คลังเก็บป้ายกำกับ: WORDPRESS

Automattic เปิดตัว Newspack โซลูชั่นเพื่อการลงข่าวและทำเงินของสำนักข่าวบน WordPress.com

Automattic บริษัทแม่ของ WordPress.com ประกาศเปิดตัวบริการใหม่ Newspack by WordPress.com โดยเป็นระบบเพื่อการทำให้ WordPress เป็นโซลูชั่นสำหรับการลงข่าวและทำเงินจากคอนเทนต์ในช่องทางเดียว

ปัจจุบัน WordPress นั้นจะเป็นระบบจัดการคอนเทนต์ที่เน้นความสะดวกในการใช้งาน แต่หากต้องการทำระบบสมาชิกหรือระบบจ่ายเงินเพื่ออ่านคอนเทนต์อาจจะเป็นเรื่องยาก ซึ่ง Newspack จะเข้ามาช่วยแก้ปัญหาในจุดนี้ แต่ Automattic ยังไม่ได้ให้รายละเอียดของ Newspack มากนัก

Automattic ระบุว่า เป้าหมายของการพัฒนาระบบนี้ก็เพื่อองค์กรข่าวท้องถิ่นที่ไม่ได้มีทุนทรัพย์ในการพัฒนาเว็บไซต์สามารถทำระบบได้ง่ายขึ้น ซึ่งทั้ง Automattic, Spirited Media และ News Revenue Hub ได้ระดมทุน 2.4 ล้านดอลลาร์เพื่อโปรเจคนี้ และ Google ก็ร่วมทุนอีก 1.2 ล้านดอลลาร์ผ่าน Google News Initiative ด้วย

Automattic เริ่มเปิดให้ผู้สนใจเข้าร่วมทดสอบ Newspack แล้ว เข้าไปกรอกแบบฟอร์มได้ท้ายบทความที่เว็บไซต์ Newspack.blog (ปิดรับแบบฟอร์ม 2 กุมภาพันธ์ เวลา 11.59น. ตามเวลาประเทศไทย) ซึ่งกลุ่มเป้าหมายคือองค์กรที่เน้นทำข่าวดิจิทัลทั้งขนาดกลางและเล็ก โดยคาดว่า Newspack จะปล่อยให้ทดสอบช่วงเบต้าในช่วงปลายเดือนกรกฎาคมนี้

ในช่วงทดสอบ Newspack จะเปิดให้ใช้งานฟรีโดย Automattic จะรับผิดชอบค่าใช้จ่ายทั้งหมด ส่วนค่าใช้จ่ายเมื่อเปิดใช้งานจริงจะอยู่ราว 1,000-2,000 ดอลลาร์ต่อเว็บไซต์ต่อเดือน โดยคาดว่าจะเปิดให้ใช้งานจริงในเดือนมกราคมปีหน้า

ที่มา – TechCrunch, Newspack, WordPress

No Description

Topics: 

from:https://www.blognone.com/node/107568

Advertisements

WordPress ต้องการ PHP ขั้นต่ำเวอร์ชัน 5.6 มีผลเดือน เม.ย., ปลายปีจะต้องการ PHP 7

โครงการ WordPress ประกาศปรับเวอร์ชันขั้นของซอฟต์แวร์ที่ต้องการใช้งาน โดยบังคับให้ใช้ PHP 5.6 ขึ้นไปและ MySQL 5.5 ขึ้นไป มีผลเดือนเมษายน 2019

เว็บไซต์ที่ยังอยู่กับ PHP 5.5 จะยังได้รับอัพเดตแพตช์ความปลอดภัยจาก WordPress ต่อไป แต่จะไม่สามารถอัพเกรดเป็น WordPress รุ่นใหญ่รุ่นใหม่ได้อีกแล้ว (คาดว่า WordPress 5.1 ที่จะออกช่วงนั้น คงจะเป็นตัวสุดท้ายที่ซัพพอร์ต PHP 5.5)

