แฮกเกอร์ใช้ช่องโหว่บนธีมของ Wordpress ในการทำ RCE เจาะเข้าเว็บไซต์ได้

Wordpress ถึงแม้จะเป็นเครื่องมือในการสร้าง และดูแลเว็บไซต์ยอดนิยม แต่ก็มักจะมาพร้อมกับช่องโหว่จำนวนมากบนองค์ประกอบ และส่วนเสริมต่าง ๆ ที่ใช้งานกับ Wordpress เปิดทางให้ถูกแฮกได้โดยง่ายจนกลายเป็นของคู่กันไปแล้ว

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบช่องโหว่ที่อยู่บนธีมของ Wordpress ที่มีชื่อว่า "Alone – Charity Multipurpose Non-profit WordPress Theme" ซึ่งช่องโหว่นี้จะเปิดช่องให้แฮกเกอร์สามารถเข้ายึดเว็บไซต์ผ่านทางการยิงโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) โดยช่องโหว่ดังกล่าวนั้นมีรหัสคือ CVE-2025-5394 เป็นช่องโหว่ที่อยู่ในฟังก์ชันสำหรับการติดตั้งธีมดังกล่าว โดยฟังก์ชันนี้มีชื่อว่า "alone_import_pack_install_plugin()" ซึ่งช่องโหว่ในฟังก์ชันนี้เกิดจากการที่ระบบตรวจสอบความสามารถ หรือ Capability Check หายไป นำไปสู่การเปิดทางให้แฮกเกอร์สามารถอัปโหลดไฟล์บีบอัดแฝงโค้ดในรูปแบบ Webshell ที่อ้างตนเป็น Plug-in ในรูปแบบไฟล์ Zip ขึ้นสู่เว็บไซต์โดยไม่ได้ได้รับอนุญาตผ่านทาง AJAX แล้วจัดการรันโค้ดดังกล่าวเพื่อเข้ายึดเว็บไซต์ได้ ทำให้ช่องโหว่ดังกล่าวนั้นได้คะแนนความร้ายแรง หรือ CVSS Score ที่สูงถึง 9.8 หรือร้ายแรงสูงมาก

ทางทีมวิจัยจาก Wordfence บริษัทผู้พัฒนาปลั๊กอินรักษาความปลอดภัยบนเว็บไซต์ Wordpress ซึ่งเป็นผู้ตรวจพบช่องโหว่ดังกล่าวนั้น ได้กล่าวว่า แฮกเกอร์มักจะชอบอัปไฟล์ Zip ที่มีชื่อว่า "wp-classic-editor.zip" หรือ "background-image-cropper.zip" ขึ้นสู่เว็บไซต์ โดยภายในนั้นมีโค้ดมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor ที่ถูกเขียนขึ้นในภาษา PHP เพื่อใช้ในการทำ RCE แล้วเข้าควบคุมเว็บไซต์ของเหยื่อ โดยช่องโหว่ดังกล่าวนั้นทางทีมวิจัยตรวจพบว่าพึ่งถูกแฮกเกอร์นำไปใช้งานในช่วงวันที่ 12 กรกฎาคม ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมานี้เอง ซึ่งทางทีมวิจัยรายงานว่า ปลั๊กอินของทางบริษัทได้จัดการบล็อกความพยายามในการใช้ช่องโหว่ดังกล่าวเพื่อแฮกเข้ามามากถึง 120,900 ครั้ง ซึ่งหมายเลข IP ที่เป็นต้นสายของการแฮกนั้น มักจะเป็นหมายเลข IP ดังต่อไปนี้

• 193.84.71.244
• 87.120.92.24
• 146.19.213.18
• 185.159.158.108
• 188.215.235.94
• 146.70.10.25
• 74.118.126.111
• 62.133.47.18
• 198.145.157.102
• 2a0b:4141:820:752::2

ซึ่งรุ่นของธีมที่ได้รับผลกระทบนั้น ทางทีมวิจัยรายงานว่า ผู้ที่ใช้งานทุกรุ่นที่ทั้งรุ่น 7.8.3 และรุ่นก่อนหน้าทั้งหมดนั้นจะได้รับความเสี่ยงทั้งสิ้น แต่ข่าวดีคือ ทางทีมพัฒนาได้รับข่าวเกี่ยวกับช่องโหว่ และได้ทำการออกอัปเดตเพื่ออุดช่องโหว่บนเวอร์ชัน 7.8.5 เป็นที่เรียบร้อยแล้ว ดังนั้น ผู้ที่ใช้งานธีมดังกล่าวขอให้ทำการอัปเดตโดยไว พร้อมทั้งตรวจสอบว่ามีปลั๊กอินแปลกปลอมที่แฮกเกอร์ทำการอัปโหลดแฝงมาไว้หรือไม่ ผ่านทาง "/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin" รวมทั้งทำการตรวจสอบรายชื่อผู้ดูแล (Admin หรือ Administrator) ทั้งหมดบนเว็บไซต์ทั้งหมดว่าไม่มีใครแปลกปลอมแฝงมา ถ้าตรวจพบขอให้ทำการลบทิ้งให้หมดในทันที

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv