คลังเก็บป้ายกำกับ: WORDPRESS

Amazon Lightsail ร่วมมือ GoDaddy ให้บริการ WordPress พร้อมช่วยดูแลการอัพเดต

Amazon Lightsail เป็นบริการของ AWS ที่ช่วยให้ผู้ใช้ทั่วไปเข้าถึงบริการคลาวด์ได้ง่ายขึ้น เช่นการสร้างเว็บบน WordPress แต่ในการใช้งานจริงๆ การดูแลเว็บมีกระบวนการต้องดูแลมากกว่านั้น เช่นการจัดการสำรองข้อมูลเว็บ, อัพเดตซอฟต์แวร์และปลั๊กอินต่างๆ, ไปจนถึงการจัดการ SEO ตอนนี้ทาง AWS ก็ร่วมมือกับ GoDaddy มาให้บริการเสริมส่วนที่ AWS ไม่ได้ทำให้แล้ว

การร่วมมือครั้งนี้ลูกค้า AWS จะสามารถใช้ Lightsail สร้าง WordPress Bundle เพื่อสร้างเว็บและใช้บริการ GoDaddy Pro Sites ได้ด้วย โดยบริการ Pro Sites จะดูแลตั้งแต่การอัพเดตทั้งตัวเว็บ ธีม และปลั๊กอิน, การสร้างไฟล์สำรอง, มอนิเตอร์ประสิทธิภาพเว็บ, และการปรับปรุง SEO

การใช้งานให้สร้างเครื่องใน Lightsail, เลือก WordPress Bundle แล้วจะได้ลิงก์ไปใช้ GoDaddy Pro Sites ฟรี

ที่มา – AWS

No Description

Topics: 

from:https://www.blognone.com/node/110416

โฆษณา

เตือนช่องโหว่บนปลั๊กอิน Live Chat ของ WordPress เสี่ยงถูกขโมยบันทึกการสนทนาและไฮแจ็กเซสชัน

นักวิจัยด้านความมั่นคงปลอดภัยจาก Alert Logic ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับ Critical บนหนึ่งในปลั๊กอิน Live Chat ยอดนิยมของ WordPress เสี่ยงอาจถูกแฮ็กเกอร์โจมตีจากระยะไกลเพื่อขโมยบันทึกการสนทนาหรือไฮแจ็กเซสชันที่ใช้สนทนาได้

ช่องโหว่ดังกล่าวมีรหัส CVE-2019-12498 เป็นช่องโหว่บน “WP Live Chat Suppot” ซึ่งเป็นปลั๊กอิน Live Chat ที่มีธุรกิจกว่า 50,000 รายใช้งานเพื่อเป็นช่องทางในการแชตกับลูกค้าหรือผู้เข้าเยี่ยมชมเว็บไซต์ ช่องโหว่ดังกล่าวเกิดจากการตรวจสอบการพิสูจน์ตัวตนอย่างไม่เหมาะสม ส่งผลให้ผู้ใช้ที่ไม่ได้พิสูจน์ตัวตนสามารถเข้าถึง REST API Endpoint ที่ถูกจำกัดการเข้าถึงไว้ได้

ในกรณีที่โจมตีสำเร็จ แฮ็กเกอร์จะสามารถ

  • ขโมยประวัติการสนทนาของทุกเซสชันการแชตได้ทั้งหมด
  • แก้ไขหรือลบประวัติการสนทนา
  • แทรกข้อความลงไปในเซสชันแชตที่กำลังเปิดใช้งานอยู่ เพื่อปลอมเป็นทีมซัพพอร์ตของเจ้าของเว็บไซต์
  • บังคับปิดเซสชันแชตที่กำลังดำเนินอยู่ ก่อให้เกิดการโจมตีแบบ Denial of Service (DoS)

ช่องโหว่นี้ส่งผลกระทบต่อเว็บไซต์ WordPress และผู้เยี่ยมชมที่มีการใช้ WP Live Caht Support เวอร์ชัน 8.0.32 หรือก่อนหน้านั้น อย่างไรก็ตาม ทีมนักวิจัยได้แจ้งรายละเอียดเกี่ยวกับช่องโหว่ไปยังทีมนักพัฒนาปลั๊กอิน ซึ่งก็ออกแพตช์เวอร์์ชันใหม่เพื่ออุดช่องโหว่เรียบร้อยเมื่อสัปดาห์ที่ผ่านมา จนถึงตอนนี้ยยังไม่พบรายการโจมตีผ่านช่องโหว่ดังกล่าว

