هذه الثغرة الأمنية في البرنامج المساعد لدعم الدردشة الحية الخاصة بـ WP تتيح للقراصنة اختراق موقعك!

يعد امتلاك موقع WordPress على الويب أمرًا ممتازًا ، ولكن في العالم الرقمي ، هناك دائمًا معركة مستمرة بين الأخيار والأشرار ... تبدو وكأنها حبكة فيلم ، أليس كذلك؟ لكن هذه حقيقة! يريد الأخيار - الباحثون والمطورون الأمنيون - الحفاظ على أمان موقع الويب الخاص بك. والأشرار - المتسللون ومرسلي البريد العشوائي ، يريدون استخدامه بشكل غير قانوني لأغراض ضارة.

دعونا نحفر أعمق ...

"هناك هجوم على موقع ويب كل 39 ثانية ويرتبط 98٪ من ثغرات WordPress بالمكونات الإضافية"

أثناء قراءتك لهذا ، يحاول مهاجم في مكان ما الوصول بشكل غير قانوني إلى موقع WordPress من خلال استغلال بعض نقاط الضعف في المكون الإضافي.

في أبريل 2019 ، اكتشف الأخيار ، المعروفين أيضًا باسم الباحثين الأمنيين ، ثغرة أمنية دائمة في البرمجة النصية عبر المواقع (XSS) فيالمكون الإضافي WP Live Chat Support .دفع هذا الأشرار ، المعروفين أيضًا باسم المتسللين ، إلى استغلال هذه الثغرة وإدخال نصوص ضارة على موقع ويب ، وبالتالي السيطرة على الموقع.المكون الإضافي WP Live Chat Support هو مكون إضافي لبرنامج WordPress ، وهو بديل مجاني لمكونات دعم الدردشة الحية الأخرى التي تعمل بكامل طاقتها والمخصصة للمشاركة والتحويلات.يحتوي المكون الإضافي على أكثر من60 ألف عملية تثبيت نشطة ، مما يعرض آلاف المستخدمين للخطر.

ما هي هذه الثغرة وكيف تؤثر عليك؟

سمحت الثغرة الأمنية في المكون الإضافي WP Live Chat Support للمهاجم بتنفيذ هجمات البرمجة النصية عبر المواقع (XSS) على موقع الويب المستهدف.

في هجوم XSS ، يقوم المخترق بحقن برنامج نصي أو رمز ضار على موقع الويب الخاص بك دون علمك. هذا الرمز ، إذن ، من المحتمل أن يجمع بيانات المستخدم (أه أوه!) ، يعدل محتوى موقع الويب الخاص بك أو يرسلها إلى صفحة ويب أخرى تم اختراقها. إذا تمكن المخترق من إدخال الكود الخاص به على جزء من موقع الويب الخاص بك ، والذي يتم تخزينه على الخادم (على سبيل المثال: تعليقات المستخدم) ، فسيصبح XSS ثابتًا .

"مستمر" ، لأنه عندما يقوم المستخدم بتحميل صفحة الويب المصابة ، ينفذ المتصفح هذه الشفرة الضارة وبالتالي يكمل الهجوم "

نعلم جميعًا أن محركات البحث ، وخاصة Google ، تأخذ أمان الموقع على محمل الجد. وبالتالي ، فإن أي ثغرة أمنية من هذا القبيل ستؤدي إلى تأثير سيء للغاية على مُحسنات محركات البحث الخاصة بك. ليس ذلك فحسب ، بل إنه يخلق أيضًا مشكلات ثقة بين المستخدمين. في أسوأ الحالات ، قد تفقد الوصول إلى موقع الويب الخاص بك أو يتم تعليقك من قبل مضيف الويب لوجود روابط غير مرغوب فيها وبرامج ضارة على موقعك.

السبب في أن هذه الثغرة الأمنية هي مشكلة كبيرة هو أنها لا تتطلب أي مصادقة ويمكن استغلالها من قبل المستخدمين الذين ليس لديهم حتى حساب على موقع الويب المصاب.مع عدم وجود متطلبات المصادقة ، يصبح من السهل أتمتة الهجوم للتأثير على عدد كبير من المواقع ، أكثر من 60.000 في هذه الحالة!

الهجوم

أصبح الهجوم ممكنًا بسبب "خطاف admin_init" غير المحمي. هذا هو المكان الذي يبدأ منه معظم المهاجمين هجماتهم وهو شائع جدًا عندما يتعلق الأمر بهجمات المكونات الإضافية لـ WordPress.

