เว็บไซต์ WordPress กว่า 20,000 แห่งได้รับผลกระทบจากช่องโหว่ Backdoor ที่อนุญาตให้สร้างผู้ดูแลระบบที่เป็นอันตราย

มีการค้นพบช่องโหว่ Backdoor ที่สำคัญ (CVE-2026-0920) ในปลั๊กอิน LA-Studio Element Kit for Elementor ของ WordPress ซึ่งมีผู้ใช้งานกว่า 20,000 เว็บไซต์ ช่องโหว่นี้เกิดจากการที่อดีตพนักงานได้แอบใส่โค้ดประสงค์ร้ายที่ซ่อนอยู่ (obfuscated) เข้าไปในฟังก์ชันการลงทะเบียนผู้ใช้ โดยอนุญาตให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบได้โดยไม่ต้องมีการยืนยันตัวตน ทำให้เว็บไซต์มีความเสี่ยงที่จะถูกเข้าควบคุมอย่างสมบูรณ์ ช่องโหว่ดังกล่าวถูกรายงานเมื่อวันที่ 12 มกราคม 2026 และได้รับการแก้ไขอย่างรวดเร็วในเวอร์ชัน 1.6.0 ที่ออกเมื่อวันที่ 14 มกราคม 2026

Severity: วิกฤต (Critical)

System Impact:

• เว็บไซต์ WordPress
• ปลั๊กอิน LA-Studio Element Kit for Elementor (เวอร์ชันที่ได้รับผลกระทบ: ≤ 1.5.6.3)
• เว็บไซต์ที่ใช้งานอยู่กว่า 20,000 แห่ง
• ผู้ใช้งาน WordPress ทั่วไปที่ติดตั้งปลั๊กอินดังกล่าว

Technical Attack Steps:

1. ผู้โจมตีส่งคำขอลงทะเบียนผู้ใช้ที่ถูกสร้างขึ้นมาเป็นพิเศษ
2. คำขอรวมพารามิเตอร์ ‘lakit_bkrole’ ที่ซ่อนอยู่
3. ฟังก์ชัน ‘ajax_register_handle’ ของปลั๊กอินตรวจพบพารามิเตอร์นี้
4. โค้ดที่ถูกซ่อนไว้จะกำหนดสิทธิ์ผู้ดูแลระบบให้กับบัญชีที่สร้างขึ้นใหม่โดยไม่มีการตรวจสอบสิทธิ์
5. ผู้โจมตีเข้าถึงเว็บไซต์ WordPress ในฐานะผู้ดูแลระบบได้อย่างสมบูรณ์

Recommendations:

Short Term:

• อัปเดตปลั๊กอิน LA-Studio Element Kit for Elementor เป็นเวอร์ชัน 1.6.0 หรือสูงกว่าโดยทันที
• หากยังไม่สามารถอัปเดตได้ ให้พิจารณาใช้ Web Application Firewall (WAF) ที่มีการป้องกันช่องโหว่นี้ (ผู้ใช้ Wordfence Premium ได้รับการป้องกันตั้งแต่วันที่ 13 มกราคม 2026 และผู้ใช้ฟรีตั้งแต่วันที่ 12 กุมภาพันธ์ 2026)
• ตรวจสอบบัญชีผู้ดูแลระบบที่เพิ่งสร้างขึ้นมาใหม่บนเว็บไซต์ของคุณเพื่อหาบัญชีที่ไม่รู้จักหรือน่าสงสัย

Long Term:

• ปรับปรุงกระบวนการตรวจสอบโค้ด (Code Review) และการตรวจสอบความปลอดภัยอย่างเข้มงวด โดยเฉพาะในช่วงการเปลี่ยนผ่านพนักงาน เพื่อตรวจจับโค้ดประสงค์ร้ายที่ซ่อนอยู่
• ดำเนินการตรวจสอบความปลอดภัยอย่างละเอียด (Security Audits) อย่างสม่ำเสมอสำหรับปลั๊กอินและธีมทั้งหมดที่ใช้งาน
• เฝ้าระวังกิจกรรมการลงทะเบียนผู้ใช้ที่ผิดปกติและการเปลี่ยนแปลงสิทธิ์ผู้ใช้บนเว็บไซต์ของคุณอย่างต่อเนื่อง
• เสริมสร้างมาตรการป้องกันการคุกคามจากคนในองค์กร (Insider Threat Protection) เช่น การจำกัดสิทธิ์การเข้าถึงและการตรวจสอบพฤติกรรมของพนักงาน
• ใช้หลักการ Least Privilege (ให้สิทธิ์ขั้นต่ำที่จำเป็น) สำหรับผู้ใช้และปลั๊กอินทั้งหมด

Source: https://cybersecuritynews.com/20000-wordpress-sites-affected-by-backdoor-vulnerability/