เมื่อช่องโหว่ Post SMTP กลายเป็นประตูหลังสู่ WordPress: วิธีรับมือและแนวทางป้องกันอย่างเป็นขั้นตอน

              WordPress ยังคงเป็นระบบจัดการเว็บไซต์ที่ได้รับความนิยมที่สุดในโลก แต่ความสะดวกที่มาพร้อมปลั๊กอินจำนวนมาก ก็มักทำให้เว็บไซต์ต้องเผชิญกับช่องโหว่ใหม่ ๆ แทบทุกเดือน ล่าสุดปลั๊กอินชื่อดัง Post SMTP ถูกตรวจพบช่องโหว่ร้ายแรงที่เปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้าควบคุมบัญชีผู้ดูแลระบบได้อย่างสมบูรณ์ แม้ผู้ใช้คนนั้นจะมีสิทธิ์เพียงระดับ “ผู้ใช้งานทั่วไป” ก็ตาม เหตุการณ์นี้ได้รับการยืนยันจากรายงานของ BleepingComputer ว่ามีการโจมตีเกิดขึ้นแล้วในโลกจริง โดยแฮ็กเกอร์อาศัยช่องโหว่เพื่อเข้าถึงอีเมลล็อกของระบบ และดึงลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบไปใช้ในการยึดเว็บไซต์ เพื่อให้เจ้าของเว็บไซต์และผู้ดูแลระบบป้องกันความเสี่ยงได้อย่างเป็นรูปธรรม บทความนี้ได้สรุปขั้นตอนแก้ไขและแนวปฏิบัติที่สามารถนำไปใช้ได้ทันที

✅ ช่องโหว่เกิดขึ้นได้อย่างไร?

               ปลั๊กอิน Post SMTP เวอร์ชัน 3.6.0 หรือต่ำกว่า เปิดให้ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถเข้าถึง อีเมลล็อก (Email Log) ซึ่งมักมีข้อมูลสำคัญ เช่น ลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ หากผู้โจมตีสามารถเข้าดูล็อกดังกล่าว จะสามารถกดลิงก์รีเซ็ตรหัสผ่าน และตั้งรหัสผ่านใหม่ให้กับบัญชี Admin ได้ทันที ซึ่งหมายถึง การยึดเว็บไซต์ทั้งระบบ ช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน 3.6.1 (29 ตุลาคม 2025) แต่มีเว็บไซต์จำนวนมากที่ยังไม่ได้อัปเดต ทำให้ตกเป็นเป้าหมายของการโจมตีในช่วงนี้

✅ แนวปฏิบัติแบบเป็นขั้นตอน: แก้ไข + ป้องกัน 

ขั้นตอนแก้ไขเร่งด่วนสำหรับช่องโหว่ Post SMTP

1) ตรวจสอบว่าเว็บไซต์ใช้ปลั๊กอิน Post SMTP หรือไม่

   -  ไปที่  WordPress Dashboard → Plugins → Installed Plugins → ค้นหา “Post SMTP”

   - ตรวจสอบเวอร์ชันว่าเป็น

• 3.6.0 หรือต่ำกว่า → เสี่ยง
• 3.6.1 ขึ้นไป → ได้รับการแก้ไขแล้ว

2) อัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดทันที

    ก่อนทำการอัปเดต แนะนำให้ทำ Backup ไว้ก่อนทุกครั้ง แล้วจึงอัปเดตไปยังเวอร์ชัน 3.6.1 หรือสูงกว่า

3) หากยังไม่สามารถอัปเดตได้ ให้ “ปิดการใช้งานชั่วคราว”

    เพื่อหยุดความเสี่ยงในทันที ควรปิดปลั๊กอินจนกว่าจะพร้อมอัปเดต

4) ตรวจสอบอีเมลล็อก (Email Log) และกิจกรรมที่ผิดปกติ

    มองหาสัญญาณเช่น

• ลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ

• อีเมลที่ส่งโดยไม่ได้ตั้งใจ

• บัญชีผู้ใช้ใหม่ที่ไม่ควรมี

5) เปลี่ยนรหัสผ่านผู้ดูแลระบบ

    -  รีเซ็ตให้กับผู้ใช้ที่มีสิทธิ์สูงทุกบัญชี
     - ต้องใช้รหัสผ่านที่ยาว แข็งแรง และไม่ใช้ซ้ำกับที่อื่น

6) ตรวจสอบสิทธิ์ผู้ใช้งานในระบบ

• ลดจำนวนผู้ใช้ที่เป็น Administrator ให้เหลือเท่าที่จำเป็น

• ลบบัญชีที่ไม่ได้ใช้งาน

• ใช้ “ชื่อผู้ใช้” ที่ไม่สามารถเดาได้ง่าย

7) อัปเดต WordPress Core, ธีม และปลั๊กอินทั้งหมด

     การปิดช่องโหว่เพียงรายการเดียวไม่เพียงพอ การอัปเดตทุกส่วนช่วยลดความเสี่ยงอื่น ๆ ที่แฝงอยู่

8) เปิดใช้งานระบบสำรองข้อมูล (Backup)

• ตั้งให้สำรองอัตโนมัติ

• ทดสอบว่ากู้คืนได้จริง (Critical!)

9) เสริมการป้องกันด้วยปลั๊กอิน Security เช่น

• ตรวจจับพฤติกรรมล็อกอินผิดปกติ

• แจ้งเตือนเมื่อไฟล์ถูกแก้ไข

• เปิด WAF (Web Application Firewall)

10) แจ้งเตือนผู้ใช้งานในองค์กร ควรสื่อสารให้ผู้เกี่ยวข้องทราบว่า

• เกิดเหตุช่องโหว่

• ดำเนินการแก้ไขแล้ว

• ผู้ใช้ควรเปลี่ยนรหัสผ่านเพื่อเพิ่มความปลอดภัย

✅ แหล่งอ้างอิง

1. BleepingComputer – Hackers exploit WordPress plugin Post SMTP to hijack admin accounts
   https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-post-smtp-to-hijack-admin-accounts/

2. Post SMTP Plugin – Changelog (WordPress.org)
   https://wordpress.org/plugins/post-smtp/

3. WordPress Security Team – Recommended Practices
   https://wordpress.org/documentation/article/security/

4. OWASP Cheat Sheet – WordPress Security
   https://cheatsheetseries.owasp.org/