แฮ็กเกอร์กำลังใช้ไดเรกทอรี mu-plugins (“Must-Use Plugins”) ของ WordPress เพื่อรันโค้ดอันตรายบนทุกหน้าของเว็บไซต์โดยไม่ให้ถูกตรวจพบ
นักวิจัยด้านความปลอดภัยจาก Sucuri พบเทคนิคนี้ครั้งแรกในเดือนกุมภาพันธ์ 2025 และปัจจุบันมีแนวโน้มเพิ่มขึ้นเรื่อย ๆ โดยกลุ่มแฮ็กเกอร์ใช้โฟลเดอร์นี้เพื่อรันมัลแวร์สามรูปแบบที่แตกต่างกัน
ทำไม mu-plugins ถึงเป็นเป้าหมายของแฮ็กเกอร์?
Puja Srivastava นักวิเคราะห์ด้านความปลอดภัยของ Sucuri อธิบายว่า
“จำนวนการโจมตีที่เกิดขึ้นใน mu-plugins มีมากขึ้นเรื่อย ๆ ซึ่งแสดงให้เห็นว่าแฮ็กเกอร์จงใจใช้ไดเรกทอรีนี้เป็นช่องทางฝังมัลแวร์เพื่อให้คงอยู่ในระบบ”
MU-Plugins คืออะไร และทำไมถึงเสี่ยง?
Must-Use Plugins (mu-plugins) เป็นปลั๊กอินพิเศษของ WordPress ที่ทำงานโดยอัตโนมัติทุกครั้งที่มีการโหลดหน้าเว็บ โดยไม่ต้องเปิดใช้งานผ่านหน้าแอดมิน
โค้ดเหล่านี้ถูกเก็บไว้ในโฟลเดอร์ wp-content/mu-plugins/ และจะรันโดยอัตโนมัติเมื่อมีการโหลดเว็บไซต์ ปกติแล้ว mu-plugins ถูกใช้เพื่อวัตถุประสงค์ที่ถูกต้อง เช่น
- กำหนดกฎความปลอดภัยที่มีผลทั่วทั้งเว็บไซต์
- ปรับแต่งประสิทธิภาพของเว็บไซต์
- เปลี่ยนแปลงตัวแปรหรือโค้ดแบบไดนามิก
อย่างไรก็ตาม จุดอ่อนของ mu-plugins คือ
- ปลั๊กอินเหล่านี้ไม่ได้แสดงในรายการปลั๊กอินปกติ เว้นแต่จะเปิดตัวกรอง “Must-Use”
- สามารถถูกใช้เพื่อรันโค้ดอันตรายได้ตลอดเวลา โดยไม่ต้องได้รับอนุญาตจากแอดมิน
รูปแบบของมัลแวร์ที่พบใน MU-Plugins
นักวิจัยจาก Sucuri พบ มัลแวร์ 3 ประเภท ที่แฮ็กเกอร์ซ่อนอยู่ในโฟลเดอร์ mu-plugins โดยส่วนใหญ่เป็นการโจมตีที่เกี่ยวข้องกับผลประโยชน์ทางการเงิน
1️⃣ redirect.php
🔹 หน้าที่: เปลี่ยนเส้นทางผู้เยี่ยมชม (ยกเว้นบอทและแอดมินที่ล็อกอิน) ไปยังเว็บไซต์อันตราย updatesnow[.]net ซึ่งหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์โดยแสดงข้อความอัปเดตเบราว์เซอร์ปลอม
2️⃣ index.php
🔹 หน้าที่: ทำงานเป็น Webshell ซึ่งเป็นช่องทางลับที่ช่วยให้แฮ็กเกอร์สามารถส่งและรันโค้ด PHP จาก GitHub ได้โดยตรง ทำให้สามารถขโมยข้อมูล หรือควบคุมเซิร์ฟเวอร์ได้จากระยะไกล
3️⃣ custom-js-loader.php
🔹 หน้าที่:
- แทนที่รูปภาพทั้งหมดบนเว็บไซต์ด้วย เนื้อหาที่ไม่เหมาะสม
- ดักจับลิงก์ออกทั้งหมด และเปิดป๊อปอัปโฆษณาที่ไม่น่าไว้ใจแทน
⚠ Webshell อันตรายที่สุด เพราะแฮ็กเกอร์สามารถรันคำสั่งบนเซิร์ฟเวอร์โดยตรง ขโมยข้อมูล หรือโจมตีสมาชิกและผู้เยี่ยมชมเว็บไซต์ได้ ในขณะที่อีกสองมัลแวร์ที่เหลือ อาจส่งผลเสียต่อชื่อเสียงของเว็บไซต์และอันดับ SEO ได้
วิธีป้องกันเว็บไซต์ WordPress จากการโจมตีผ่าน MU-Plugins
ถึงแม้ Sucuri ยังไม่สามารถระบุวิธีที่แฮ็กเกอร์ใช้เจาะเข้าระบบได้แน่ชัด แต่คาดว่าอาจเกิดจาก
- ช่องโหว่ของปลั๊กอินและธีม
- การใช้รหัสผ่านของแอดมินที่อ่อนแอ
แนะนำให้ผู้ดูแลเว็บไซต์ WordPress ป้องกันตัวเองด้วยวิธีต่อไปนี้:
✅ อัปเดตปลั๊กอินและธีม ให้เป็นเวอร์ชันล่าสุดเสมอ
✅ ลบหรือปิดการใช้งานปลั๊กอินที่ไม่จำเป็น
✅ ใช้รหัสผ่านที่รัดกุม และเปิดใช้งาน การยืนยันตัวตนแบบหลายขั้นตอน (MFA)
✅ ตรวจสอบไดเรกทอรี wp-content/mu-plugins เป็นประจำ หากพบไฟล์ที่ไม่รู้จัก ควรตรวจสอบว่าเป็นโค้ดอันตรายหรือไม่
สรุป
แฮ็กเกอร์กำลังใช้ MU-Plugins ของ WordPress เป็นช่องทางแอบซ่อนโค้ดอันตรายโดยไม่ถูกตรวจพบ เทคนิคนี้เริ่มเป็นที่นิยมมากขึ้นและอาจทำให้เว็บไซต์ตกอยู่ในความเสี่ยงสูง
เจ้าของเว็บไซต์ควรตรวจสอบความปลอดภัยอย่างสม่ำเสมอ และอัปเดตปลั๊กอินเพื่อป้องกันการถูกโจมตี