WordPress Backdoor มาอีกแล้ว! เว็บไซต์กว่า 1000 แห่งถูกเจาะระบบ

March 8, 2025

ภัยคุกคามล่าสุดที่ส่งผลกระทบต่อเว็บไซต์ WordPress ทั่วโลก

เมื่อไม่นานมานี้ มีรายงานว่ากว่า 1,000 เว็บไซต์ WordPress ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ โดยแฮ็กเกอร์ใช้ JavaScript Backdoor ที่ช่วยให้พวกเขาสามารถเข้าถึงเว็บไซต์ได้อย่างต่อเนื่อง แม้ว่าเจ้าของเว็บไซต์จะพยายามลบโค้ดอันตรายออกไปก็ตาม

การโจมตีนี้ก่อให้เกิดความเสี่ยงอย่างมากต่อเจ้าของเว็บไซต์ นักพัฒนา และผู้ใช้งาน เนื่องจากอาจนำไปสู่การ ขโมยข้อมูลส่วนตัว, การเปลี่ยนแปลงเนื้อหาโดยไม่ได้รับอนุญาต หรือแม้แต่การแพร่กระจายมัลแวร์ไปยังผู้เยี่ยมชมเว็บไซต์

รายละเอียดของการโจมตี WordPress ครั้งนี้

1. การแฝงตัวของ JavaScript Backdoor

แฮ็กเกอร์ใช้ JavaScript ที่ซ่อนอยู่ในเว็บไซต์ เพื่อสร้าง ช่องโหว่แบบ Backdoor ทำให้พวกเขาสามารถกลับเข้ามาควบคุมเว็บไซต์ได้ตลอดเวลา โดยโค้ดอันตรายนี้ถูกโหลดจาก cdn.csyndication[.]com ซึ่งพบว่ามีการอ้างอิงถึงโดเมนนี้ในกว่า 908 เว็บไซต์ ที่ถูกโจมตี

2. การใช้ Backdoor หลายประเภท เพื่อป้องกันการถูกลบ

สิ่งที่ทำให้การโจมตีครั้งนี้อันตรายเป็นพิเศษคือ การติดตั้ง Backdoor หลายตัวพร้อมกัน หากเว็บไซต์พยายามลบ Backdoor ตัวหนึ่งออก แฮ็กเกอร์ยังสามารถใช้ช่องทางอื่นกลับมาโจมตีได้

Backdoor ที่พบในระบบประกอบด้วย

Backdoor 1 – ติดตั้งปลั๊กอินปลอมชื่อ “Ultra SEO Processor” เพื่อใช้เป็นช่องทางรันคำสั่งของแฮ็กเกอร์
Backdoor 2 – ฉีดโค้ดอันตรายลงใน wp-config.php ซึ่งเป็นไฟล์ตั้งค่าหลักของ WordPress
Backdoor 3 – เพิ่ม SSH Key ของแฮ็กเกอร์ ลงในเซิร์ฟเวอร์ ทำให้พวกเขาสามารถเข้าถึงเว็บไซต์ผ่าน SSH ได้ตลอดเวลา
Backdoor 4 – รันคำสั่งจากระยะไกลและดึง Payload อื่นจาก gsocket[.]io ซึ่งอาจเปิด Reverse Shell เพื่อให้แฮ็กเกอร์ควบคุมเซิร์ฟเวอร์ได้

3. ผลกระทบของการโจมตีครั้งนี้

การมี Backdoor หลายตัวในเว็บไซต์หมายความว่า แม้เจ้าของเว็บไซต์จะลบโค้ดอันตรายออกไปแล้ว แฮ็กเกอร์ก็ยังสามารถกลับเข้ามาได้อีก ซึ่งอาจนำไปสู่

การขโมยข้อมูล ชื่อผู้ใช้, รหัสผ่าน, ข้อมูลลูกค้า และข้อมูลธุรกรรม
การเปลี่ยนแปลงเนื้อหาเว็บไซต์ เช่น ฝังโค้ดมัลแวร์ หรือ Redirect ผู้ใช้งานไปยังเว็บไซต์อันตราย
การใช้เซิร์ฟเวอร์ของเว็บไซต์ที่ถูกโจมตีเป็น เครื่องมือแพร่กระจายมัลแวร์ไปยังเว็บไซต์อื่น
ผลกระทบต่อ อันดับ SEO ของเว็บไซต์ เพราะ Google อาจขึ้นเตือนว่าเป็นเว็บไซต์อันตราย