โครงการ WordPress ระบุว่าตอนนี้มีเว็บไซต์ที่รัน WordPress ประมาณ 85% ใช้งาน PHP 5.6 ขึ้นไปเรียบร้อยแล้ว และ 98.5% ใช้งาน MySQL 5.5 ขึ้นไป

ทางโครงการยังระบุว่าการซัพพอร์ต PHP 5.6 จะมีอายุค่อนข้างสั้น และมีแผนจะขยับเวอร์ชันขั้นต่ำเป็น PHP 7 ในเดือนธันวาคม 2019

PHP 5.x หมดระยะซัพพอร์ตจากโครงการ PHP ไปตั้งแต่สิ้นปี 2018 นั่นแปลว่าต่อให้ใช้ WordPress รุ่นล่าสุดบน PHP 5.6 ก็มีโอกาสจะถูกโจมตีจากช่องโหว่ของ PHP ได้ ดังนั้นถ้าไม่ติดขัดอะไรก็ควรอัพเกรดเป็น PHP 7.x กันได้เลย

ที่มา – WordPress

No Description

Topics: 

from:https://www.blognone.com/node/107518

บริษัทวิจัยพบการโจมตี WordPress แบบ brute-force ติดบอทเน็ตแล้วกว่า 2 หมื่นเว็บ

บริษัทวิจัยความปลอดภัย WordFence รายงานพบการโจมตีเว็บไซต์ที่ใช้ WordPress แบบ brute-force ด้วยการสุ่มยูสเซอร์เนมและพาสเวิร์ดเพื่อฝังบอทเน็ต โดยตอนนี้มีเว็บไซต์ติดบอทเน็ตแล้วกว่า 2 หมื่นเว็บซึ่งถูกใช้เป็นฐานแพร่บอทเน็ตไปเว็บอื่นๆ ต่อไปด้วย

แฮกเกอร์จะอาศัยการ brute-force ผ่านฟีเจอร์ XML-RPC ที่เปิดให้เว็บอื่นเรียกใช้งาน WordPress โดย WordFence ระบุว่าวิธีนี้มีโอกาสสำเร็จมากขึ้นเมื่อเป็นการโจมตีแบบเหวี่ยงแหทีละหลายๆ เว็บไซต์ เมื่อแฮกเกอร์สามารถเข้าถึงบัญชี WordPress ได้แล้วจะฝังบอทเน็ตที่สั่งงานจากเซิร์ฟเวอร์ C2 4 ตัวผ่านพร็อกซี่เอาไว้

WordFence แนะนำให้เว็บไซต์ที่ใช้ WordPress จำกัดจำนวนครั้งในการล็อกอิน, ตั้งพาสเวิร์ดที่ยากต่อการเดา, ตั้งค่าการยืนยันตัวตนหลายขั้น (MFA, 2FA) ไปจนถึงจำกัดการเข้าถึงแอคเคาท์เฉพาะบาง IP หรือใบรับรองดิจิทัลบางตัวเท่านั้น

ที่มา – NakedSecurity

No Description

from:https://www.blognone.com/node/107011

WordPress ออกแพตช์แก้ไขช่องโหว่ในเวอร์ชัน 5.0.1

เมื่อไม่กี่วันก่อนทาง WordPress เพิ่งปล่อยเวอร์ชัน 5.0 ออกมาซึ่งในวันนี้ได้เริ่มแพตช์ช่องโหว่จำนวน 7 รายการในเวอร์ชัน 5.0.1 แล้ว โดยช่องโหว่ประกอบด้วย XSS และการตรวจเช็ค MIME ให้รัดกุมมากขึ้น เป็นต้น แนะนำผู้ใช้ควรอัปเดต