دعونا نفهم أولاً ما يعنيه الخطاف. الخطاف هو وسيلة لجزء من التعليمات البرمجية للتفاعل مع الآخر وتغييره. عادةً ما يستدعي WordPress هذا الخطاف عندما يزور شخص ما صفحة مسؤول الموقع. يمكن للمطورين استخدام هذا الخطاف لاستدعاء وظائف مختلفة في تلك المرحلة. المشكلة هي أن الخطاف لا يتطلب أي مصادقة ويمكن لأي شخص يزور عنوان URL للمسؤول استخدامه لتشغيل الكود. يستدعي خطاف مدير WP Live Chat إجراءً يسمى wplc_head_basic والذي لا يتحقق من امتيازات المستخدم ويقوم ببساطة بتحديث إعدادات البرنامج المساعد.

يمكن للمتسلل استخدام هذا الخلل لتحديث خيار JavaScript يسمى wplc_custom_js يتحكم في المحتوى الذي يعرضه المكون الإضافي عندما تظهر نافذة الدردشة المباشرة. الآن ، فكر في هذا - أداة الدردشة المباشرة تتبع المستخدم تقريبًا في كل صفحة يزورها على موقع الويب الخاص بك ، وبالتالي ، فإن استهداف المتسللين لصفحات متعددة باستخدام هذه الطريقة يعد بمثابة قطعة من الكعكة للمتسللين!

لذا ، كيف تحافظ على موقعك في مأمن من هذا؟

أصدر المطورون وراء المكون الإضافي WP Live Chat Support تصحيحًا يعتني بهذه الثغرة الأمنية .لذلك ، فإن أفضل حل لتجنب اختراق موقع الويب الخاص بك هو تحديثه إلى أحدث إصدار.

أي إصدار بعد 8.0.27 آمن ، ولكن حتى ذلك الحين نوصيك بالتحديث بشكل متكرر إلى أحدث إصدار.أحدث إصدار هو8.0.33 ومتاح هنا.

كيف تحافظ على موقعك آمنًا في المستقبل؟

الخطوة 1: احصل على الإضافات والقوالب من مصادر موثوقة فقط!

من المغري جدًا الحصول على هذا المكون الإضافي المميز مجانًا من موقع ويب أو ملف تورنت ، أليس كذلك؟ قد تفكر في الميزات المتميزة ومقدار الأموال التي قد توفرها ... تخطئ ... أم أنك ستفعل ذلك حقًا؟

عندما تقوم بتنزيل المكونات الإضافية من مصادر غير موثوقة ، فإنك تقبل أيضًا خطر إصابتها ببرامج ضارة أو فيروسات. على الرغم من أنك قد توفر بضعة دولارات على هذا المكون الإضافي المميز ، فقد ينتهي بك الأمر إلى إنفاق الآلاف في محاولة لاستعادة موقع الويب الخاص بك ، إذا كان ذلك ممكنًا على الإطلاق. لذلك ، قم دائمًا بتثبيت المكونات الإضافية من مصادر موثوقة ، ويفضل أن تكون الشركة المصادق عليها ، وتحقق مما إذا كان قد تم فحصها من قبل الخبراء وأعضاء المجتمع بحثًا عن أكواد ضارة.

الإضافات الموثوق بها في WordPress Market Place:

• ووردبريس
• كود كانيون
• PickPlug-ins
• سوق موجو
• MyThemeshop
• الموضوع
• ThemeForest

الخطوة 2: احصل على مكون أمان إضافي موثوق

يحتوي WordPress على نظام أمان فعال للغاية لجميع مواقعه على الويب. ومع ذلك ، يمكن لثغرة أمنية مثل تلك المذكورة أعلاه تجاوز جميع فحوصات الأمان وتشكل تهديدًا لموقعك. ومن ثم فإن المكون الإضافي للأمان أمر بالغ الأهمية.

عندما يتعلق الأمر بالمكونات الإضافية للأمان ، فمن الأفضل الحصول على مكون إضافي لا يقوم ببساطة بفحص موقع الويب الخاص بك بحثًا عن ثغرة أمنية بعد هجوم مشتبه به ، ولكنه مكون إضافي يضمن بشكل فعال أن موقعك آمن ومأمون طوال الوقت. أنت بحاجة إلى مكون إضافي يوفر حماية على مدار الساعة طوال أيام الأسبوع من خلال فحص البرامج الضارة وإزالة البرامج الضارة جنبًا إلى جنب مع جدار حماية WordPress وإدارة مواقع الويب ... الكل في واحد بسعر مناسب!

MalCare هو مكون إضافي تم تطويره مع وضع هذه الأشياء في الاعتبار بالضبط ويضمن أن دفاعات موقع الويب الخاص بك دائمًا.

هذا ما تقدمه MalCare ...

فحص البرامج الضارة:

يقوم MalCare بمسح موقع الويب الخاص بك باستخدام أكثر من 100 إشارة ويتجاوز التحقق من صحة التوقيع.يمكّنه هذا من تحديد البرامج الضارة بشكل أفضل من أي مكون إضافي آخر متوفر في السوق. يمكنه التعرف حتى على البرامج الضارة غير المعروفة التي لا يوجد توقيعها في أي قاعدة بيانات.

