News Plugins

พบช่องโหว่ในปลั๊กอินสร้างฟอร์ม Fluent Forms

ใครใช้ปลั๊กอิน Fluent Forms อย่าลืมอัพเดต หลังพบช่องโหว่โจมตีไปที่ฐานข้อมูล SQL ใน Fluent Forms ซึ่งส่งผลกระทบต่อเว็บไซต์ระบบ WordPress มากกว่า 300,000 เว็บ หลังปล่อยให้ Hacker สามารถเข้าถึงฐานข้อมูลได้

โพสนี้ยาว มีหัวข้ออะไรบ้าง แสดงหัวข้อทั้งหมด

Fluent Forms คืออะไร

ในยุคที่การทำเว็บไซต์เป็นเรื่องง่าย การทำฟอร์มบนเว็บไซต์ก็เป็นสิ่งที่สามารถทำได้ง่ายเช่นกัน มีหลายปลั๊กอินที่ช่วยให้เราสร้างฟอร์มได้อย่างรวดเร็วและง่ายดาย หนึ่งในปลั๊กอินสร้างฟอร์มที่ได้รับความนิยมมากที่สุดคือ Fluent Forms

ปลั๊กอิน Fluent Forms คือปลั๊กอินช่วยสร้างฟอร์ม มีทั้งเวอร์ชั่นฟรี และแบบ Premium (เสียค่าใช้จ่าย) เพื่อได้ฟีเจอร์ที่ระดับสูงขึ้น มีอินเทอร์เฟช แบบ Drag and Drop ทำให้การสร้างแบบฟอร์มต่างๆ แบบกำหนดเองเป็นเรื่องง่าย ดังนั้นผู้ใช้จึงไม่จำเป็นต้องเรียนรู้วิธีการเขียนโค้ดเลย สามารถใช้ปลั๊กอินเพื่อสร้างแบบฟอร์ม Input ทุกประเภท เรียกว่าเป็นตัวเลือกอันดับต้น ๆ เลยก็ว่าได้

ผู้ใช้สามารถใช้ประโยชน์จากปลั๊กอินตัวนี้ เพื่อสร้างแบบฟอร์มสมัครสมาชิก แบบฟอร์มการชำระเงิน และแบบฟอร์มสำหรับสร้างแบบทดสอบ นอกจากนี้ยังทำงานร่วมกับแอปพลิเคชันบุคคลที่สาม เช่น MailChimp, Zapier และ Slack อีกด้วย

คุณสมบัติที่น่าสนใจ

– สร้างแบบฟอร์มได้รวดเร็ว ไม่จำเป็นต้องมีการ Coding เริ่มสร้างแบบฟอร์มด้วยตัวสร้างแบบ Drag and Drop และมีเทมเพลตที่สร้างไว้ล่วงหน้ามากมายให้เลือกใช้

Conversational Forms สร้างแบบฟอร์มคล้ายๆ การสนทนาถามตอบ แบบฟอร์มการสนทนาเป็นวิธีที่แปลกใหม่ที่ช่วยเปลี่ยนแบบฟอร์มที่น่าเบื่อของคุณให้กลายเป็นแบบฟอร์มโต้ตอบที่มีชีวิตชีวามากขึ้น ป้องกันการละทิ้งแบบฟอร์มจากผู้ใช้งาน

– สนับสนุนอุปกรณ์แบบ Responsive

– สามารถกำหนดเงื่อนไขต่างๆ Conditional logic แสดงและซ่อนช่องเฉพาะตามพฤติกรรมของผู้ใช้ เพื่อจะได้ไม่ต้องกังวลกับช่องที่ไม่จำเป็นที่ไม่ต้องกรอก

  • แปลงข้อมูลเป็น PDF สร้าง PDF จากรายการที่ส่ง จากนั้นส่งออกข้อมูลเป็น PDF หรือส่งไฟล์เป็นไฟล์แนบในอีเมล
  • ปกป้องสแปมอย่างปลอดภัย สามารถใช้ Akismet, reCAPTCHA, Honeypot และอีกมากมาย
  • สามารถสร้างแบบฟอร์มชำระเงินและการบริจาค Fluent Forms มีโซลูชันที่มีประสิทธิภาพสำหรับการชำระเงินด้วย Stripe, PayPal, คูปอง และการคำนวณแบบไดนามิก

  • มีระบบส่งการแจ้งเตือนโดยทันที เชื่อมต่อผู้ใช้ของคุณด้วยการแจ้งเตือนทันทีทางอีเมลและ SMS ทุกครั้งที่สมัครหรือส่งแบบฟอร์ม
  • Quiz Module สามารถสร้างแบบทดสอบมีความสนุกสนานและทันสมัย แบบสำรวจ การให้คะแนนล่วงหน้า จนบรรลุเป้าหมายของคุณ
  • สร้างฟอร์มแบบ Multi-step Forms ตัดแบบฟอร์มยาวๆ ออกเป็นหลายหน้า ทำให้ผู้ใช้รู้สึกสบายใจ ไม่น่าเบื่อที่จะต้องมากรอกแบบฟอร์มยาวๆ ในหน้าเดียว