รายละเอียดเชิงเทคนิค: https://blog.alertlogic.com/alert-logic-researchers-find-another-critical-vulnerability-in-wordpress-wp-live-chat-cve-2019-12498/

ที่มา: https://thehackernews.com/2019/06/wordpress-live-chat-plugin.html

from:https://www.techtalkthai.com/new-wordpress-live-chat-plugin-flaw-lets-hackers-steal-chat-log/

พบโค้ดรีไดเร็กต์ที่เป็นอันตรายฝังอยู่ใน Joomla และ WordPress

พบอันตรายที่ฝังใน .htaccess บนเว็บ Joomla และ WordPress โดยนักวิจัยด้านความปลอดภัยได้ออกมาเตือนเจ้าของเว็บที่ใช้ Joomla และ WordPress ให้ระวังสคริปต์รีไดเร็กต์ที่เป็นอันตราย ซึ่งบังคับให้ผู้เยี่ยมชมไปยังเว็บไซต์ที่เป็นอันตรายแทน

โดยเมื่อวันพฤหัสที่ผ่านมานั้น Eugene Wozniak นักวิจัยด้านความปลอดภัยจาก Sucuri ได้ออกรายงานเกี่ยวกับตัวฝังสคริปต์เถื่อนบน Hypertext Access หรือ .htaccess ซึ่งพบบนเว็บไซต์ของลูกค้า เขารายงานว่าเว็บที่โดนหางเลขถูกรีไดเร็กต์ไปยังเว็บไซต์อื่นที่พยายามติดตั้งซอฟต์แวร์อันตราย

ทั้ง Joomla และ WordPress ต่างใช้ไฟล์ .htaccess เพื่อเปลี่ยนแปลงการตั้งค่าที่ระดับของไดเรกทอรีบนเว็บเซิร์ฟเวอร์ ไฟล์นี้ใช้สำหรับตั้งค่าออพชั่นของโฮสต์บนเว็บเพจ ตั้งแต่การเข้าถึงเว็บไซต์ การรีไดเร็กต์URL การย่อ URL ไปจนถึงการควบคุมการเข้าถึง

จากเนื้อหาของผลการวิจัยจาก Sucuri ระบุว่ามีการใช้ฟังก์ชั่นรีไดเร็กต์URL บนไฟล์ .htaccess โดยไม่ได้รับอนุญาตแม้ฟีเจอร์นี้จะนิยมนำมาใช้งานในเว็บแอพพลิเคชี่นส่วนใหญ่ แต่ก็มักเป็นช่องทางสำหรับผู้ไม่หวังดีในการแอบโฆษณา และส่งผู้เยี่ยมชมไปยังเว็บหลอกลวงด้วยเช่นกัน

ที่มา : Threatpost

from:https://www.enterpriseitpro.net/joomla-and-wordpress-malicious-redirect-code/

พบช่องโหว่ XSS บน WordPress Live Chat Plugin เสี่ยงถูกแทรกสคริปต์เข้าสู่เว็บไซต์

ทีมนักวิจัยจาก Sucuri ผู้ให้บริการแพลตฟอร์ม Web Security ชื่อดัง ออกมาแจ้งเตือนถึงช่องโหว่ Cross-site Scripting (XSS) บน WP Live Chat Support for WordPress เสี่ยงอาจถูกแฮ็กเกอร์สอดแทรกสคริปต์แปลกปลอมเข้าสู่เว็บไซต์จากระยะไกลได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนใดๆ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

WP Live Chat Support for WordPress เป็น Plugin สำหรับให้บริการ Live Chat แก่ผู้เข้าเยี่ยมชมเว็บไซต์ ซึ่งปัจจุบันมีผู้ดาวน์โหลดไปติดตั้งมากกว่า 60,000 เว็บ โดยช่องโหว่ที่ค้นพบนี้ส่งผลกระทบบน Plugin เวอร์ชัน 8.0.27 และก่อนหน้านั้น มีสาเหตุมาจากการไม่ป้องกัน ‘admin_init hook’ ซึ่งเป็นช่องทางยอดนิยมที่แฮ็กเกอร์ใช้โจมตี WordPress Plugin ให้ดีเพียงพอ