การแก้ไขช่องโหว่ในแพตช์มีดังนี้

  • แก้ไขการตรวจสอบ MIME สำหรับการอัปโหลดไฟล์คือเวอร์ชันก่อนหน้านั้นไฟล์ที่อัปโหลดอาจจะมีเนื้อไม่ตรงกับ Extension ได้ (.Docx, jpg หรืออื่นๆ) ในแพตช์ใหม่นี้จึงเพิ่มความสามารถตรวจสอบความตรงกันของเนื้อหาและ Extension หลังจากที่ช่องโหว่ XSS ถูกค้นพบโดย Tim Coen และ Slavo Mihajloski
  • Tim Coen และ Slavo Mihajloski ยังได้ค้นพบช่องโหว่ XSS อีกจุดหนึ่งคือผู้ใช้งาน WordPress อาจถูกแก้ไขคอมเม้นต์ใหม่ได้จากผู้ใช้งานระดับสูงกว่าซึ่งการเป็นช่องทางให้นำไปสู่ช่องโหว่ดังกล่าว อย่างไรก็ตาม Coen ระบุว่าตัว WordPress เองไม่ได้รับผลกระทบโดยตรงแต่จะมีผลกับ Plugin บางตัวเท่านั้น
  • RIPS Technologies ได้เครดิตรายงาน Bug 2 รายการว่า Author สามารถแก้ไข Meta Data เพื่อลบไฟล์ที่ตัวเองไม่มีสิทธิ์ อีกช่องโหว่คือการสร้างโพสต์ทั้งที่ตัวเองไม่มีสิทธิ์เช่นกัน

นอกจากนี้ยังมีรายงานจากผู้เขียน Plugin ยอดนิยมของ WordPress อย่าง Yoast SEO ได้ไปพบว่าในหน้า Activation ของผู้ใช้งานสามารถถูก Google ทำ index ได้และอาจนำไปสู่การเผยข้อมูลอย่างที่อยู่อีเมลหรือรหัสผ่านเดิมที่ถูก Generate มาแต่ทางนักพัฒนาของ WordPress กล่าวว่า “เป็นกรณีที่เกิดขึ้นได้น้อยมากๆ” สำหรับผู้ที่ยังไม่ได้อัปเดตเวอร์ชัน 5.0 ก็มีแพตช์ก็มีในเวอร์ชัน 4.9 หรือก่อนหน้าด้วยเช่นกัน ผู้สนใจสามารถอ่านรายละเอียดของแพตช์เพิ่มเติมได้ที่นี่

ที่มา : https://www.securityweek.com/several-vulnerabilities-patched-release-wordpress-501 และ https://www.zdnet.com/article/wordpress-plugs-bug-that-led-to-google-indexing-some-user-passwords/

from:https://www.techtalkthai.com/wordpress-patch-via-version-5-0-1/

WordPress 5.0 ออกแล้ว มาพร้อม Editor ตัวใหม่ แต่ยังกลับไปใช้ตัวเก่าได้อยู่

WordPress 5.0 ออกเวอร์ชันจริง การเปลี่ยนแปลงที่สำคัญในเวอร์ชันนี้คือ Editor ตัวใหม่ Gutenberg ที่เปลี่ยนวิธีการเขียนเนื้อหาใน WordPress ไปอย่างสิ้นเชิง

Editor ตัวเก่าของ WordPress (ปัจจุบันเรียกว่า Classic Editor) ใช้แนวคิดแบบ word processing เขียนงานเอกสารเรียงจากบนลงล่างไปเรื่อยๆ แต่ Gutenberg ใช้แนวคิดมองวัตถุต่างๆ เป็น “บล็อค” (block) ซึ่งมีได้หลากหลายชนิด เช่น ข้อความ รูปภาพ วิดีโอ แกลเลอรี ลิสต์ ปุ่ม หรือไฟล์ โดยผู้ใช้สามารถจัดเรียงบล็อคได้อย่างอิสระ จะวางต่อกันจากบนลงล่าง หรือจะจัดเรียงคู่กันซ้าย-ขวาก็ทำได้ง่าย

