240/69 (IT) ประจำวันศุกร์ที่ 1 พฤษภาคม 2569
นักวิจัยด้านความปลอดภัยจาก Anchor Hosting เปิดเผย Quick Page/Post Redirect ซึ่งเป็นปลั๊กอิน WordPress สำหรับสร้าง redirect และมีการติดตั้งใช้งานมากกว่า 70,000 เว็บไซต์ ถูกฝัง backdoor ไว้ตั้งแต่ปี 2020 โดยตรวจพบจากเว็บไซต์ภายใต้การดูแลจำนวน 12 แห่ง มีการแจ้งเตือนกิจกรรมผิดปกติ ผลการตรวจสอบพบว่าเวอร์ชัน 5.2.1 และ 5.2.2 มีการเพิ่มกลไกอัปเดตตัวเองแบบซ่อนเร้น ซึ่งเชื่อมต่อไปยังโดเมนภายนอก anadnet[.]com ทำให้สามารถส่งโค้ดเข้าสู่เว็บไซต์ที่ติดตั้งปลั๊กอินได้โดยไม่ผ่านการควบคุมของ WordPress.org
เดือนมีนาคม 2021 เว็บไซต์ที่ใช้งาน Quick Page/Post Redirect เวอร์ชัน 5.2.1 และ 5.2.2 ได้รับไฟล์อัปเดตเวอร์ชัน 5.2.3 จากเซิร์ฟเวอร์ภายนอกดังกล่าว ซึ่งมีโค้ดแบ็กดอร์เพิ่มเติมและมีค่า hash แตกต่างจากเวอร์ชัน 5.2.3 ที่เผยแพร่จาก WordPress.org แบ็กดอร์นี้จะทำงานเฉพาะกับผู้ใช้ที่ไม่ได้ล็อกอิน เพื่อหลบเลี่ยงการตรวจพบโดยผู้ดูแลเว็บไซต์ และเชื่อมโยงฟังก์ชัน the_content เพื่อดึงข้อมูลจากเซิร์ฟเวอร์ anadnet มาแทรกในเนื้อหาเว็บไซต์ นักวิจัยประเมินว่าอาจถูกใช้ในปฏิบัติการ cloaked parasite SEO หรือการแทรกเนื้อหาและลิงก์เพื่อใช้ประโยชน์จากอันดับการค้นหาของเว็บไซต์ที่ได้รับผลกระทบ
ปัจจุบัน WordPress.org ได้ถอดปลั๊กอินดังกล่าวออกจากคลังชั่วคราวเพื่อรอการตรวจสอบเพิ่มเติม ทั้งนี้ ความเสี่ยงสำคัญยังอยู่ที่กลไกอัปเดตภายนอกซึ่งยังคงอยู่ในเว็บไซต์ที่ติดตั้งเวอร์ชันที่ได้รับผลกระทบ แม้ซับโดเมนภายนอกที่ใช้สำหรับควบคุมและสั่งงานจะไม่สามารถ resolve ได้ในขณะนี้ ทำให้แบ็กดอร์อยู่ในสถานะสงบนิ่ง ผู้ใช้งานที่ได้รับผลกระทบควรถอนการติดตั้งปลั๊กอิน และเปลี่ยนไปใช้เวอร์ชัน 5.2.4 ที่เผยแพร่ผ่าน WordPress.org เมื่อปลั๊กอินกลับมาเปิดให้ดาวน์โหลดอีกครั้ง รวมถึงตรวจสอบเว็บไซต์ย้อนหลังว่ามีไฟล์หรือโค้ดแปลกปลอมถูกฝังไว้หรือไม่