ์เรื่อง โดนนำเว็บไป Redirect เข้าเว็บโฆษณาและเว็บเถื่อน ซึ่งสุดท้ายแล้วก็สามารถรับมือได้ด้วยการลบ Plug-in ที่ชื่อว่า Yuzo Related Posts ซึ่ง ณ ตอนนั้น ทุกคนก็ยังงง ๆ อยู่ว่ามันเกิดขึ้นได้อย่างไร ทำไม Plug-in ถึงกลายเป็นเครื่องมือสำหรับการโจมตีได้ หรือว่าเป็นความผิดของทาง Developer กันแน่

ล่าสุดเว็บไซต์ Sucuri ได้ออกมาวิเคราะห์ถึงสาเหตุของการที่ Plug-in Yuzu ทำงานเป็นแสปมแทนที่จะเป็น Plug-in ดี ๆ โดยได้บอกสาเหตุว่า Yuzu Related Posts นั้นเป็น Plug-in ที่ ปิดตัวไปแล้ว ก็คือเลิกพัฒนาไปแล้ว และไม่สามารถ Download ได้อีกในหน้าของ WordPress ไม่ว่าจะด้วยเหตุผลการปิดตัวใด ๆ ก็ตาม แต่แม้ว่า Plug-in จะปิดไป กลับยังมีผู้ใช้งานและลง Plug-in ตัวนี้อยู่สูงถึง 60,000 เว็บไซต์ และนั่นก็คือจำนวนตัวเลขของเว็บไซต์ที่ได้รับผลกระทบในครั้งนี้

และพอเป็น Plug-in ที่ไม่มีนักพัฒนามาดูเรื่องความปลอดภัย ทำให้ Plug-in ตัวนี้ยังคงเหลือช่องโหว่ต่าง ๆ ที่นักพัฒนาไม่ได้มาแก้หรืออุดช่องโหว่ ผู้ไม่หวังดีหรือ Hacker จึงใช้ช่องโหว่ ซึ่งจากรายงานข้างต้นบอกว่าเป็นกระบวนท่า Cross-site scripting โดยอาศัยช่องโหว่จากโค้ด PHP ในการแทรกโค้ดของ Hacker ที่ใช้ Redirect หน้าเว็บเข้ามา

และวิธีการที่ Hacker ใช้ตรวจสอบก็คือการแสกน Diractory เพื่อดูว่าเว็บไซต์ของเราลง Plug-in ตัวนี้อยู่หรือเปล่านั่นเอง

ควรทำอย่างไรถ้ารู้ว่าตัวเองได้รับผลกระทบ

สำหรับใครที่รู้สึกว่าเว็บของตัวเองได้รับผลกระทบ หรือเจอเว็บไซต์ที่ได้รับผลกระทบ (ซึ่งในไทยก็เจอหลายเว็บอยู่ รวมถึงหลายเว็บดังก็โดนเหมือนกัน) ให้รีบทำตามนี้

  • ถ้ายังล็อกอินเข้าหลังบ้านของ WordPress ได้อยู่ ให้เข้าไปลบ Uninstall ตัว Plug-in ทิ้งซะ
  • ถ้าล็อกอินไม่ได้ แต่สามารถเข้าถึง FTP หรือระบบจัดการไฟล์ได้ ให้หา Folder ชื่อ Yuzu Related Posts ใน Folder Plug-in ที่อยู่ใน Folder WP-Content แล้วลบมันด้วยมือนี่แหละ
  • ถ้าเป็นเว็บที่ใช้บริการระบบฝาก Host อื่น ๆ ที่ไม่ได้ให้ล็อกอิน ก็ให้แจ้งผู้ดูแลถึงปัญหาดังกล่าว (โยนบทความนี้ไปให้ก็ได้)

หลังจากนั้น พยายามดูไฟล์ในเว็บว่ายังเหลืออะไรแปลก ๆ อีกหรือเปล่า และเปลี่ยน Password ของทุก User เพื่อความปลอดภัยอีกชั้น

และเรื่องนี้ก็สอนให้เรารู้ว่าไม่ควรลง Plug-in ที่ไม่มีการอัพเดทแล้ว หรือหยุดพัฒนาแล้ว เพราะจะเป็นแหล่งรวมความอันตรายที่ Hacker อาจจะใช้ในการโจมตีเว็บไซต์ของเราก็เป็นได้

 

เรียบเรียงโดย ทีมงาน RAiNMAKER