WPML Hacked!! ถูกแฮคจากอดีตพนักงาน

เมื่อวันจันทร์ที่ 19 มกราคมที่ผ่านมา มีลูกค้าจำนวนหนึ่งของ WMPL ซึ่งเป็นเว็บไซต์ผลิตปลั๊กอินสำหรับทำเว็บ WordPress แบบหลายภาษา ได้รับอีเมลปรารถนาดีจากผู้ไม่ประสงค์ออกนามซึ่งส่งตรงจากอีเมลของ WPML โดยตรงว่าปลั๊กอินนี้โค้ดโครตห่วย ไม่ปลอดภัย ช่องโหว่เพียบ แพงและไม่คุ้มค่า รวมทั้งแนะว่าให้ตรวจสอบเว็บให้ดีและสำรองข้อมูลอยู่เสมอด้วยล่ะ ซึ่งอีเมลดังกล่าวก็ได้สร้างความตกใจให้ผู้ใช้บางส่วนพอสมควร

เนื้อหาอีเมล :

You’re seeing this because you are using WPML. You purchased WPML and installed it on one or more of your sites. Or maybe you jus plan to.
I did the same but only to get myself in a whole lot of troubles. WPML came with a bunch of ridiculous security holes which, despite my efforts to keep everything up to date, allowed the most important two of my websites to be hacked.
WPML exposed sensitive information to someone with very little coding skills but merely with access to the WPML code and some interest in seeing how easy is to break it.


I’m able to write this here because of the very same WPML flaws as this plugin is used on wpml.org too.


Please take this with the warm recommendation of triple-enforcing your security on websites where you use WPML if you must use it. Make frequent backups and monitor your websites closely. Do not leave sensible information laying around in the database or on the server.
Use only WPML components and features that you really need. Or ask for your money back.


Do not expect that if you’re charged for a piece of software, it means that is 100% hack proof. WPML is highly acclaimed but doesn’t prove itself.
It’s a shame that after unreasonable price tag and lousy support, things were able to go even worse.


I’ve emailed them with details about the vulnerable code and hopefully they will be able to react quickly enough with an update. But be warned!


Peace!

ล่าสุดทาง WPML ได้ส่งอีเมลชี้แจงไปยังสมาชิกแล้วว่า เว็บไซต์และฐานข้อมูลของ WPML นั้นถูกแฮคจริง ซึ่งก็ไม่ใช่ใครที่ไหน แต่เป็นอดีพพนักงานที่วางช่องโหว่ไว้ก่อนออกจากงาน ซึ่งทาง WPML ได้ทำการตรวจสอบตัวปลั๊กอินแล้วว่าไม่ได้รับผลกระทบแต่อย่างใด และทาง WPML กำลังแก้ไขข้อผิดพลาดดังกล่าวและสร้างเซิฟเวอร์ใหม่จากศูนย์ ซึ่งคาดว่าจะเสร็จในช่วงพรุ่งนี้เช้า

อนึ่ง เรียนให้ลูกค้าทุกท่านทำการเปลี่ยนรหัสผ่านบัญชี WPML ของท่านด้วย เนื่องจากแฮคเกอร์นั้นเข้าถึงชื่อและบัญชีผู้ใช้งานทั้งหมดเรียบร้อยแล้ว ส่วนข้อมูลทางธุรกรรมนั้นไม่ได้รับผลกระทบ เนื่องจากข้อมูลเหล่านี้ไม่ได้เก็บไว้กับ WPML อยู่แล้วนั่นเอง

หากใครเป็นลูกค้าและใช้งานอยู่ ก็อย่าลืมเปลี่ยนรหัสผ่านกันด้วยนะคะ เพื่อความชัวร์อาจจะเปลี่ยนอีกทีหลังจากที่เขาทำการแก้ไขระบบเสร็จเรียบร้อยแล้วก็ได้