No Description

Gutenberg ออกแบบมาเพื่อตอบโจทย์เรื่องการวางหน้าเว็บเพจให้ทันสมัย โดยไม่จำเป็นต้องใช้ปลั๊กอินพวก Page Builder หรือ Composer แต่ก็มาพร้อมกับ UI แบบใหม่ที่ไม่มีแถบเครื่องมือด้านบนอีกแล้ว ใช้วิธีการกดแทรกบล็อค ที่หน้าตาจะคล้ายกับ Medium พอสมควร

ผู้ใช้ที่ไม่คุ้นกับ Gutenberg ยังสามารถกลับไปใช้ Classic Editor ตัวเก่าได้ โดยต้องลงปลั๊กอิน Classic Editor เองก็จะได้หน้าตาแบบเดิมกลับมา ทางโครงการ WordPress สัญญาว่าจะซัพพอร์ต Classic Editor ไปจนถึงสิ้นปี 2021

WordPress 5.0 ยังมาพร้อมกับธีมตัวใหม่ Twenty Nineteen ที่ออกแบบมารองรับ Gutenberg อย่างเต็มที่ด้วย

No Description

ที่มา – WordPress

from:https://www.blognone.com/node/106878

พบช่องโหว่ Zero-day บน GDPR Plugin ของ WordPress เสี่ยงถูกเข้าควบคุมไซต์

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ WordPress ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day บน WP GDPR Compliance Plugin หนึ่งใน Plugin ยอดนิยมสำหรับผู้ที่ต้องการผ่านข้อกำหนดของ GDPR ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงไซต์ ติดตั้งสคริปต์ Backdoor และเข้าควบคุมระบบทั้งหมดได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

ช่องโหว่นี้ถูกค้นพบครั้งแรกเมื่อเดือนที่ผ่านมา โดยตอนแรกนั้นพบรายงานของไซต์ที่ถูกแฮ็กบน Support Forum ของ Plugin อื่น แต่ต่อมากลับพบว่า Plugin ดังกล่าวถูกติดตั้งลงไปในฐานะของ Second-stage Payload ของไซต์ที่ถูกโจมตี หลังจากที่ทีมรักษาความมั่นคงปลอดภัยของ WordPress เข้าไปตรวจสอบอย่างละเอียด ก็ได้พบต้นตอของการแฮ็กมาจาก WP GDPR Compliance Plugin ซึ่งถูกติดตั้งลงบนไซต์ที่ถูกแฮ็กเหมือนกันหมด

นักวิจัยด้านความมั่นคงปลอดภัยจาก Defiant ผู้ให้บริการ Wordfence Firewall Plugin สำหรับ WordPress ระบุว่า จนถึงตอนนี้ยังคงตรวจพบการโจมตีที่พยายามเจาะช่องโหว่ของ WP GDPR Compliance Plugin โดยช่องโหว่ดังกล่าวช่วยให้แฮ็กเกอร์สามารถเรียกใช้หนึ่งในฟังก์ชันภายในของ Plugin และเปลี่ยนแปลงการตั้งค่าของทั้ง Plugin และ WordPress CMS ทั้งหมดได้ โดยส่วนใหญ่แฮ็กเกอร์จะใช้ช่องโหว่เพื่อสร้างบัญชีที่ชื่อว่า “t2trollherten” ซึ่งมีสิทธิ์เป็น Admin จากนั้นติดตั้งไฟล์ Backdoor ชื่อ “wp-cache.php” ลงไป ซึ่งเป็นสคริปต์ที่สามารถติดตั้ง Payload อื่นๆ ต่อได้ตามความต้องการของแฮ็กเกอร์