พบช่องโหว่อะไร ใน Fluent Forms

ปลั๊กอิน Fluent Forms ตัวสร้างฟอร์มยอดนิยมสำหรับ WordPress ซึ่งมีการติดตั้งมากกว่า 300,000 ครั้ง ถูกค้นพบว่ามีช่องโหว่ SQL Injection ที่อาจทำให้แฮกเกอร์เข้าถึงฐานข้อมูลได้ ช่องโหว่นี้ได้รับการแก้ไขในเดือนมิถุนายน แต่เพิ่งประกาศโดย “National Vulnerability Database” เมื่อวันที่ 3 พฤศจิกายน 2023 ที่ผ่านมา

ปกติปลั๊กอินทุกตัวอนุญาตให้ผู้เยี่ยมชมไซต์ป้อนข้อมูลลงในฐานข้อมูลโดยตรง โดยเฉพาะแบบฟอร์มติดต่อทั้งหลาย จะต้องประมวลผลอินพุตเหล่านั้น ซึ่งไม่ให้แฮกเกอร์ป้อนสคริปต์หรือคำสั่ง SQL ที่อาจเป็นอันตรายต่อผู้ใช้ ซึ่งอาจทำให้เกิดการเปลี่ยนแปลงที่ไม่คาดคิดได้

ปลั๊กอิน Fluent Forms เปิดช่องโหว่นี้ในการแทรก SQL ได้ ซึ่งถ้าหาก Hacker แฮ็คสำเร็จก็เรียบร้อยโรงเรียนจีน

SQL Injection Vulnerability

SQL หมายถึง Structured Query Language เป็นภาษาที่ใช้สำหรับการโต้ตอบกับฐานข้อมูล

SQL query คือคำสั่งสำหรับการเข้าถึง การเปลี่ยนแปลง หรือการจัดระเบียบข้อมูลที่จัดเก็บไว้ในฐานข้อมูล

Database ฐานข้อมูลคือสิ่งที่ประกอบด้วยทุกสิ่งที่ใช้ในการสร้างเว็บไซต์ WordPress เช่น รหัสผ่าน เนื้อหา ธีม และปลั๊กอิน ซึ่งฐานข้อมูลเปรียบเสมือนหัวใจและสมองของเว็บไซต์ระบบ WordPress

ด้วยเหตุนี้…ความสามารถในการ “Query” ฐานข้อมูลโดยพลการจึงเป็นระดับการเข้าถึงพิเศษที่ผู้ใช้หรือซอฟต์แวร์ที่ไม่ได้รับอนุญาตจากภายนอก ไม่ควรสามารถเข้าถึงได้โดยเด็ดขาด

การโจมตีแบบ SQL injection นี้ เมื่อผู้โจมตีสามารถใช้อินเทอร์เฟซอินพุตที่ถูกต้อง เพื่อแทรกคำสั่ง SQL ย่อมสามารถเข้าถึง Database ของเว็บได้นั่นเอง

ปัญหานี้ส่งผลต่อปลั๊กอิน Fluent Forms ถึงเวอร์ชั่น 4.3.25 และช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน 5.0.0 แม้ว่าช่องโหว่จะได้รับการแก้ไขแล้วในเวอร์ชัน 5.0.0 แต่กลับไม่มีข้อบ่งชี้ถึงการแก้ไขด้านความปลอดภัยใน Changelog ของเวอร์ชั่น 5.0.0 แต่อย่างใด เรียกว่าเก็บเป็นความลับกันเลยทีเดียว

บทสรุป

แม้จะเคยตรวจพบช่องโหว่ แต่ก็ได้รับการแก้ไขแล้ว Fluent Forms ยังคงเป็นปลั๊กอินสร้างฟอร์ม WordPress ที่มีคุณสมบัติครบครัน ใช้งานง่าย และมีประสิทธิภาพสูง เหมาะสำหรับผู้ที่ต้องการสร้างฟอร์มบนเว็บไซต์ทั้งมือใหม่และผู้ใช้ระดับสูง ไม่ว่าจะเป็นฟอร์มติดต่อสอบถาม ฟอร์มสมัครสมาชิก ฟอร์มสั่งซื้อสินค้า หรือฟอร์มอื่นๆ อีกมากมาย ถือว่าเป็นปลั๊กอินที่น่าใช้งานเป็นอย่างยิ่ง

อ้างอิง : Patchstack, National Vulnerability Database

Related Posts

Back To Top
Search