สัปดาห์ที่ผ่านมา WordPress แอบออกแพทช์เวอร์ชัน 4.7.2 อุดช่องโหว่ Zero-day ได้แก่ Content Injection และ Privilege Escalation แบบเงียบๆ โดยให้เหตุผลว่าเป็นช่องโหว่อันตรายที่ไม่ควรเผยให้สาธารณะรับทราบ เพราะแฮ็คเกอร์อาจนำไปใช้โจมตีเว็บไซต์ WordPress กว่าล้านเว็บทั่วโลกได้ และวันนี้ ความกลัวนั้นเป็นจริงแล้ว
WordPress ตัดสินใจเปิดเผยข้อมูลช่องโหว่ล่าช้าไป 1 สัปดาห์ ระหว่างนั้นได้ประสานงานกับ Sucuri ผู้ให้บริการโซลูชัน Web Security ชื่อดัง ผู้ค้นพบช่องโหว่ดังกล่าว เพื่อดำเนินการออกแพทช์สำหรับอุดช่องโหว่ และให้มั่นใจว่าผู้ใช้บริการจะอัปเดตแพทช์ได้ทันท่วงทีก่อนที่แฮ็คเกอร์โจมตี
อย่างไรก็ตาม เหมือนกับแผนดังกล่าวจะไม่สัมฤทธิ์ผล เนื่องจากยังมีผู้ดูแลระบบ WordPress หลายเว็บไซต์เพิกเฉยต่อการอัปเดตแพทช์ ส่งผลให้ในแต่ละวันมีเว็บไซต์ WordPress ถูกทำ Web Defacement (โจมตีเพื่อเปลี่ยนหน้าเว็บ) มากถึง 3,000 เว็บต่อวัน อ้างอิงจากสถิติของ Sucuri
นักวิจัยจาก Sucuri ระบุว่า พวกเขาพบว่าแฮ็คเกอร์เริ่มทำการโจมตีเว็บไซต์ WordPress ทั่วโลกเพียงแค่ไม่เกิน 48 ชั่วโมงหลังช่องโหว่ถูกเปิดเผย จนถึงตอนนี้ตรวจพบแคมเปญการโจมตีแล้วไม่ต่ำกว่า 4 แคมเปญ หนึ่งในนั้นสามารถเปลี่ยนหน้าเว็บ WordPress กว่า 66,000 เว็บไซต์ โดยสอดแทรกคำว่า “by w4I3XzY3” ลงไป ในขณะที่อีก 3 แคมเปญที่เหลือทำการเปลี่ยนหน้าเว็บรวมแล้วประมาณ 1,000 กว่าเว็บไซต์ นอกจากนี้ยังพบแฮ็คเกอร์บางส่วนนำช่องโหว่ดังกล่าวไปทำแคมเปญ SEO มืด หรือที่รู้จักกันในนาม Search Engine Poisoning เพื่อแพร่กระจายสแปม และปั่นอันดับเว็บไซต์ของตนให้สูงยิ่งขึ้น
WordPress และ Sucuri แนะนำให้ผู้ใช้ WordPress เวอร์ชัน 4.7.0 และ 4.7.1 ที่ได้รับผลกระทบจากช่องโหว่รีปอัปเดตแพทช์เป็นเวอร์ชัน 4.7.2 โดยเร็ว