Sucuri ได้รายงานช่องโหว่ไปยังทีมนักพัฒนา WP Live Chat Support for WordPress เมื่อวันที่ 30 เมษายน ซึ่งก็ได้ออกแพตช์มาอุดช่องโหว่เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

รายละเอียดเชิงเทคนิค: https://blog.sucuri.net/2019/05/persistent-cross-site-scripting-in-wp-live-chat-support-plugin.html

ที่มา: https://www.bleepingcomputer.com/news/security/bug-in-wordpress-live-chat-plugin-lets-hackers-inject-scripts/

from:https://www.techtalkthai.com/xss-vulnerability-found-in-wordpress-live-chat-plugin/

WordPress 5.2 ออกแล้ว! เน้นความสามารถด้าน Security หลายประการ

WordPress ได้มีเวอร์ชัน 5.2 ออกมาแล้วซึ่งมีการอัปเดตฟีเจอร์ด้านความมั่นคงปลอดภัยหลายรายการ เช่น Offline Digital Signature, Site Health และ White-Screen-of-Death protection เป็นต้น

Site Health Menu , เครดิต : Zdnetฟีเจอร์ใหม่ในเวอร์ชัน 5.2 มีดังนี้

ฟีเจอร์ใหม่ในเวอร์ชัน 5.2 มีดังนี้

1.Cryptographic Sign

ในเวอร์ชันใหม่มีการทำ Offline Digital signature หรือการที่ WordPress ได้ทำการ Digital Sign กับแพ็กเกจที่จะอัปเดตด้วย Ed25519 (การทำ Digital Signature วิธีหนึ่ง) ดังนั้นต่อไปผู้ใช้งานจะสามารถพิสูจน์แพ็กเกตนั้นได้อย่างมั่นใจก่อนติดตั้งว่าไม่ได้ถูกแทรกซึมโดยแฮ็กเกอร์แล้วโดยช่วยลดปัญหา Supply-chain Attack ได้

2.Modern Cryptographic library

ปัจจุบันได้มีการยกเลิกไลบรารี่การเข้ารหัสเวอร์ชันเก่า ‘mcrypt’ แล้วใช้ไลบรารี่ ‘Libsodium’ แทนเพื่อความทันสมัย อย่างไรก็ดียังมีการใช้ ไลบรารี่ Sodium_compat เพื่อรองรับกับเซิร์ฟเวอร์ PHP ที่ไม่รองรับ Libsodium โดยในบล็อกของ WordPress แนะนำว่าให้นักพัฒนาธีมและปลั้กอินไปใช้ไลบรารี่ตัวใหม่

3.Site Health

Site Health เป็นเมนูใหม่ในหน้า WordPress ที่ภายในมี 2 ส่วนย่อยคือ

  • Status – มีการตรวจสอบความมั่นคงปลอดภัยพื้นฐานและแสดงรายงานแนะนำให้แก้ไข
  • Info – แสดงรายละเอียดของเว็บไซต์และเซิร์ฟเวอร์ เช่น ปลั้กอิน ธีม และพื้นที่การใช้งาน ซึ่งเป็นประโยชน์ต่อการ Debug หรือส่งมอบให้ทีม Support เพื่อประกอบการแก้ไข

4.Servehappy

โปรเจ็ค Servehappy ถูกตัดตอนเป็น 2 ส่วนโดยครึ่งแรกคือฟีเจอร์แสดงการแจ้งเตือนว่า PHP ที่ใช้ล้าสมัยซึ่งอยู่ใน WordPress 5.1 แต่ในเวอร์ชันใหม่ครึ่งหลังคือความสามารถ ‘White Screen of Death (WSOD) Protection’ หรือ ‘Fetal Error Protection’ คือเมื่อเกิดปัญหา PHP Fatal error กับธีมหรือปลั้กอินผู้ดูแลจะสามารถได้รับสิทธิ์เข้าถึง Backend เพื่อแก้ไขข้อผิดพลาดได้ (ตามรูปด้านล่าง)

เครดิต : Zdnet

อย่างไรก็ตามทาง WordPress ยังมีแผนที่จะนำระบบ Code-signing ไปให้นักพัฒนาธีมและปลั้กอินใช้เช่นกัน ผู้สนใจสามารถอ่านรายละเอียดเพิ่มเติมได้จากบล็อกของ WordPress 

