หลังจากที่มีการพบช่องโหว่ใน WordPress เวอร์ชั่น 4.7.1 เมื่อประมาณเดือนกุมภาพันธ์ที่ผ่านมา WordPress ก็ได้มีการอัพเดต เวอร์ชั่น 4.7.2 ออกมา เพื่อแก้ไขช่องโหว่ดังกล่าว แต่ก็ไม่สามารถอุดช่องโหว่ได้ทั้งหมด จึงเป็นเหตุให้ต้องออกเวอร์ชันใหม่ 4.7.3 ออกมา เพื่อแก้ไขช่องโหว่ทางด้านความมั่นคงปลอดภัย ในเวอร์ชัน 4.7.2 และเวอร์ชันก่อนหน้านั้น
โดยช่องโหว่ที่ถูกแก้ไขได้แก่
1. Cross-site scripting (XSS) ผ่าน metadata ไฟล์มีเดีย
2. ใช้ Control characters ในการหลบหลีกการตรวจสอบ redirect URL
3. ผู้ดูแลระบบทำการลบไฟล์โดยไม่ได้ตั้งใจจากการใช้ปลั๊กอินสำหรับการลบไฟล์
4. Cross-site scripting (XSS) มาทาง url โดยการฝัง YouTube
5. Cross-site scripting (XSS) จาก taxonomy
6. Cross-site request forgery (CSRF) จาก Press This ซึ่งทำให้มีการใช้งานทรัพยากรของเครื่องสูง
สำหรับคนที่ใช้ WordPress 4.7.2 และยังไม่ได้อัพเดตก็ควรรีบอัพเดตเป็น WordPress 4.7.3 ได้แล้ว ก่อนที่จะโดนโจมตีอีกระลอก แล้วก็อย่าลืม Backup ก่อน Update ทุกครั้งด้วยนะคะ
Credit : wordpress
Facebook Comments