จนถึงตอนนี้พบว่าแฮ็กเกอร์เพียงแค่ติดตั้งสคริปต์ Backdoor ลงบนไซต์ที่ถูกแฮ็ก แต่ก็ยังไม่ได้ทำอะไรที่ไม่พึงประสงค์ต่อผ่าน Backdoor ดังกล่าว เช่น SEP Spam, Exploit Kits, Malwar หรืออื่นๆ แต่ก็แนะนำให้ผู้ดูแลระบบ WordPress ที่ใช้ WP GDPR Compliance ลบ Plugin ออก จัดการ Backdoor ทิ้งไป หรืออัปเดตเป็นเวอร์ชัน 1.4.3 โดยเร็ว

รายละเอียดเชิงเทคนิค: https://www.wordfence.com/blog/2018/11/trends-following-vulnerability-in-wp-gdpr-compliance-plugin/

ที่มา: https://www.zdnet.com/article/zero-day-in-popular-wordpress-plugin-exploited-in-the-wild-to-take-over-sites/

from:https://www.techtalkthai.com/zero-day-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/

แพทช์ด่วน! ปลั๊กอินเว็บ WordPress ชื่อดังอย่าง WooCommerce ถูกแฮ็กแล้ว!

นักวิจัยจาก RIPS Technologies GmbH ค้นพบช่องโหว่บน WooCommerce ซึ่งเป็นปลั๊กอินยอดนิยมสำหรับสร้างระบบร้านค้าออนไลน์หรืออีคอมเมิร์ซบนแพลตฟอร์ม WordPress ที่เปิดให้แฮ็กเกอร์ได้สิทธิ์ผู้ใช้ที่สามารถเข้าควบคุมเว็บไซต์ได้อย่างเต็มที่

ปัจจุบันมีร้านค้าออนไลน์ที่ใช้ WooCommerce อยู่คิดเป็น 35% โดยถูกติดตั้งไปแล้วกว่า 4 ล้านครั้ง สำหรับช่องโหว่นี้ นักวิจัยได้ทำวิดีโอแสดงวิธีการเปลี่ยนระดับผู้ใช้บน WooCommerce ให้อยู่ในฐานะผู้จัดการร้านหรือ “Shop Manager” เพื่อรีเซ็ตรหัสผ่านของแอดมิน จนสามารถเข้าควบคุมเว็บไซต์ของเหยื่อได้อย่างสมบูรณ์

ทั้งนี้เนื่องจากเมื่อติดตั้งเอ็กซ์เทนชั่น WooCommerce นั้น จะมีการสร้างบัญชีผู้ใช้ “Shop Manager” ที่มีการเปิดฟังก์ชั่นที่เรียกว่า “edit_users” ตามมาด้วย ทำให้สามารถใช้บัญชีนี้แก้ไขข้อมูลผู้ใช้ที่เป็นลูกค้าเพื่อจัดการคำสั่งซื้อ, แก้ไขข้อมูลโปรไฟล์, ไปจนถึงข้อมูลผลิตภัณฑ์ต่างๆ ได้ ซึ่งฟังก์ชั่นดังกล่าวบนเวิร์ดเพรสนั้นก็สามารถแก้ไขหรือรีเซ็ตรหัสผ่านแอดมินได้ด้วยเช่นกัน

แม้โดยเผินๆ WooCommerce จะมีการป้องกันไว้ระดับหนึ่ง แต่เมื่อแอดมินของเวิร์ดเพรสปิดการทำงานของปลั๊กอินดังกล่าว ก็จะปลดการป้องกันดังกล่าวได้ด้วย ทำให้บัญชี Shop Manager แก้ไขบัญชีแอดมินของเวิร์ดเพรสได้ ซึ่งแฮ็กเกอร์สามารถใช้ช่องโหว่ที่เรียกว่า File Deletion บน WooCommerce ปิดการทำงานของปลั๊กอินผ่านบัญชี WooCommerce อีกทอดหนึ่ง

ที่มา : Thehackernews

from:https://www.enterpriseitpro.net/woocommerce-wordpress-hacking/