ที่มา :  https://www.zdnet.com/article/wordpress-finally-gets-the-security-features-a-third-of-the-internet-deserves/ และ  https://www.bleepingcomputer.com/news/security/wordpress-52-to-come-with-supply-chain-attack-protection/

from:https://www.techtalkthai.com/wordpress-5-2-update-many-security-features/

WordPress 5.2 ออกแล้ว เพิ่มฟีเจอร์ Site Health, ปรับเวอร์ชัน PHP ขั้นต่ำเป็น 5.6

WordPress 5.2 โค้ดเนม “Jaco” ออกตัวจริงแล้ว ของใหม่เวอร์ชันนี้ได้แก่

  • หน้าเพจ Site Health (อยู่ในเมนู Tools) เอาไว้เช็คสถานะของเว็บไซต์ เช่น เวอร์ชันของ PHP, MySQL แล้วให้คะแนนว่ามีคะแนนสุขภาพดีแค่ไหน
  • PHP Error Protection เพิ่มกระบวนการป้องกันอัพเดตแล้วเจอปัญหา PHP หน้าขาว (white screen of death) และ recovery mode สำหรับกู้คืนกรณีอัพเดตปลั๊กอิน-ธีมแล้วเกิดปัญหา
  • ตรวจสอบเวอร์ชันของปลั๊กอิน หาก PHP ของเราเวอร์ชันต่ำกว่าที่ปลั๊กอินต้องการ จะไม่สามารถติดตั้งได้
  • Cryptographically-signed Updates ไฟล์อัพเดตจะถูก sign เพื่อให้เว็บไซต์ตรวจสอบได้ว่าเป็นไฟล์จริงหรือถูกดักเปลี่ยนไฟล์กลางทาง
  • เปลี่ยนไลบรารีเข้ารหัสลับจาก mcrypt มาเป็น Libsodium ที่ทันสมัยกว่าเดิม

WordPress 5.2 ยังบังคับ PHP ขั้นต่ำเป็นเวอร์ชัน 5.6 หากใช้ PHP ตัวเก่ากว่านี้จะไม่สามารถทำงานได้แล้ว และปลายปีนี้ WordPress จะขยับเวอร์ชันขั้นต่ำเป็น 7.x ด้วย

ที่มา – WordPress, ZDNet

ตัวอย่างหน้า Site Health

No Description

Topics: 

from:https://www.blognone.com/node/109654

พบช่องโหว่บนแอปพลิเคชัน WordPress บน iOS แนะผู้ใช้ควรอัปเดต

Automattic เจ้าของแพลตฟอร์มบล็อกชื่อดังอย่าง WordPress ได้ออกประกาศแพตช์ในแอปพลิเคชัน iOS ที่พบช่องโหว่ซึ่งทำให้เกิดการเปิยเผย Security Token กับเว็บไซต์ Third-party ได้

โดยทางบริษัทยืนยันว่าช่องโหว่ไม่ได้เปิดเผยถึงชื่อผู้ใช้และรหัสผ่านแต่เป็น “Security Token ที่แอปพลิเคชันใช้สื่อสารหรือทำการพิสูจน์ตัวตนกับ WordPress.com” สำหรับสถานการณ์ที่จะเกิดเหตุการณ์ช่องโหว่ขึ้นได้ เช่น ถ้าเจ้าของบล็อกใช้ iOS เพื่อแก้ไขหรือโพสต์บล็อกที่มีภาพฝากอยู่บนไซต์อื่น ดังนั้นเว็บไซต์ดังกล่าวอาจได้รับ Security Token ไปได้ ซึ่งอนุญาตให้คนร้ายสามารถเข้าถึงบัญชี WordPress ได้โดยไม่ต้องมีรหัสผ่านนั่นเอง อย่างไรก็ตามทาง Automattic ได้อัปเดตแพตช์แอปพลิเคชันเวอร์ชันใหม่ไว้ใน App Store แล้วผู้ใช้จึงควรอัปเดต

ที่มา :  https://www.zdnet.com/article/wordpress-ios-app-leaked-authentication-tokens/

from:https://www.techtalkthai.com/wordpress-ios-app-was-patched/