269/68 (IT) ประจำวันศุกร์ที่ 25 กรกฎาคม 2568
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์จากบริษัท Sucuri ออกมาเปิดเผยถึงกลยุทธ์ใหม่ของกลุ่มแฮกเกอร์ที่อาศัยช่องโหว่ในระบบ WordPress โดยแอบฝัง “แบ็คดอร์” (Backdoor) ไว้ในปลั๊กอินประเภทพิเศษที่เรียกว่า “mu-plugins” ซึ่งอยู่ในไดเรกทอรี wp-content/mu-plugins เพื่อให้สามารถเข้าถึงเว็บไซต์ได้อย่างต่อเนื่องโดยไม่ถูกตรวจพบ ปลั๊กอินประเภทนี้จะถูกเปิดใช้งานโดยอัตโนมัติในทุกเว็บไซต์ที่ติดตั้ง WordPress และไม่แสดงในหน้า Plugins ของระบบผู้ดูแล ทำให้มัลแวร์สามารถทำงานได้โดยไม่ปรากฏสิ่งผิดปกติใด ๆ บนแดชบอร์ดของผู้ดูแลระบบ
จากการวิเคราะห์พบว่า แฮ็กเกอร์ใช้สคริปต์ PHP ที่ชื่อ wp-index.php ใน mu-plugins เพื่อโหลดโค้ดอันตรายจากระยะไกล โดย URL ถูกซ่อนไว้ด้วยการเข้ารหัสแบบ ROT13 เมื่อโหลดโค้ดสำเร็จ มันจะถูกเขียนชั่วคราวลงดิสก์และประมวลผลทันที พร้อมทั้งฝังเครื่องมือจัดการไฟล์ (file manager) ลับเข้าไปในธีมของเว็บไซต์ และสร้างผู้ใช้งานระดับผู้ดูแลระบบชื่อว่า “officialwp” พร้อมติดตั้งปลั๊กอินอันตรายเพิ่มเติมชื่อ wp-bot-protect.php เพื่อควบคุมเว็บไซต์อย่างสมบูรณ์ นอกจากนี้ มัลแวร์ยังสามารถเปลี่ยนรหัสผ่านของผู้ดูแลระบบที่พบบ่อย เช่น “admin”, “root” และ “wpsupport” ให้เป็นรหัสผ่านที่แฮกเกอร์กำหนดไว้เองได้
นักวิเคราะห์เตือนว่า หากเว็บไซต์ถูกฝังแบ็คดอร์ในลักษณะนี้ แฮกเกอร์จะสามารถดำเนินการใด ๆ กับเว็บไซต์ได้ ไม่ว่าจะเป็นการขโมยข้อมูล การฝังโค้ดเพื่อแพร่กระจายมัลแวร์ หรือเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังเว็บไซต์หลอกลวงต่าง ๆ เจ้าของเว็บไซต์ควรเร่งอัปเดตระบบ WordPress ธีม และปลั๊กอินอย่างสม่ำเสมอ ใช้การยืนยันตัวตนแบบสองขั้นตอน (2FA) และตรวจสอบโครงสร้างไฟล์ภายในเว็บไซต์เป็นประจำ โดยเฉพาะในโฟลเดอร์ธีมและปลั๊กอิน เพื่อป้องกันการบุกรุกที่อาจเกิดขึ้นโดยไม่รู้ตัว
แหล่งข่าว https://thehackernews.com/2025/07/hackers-deploy-stealth-backdoor-in.html