วิธีตรวจสอบว่าเว็บไซต์ของคุณถูกโจมตีหรือไม่

หากคุณใช้ WordPress และกังวลว่าเว็บไซต์อาจตกเป็นเหยื่อของการโจมตีครั้งนี้ ลองตรวจสอบสิ่งต่อไปนี้

✅ ตรวจสอบไฟล์ wp-config.php และ functions.php – ดูว่ามีโค้ดที่ไม่รู้จักถูกแทรกเข้าไปหรือไม่
✅ สแกนหาปลั๊กอินแปลกปลอม – หากพบปลั๊กอิน Ultra SEO Processor หรือปลั๊กอินที่ไม่เคยติดตั้งมาก่อน ให้ลบทิ้งทันที
✅ เช็กการเชื่อมต่อจากระยะไกล – ตรวจสอบว่ามี SSH Key ที่ไม่รู้จัก ถูกเพิ่มเข้าไปในระบบหรือไม่
✅ ดูรายการโดเมนภายนอกที่ถูกโหลดเข้ามา – หากเว็บไซต์ของคุณมีการอ้างอิงไปยัง cdn.csyndication[.]com หรือ gsocket[.]io ให้รีบดำเนินการลบออก

แนวทางป้องกันและแก้ไขสำหรับเจ้าของเว็บไซต์ WordPress

เพื่อป้องกันการโจมตีลักษณะนี้ เจ้าของเว็บไซต์ควรดำเนินมาตรการต่อไปนี้ทันที

1. อัปเดต WordPress และปลั๊กอินทั้งหมด

แฮ็กเกอร์มักใช้ช่องโหว่ในเวอร์ชันเก่า อัปเดตทุกอย่างให้เป็นเวอร์ชันล่าสุด เพื่อลดความเสี่ยง

2. ใช้ปลั๊กอินความปลอดภัยที่เชื่อถือได้

แนะนำให้ติดตั้งปลั๊กอินเช่น

Wordfence Security – สแกนมัลแวร์ และป้องกันการโจมตี
iThemes Security – ปิดช่องโหว่และเพิ่มการป้องกันขั้นสูง

3. สำรองข้อมูลเว็บไซต์เป็นประจำ

หากเว็บไซต์ถูกโจมตี คุณสามารถกู้คืนไฟล์เวอร์ชันก่อนหน้าที่ปลอดภัย ได้ทันที

4. เปลี่ยนรหัสผ่านและเพิ่มการยืนยันตัวตนแบบสองชั้น (2FA)

เปลี่ยน รหัสผ่านผู้ดูแลระบบ ให้มีความซับซ้อน
เปิดใช้งาน Two-Factor Authentication (2FA) เพื่อเพิ่มระดับความปลอดภัย

5. ลบโค้ดอันตราย และตรวจสอบระบบไฟล์

ลบ SSH Key ที่ไม่รู้จัก ออกจากเซิร์ฟเวอร์
ตรวจสอบไฟล์ wp-config.php, functions.php และ .htaccess เพื่อดูว่ามีโค้ดที่ไม่รู้จักถูกแทรกเข้ามาหรือไม่

6. ปิดการแก้ไขไฟล์ผ่าน WordPress Admin

แฮ็กเกอร์อาจใช้ฟีเจอร์นี้เพื่อเปลี่ยนโค้ดของเว็บไซต์ ให้เพิ่มโค้ดนี้ใน wp-config.php:

บทเรียนจากการโจมตีครั้งนี้

1. เว็บไซต์ WordPress ต้องมีระบบรักษาความปลอดภัยที่เข้มงวดขึ้น

เจ้าของเว็บไซต์ต้องตระหนักว่า WordPress เป็นเป้าหมายหลักของแฮ็กเกอร์ ดังนั้นจึงต้อง อัปเดตระบบ ป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต และติดตามข่าวสารด้านความปลอดภัยอย่างต่อเนื่อง