يتزامن MalCare مع موقعك بالكاملويتتبع أي تغييرات على مدار الساعة طوال أيام الأسبوع .يتم تتبع أي تغيير غير مصرح به إلى موقعه الدقيق وهذا يساعد في تحديد مصدر البرامج الضارة. حتى بعد تتبع موقعك على مدار الساعة طوال أيام الأسبوع ، لا توجدأحمال على الخادم الخاص بك حيثتقوم MalCare بمسح جميع الملفات الموجودة على الخادم الخاص بها. موقع الويب الخاص بك لن يتباطأ معنا!

يمكنك إعداد MalCare لإجراء عمليات المسح التلقائي اليومية عن طريق تحديد جدول زمني في الإعدادات. لديك أيضًا خيار إجراءعمليات مسح غير محدودة عند الطلب وقتما تشاء والحصول على إشعار على الفور إذا تم العثور على برامج ضارة.

نتفهم أيضًا كم هو مخيف ومزعج أن تتلقى إشعارًا يفيد بأن موقع الويب الخاص بك مصاب فقط لمعرفة أنه غير صحيح. MalCare يعتني بهذا أيضًا. إنه يحتوي على أقل الإيجابيات الخاطئة في المجال ... مما يعني أننا لا نخطرك إلا بعد إجراء فحص شامل.

إزالة البرمجيات الخبيثة:

مع إزالة البرامج الضارة من MalCare بنقرة واحدة ، سيكون موقعك خاليًا من البرامج الضارة في أقل من 60 ثانية!

لا يؤثر MalCare على موقع الويب الخاص بك عندما ينظفه من البرامج الضارة.في حالة إصابة ملف ، تقوم MalCareبإزالة الجزء المصاب فقط بذكاء وتترك بياناتك سليمة .لن يتعطل موقع الويب الخاص بك أبدًا حتى عندما تعمل MalCare بقوة في الخلفية لإزالة البرامج الضارة.

بمجرد أن يتعرف MalCare على برنامج ضار معين ويزيله ،لا يمكنه أبدًا إصابة موقعك مرة أخرى.أبدًا. نحن نضمن ذلك. تمامًا كما يعرف جسمك كيفية تجنب جدري الماء بمجرد إصابتك به ، تعرف MalCare كيفية حماية موقع الويب الخاص بك من هجوم مماثل وبرامج ضارة إذا حاولت العودة. لديك حصانة ضد الهجمات المستقبلية.

جدار حماية WordPress:

إذا كان بإمكانك إبقاء الأشرار بالخارج والسماح فقط لحركة الإنترنت الجيدة بالدخول ، ألن يكون ذلك رائعًا؟ يقوم جدار الحماية MalCare بهذا بالضبط وأكثر!

يتتبع جدار الحماية هذا حركة مرور الويب الواردة على مدار الساعة طوال أيام الأسبوع مقابل قائمة عناوين IP الضارة المعروفة في شبكته ويمنع عناوين IP الخطرة من الوصول إلى موقعك .إذا لم يتمكن المهاجم من الوصول إلى موقع الويب الخاص بك ، فسيصبح من الصعب عليه مهاجمته. حتى أنهيدعم الحجب الجغرافي لحماية إضافية.مع MalCare ، يمكنك أيضًا الحصول علىحماية تسجيل الدخول المستندة إلى CAPTCHA والتي تحمي موقع الويب الخاص بك من هجمات القوة الغاشمة.إذا اكتشف MalCare أي عمليات تسجيل دخول مشبوهة ، فسيتم إخطارك على الفور حتى تتمكن من اتخاذ الإجراء المناسب.

أيضًا ، لدينامصادقة ثنائية تضمن عدم وصول أي شخص إلى موقع الويب الخاص بك بدون كلمة مرور ورمز مناسبين.

إدارة الموقع:

من الضروري أن يكون لديك كل الإضافات الخاصة بك في أحدث إصدار. كما رأينا ، فإن أبسط حل للبقاء في مأمن من ثغرة WordPress Live Chat Support هو تحديثه بمجرد أن يقوم المطورون بإصدار التصحيح. ستعمل أدوات إدارة MalCare على تحديث جميع السمات والمكونات الإضافية عبر جميع مواقع الويب الخاصة بك .باستخداممدير WordPress الأساسي ، يمكنك تحديث التعديلات الأساسية وترقية WordPress والتحقق من إصدار PHP على مواقع الويب الخاصة بك.

أيضًا ، في سيناريو تريد فيه منح حق الوصول إلى عميل ولكن لا تريده أن يتدخل في أي من وظائف الموقع ، تتيح لك أداة إدارة MalCare تعيين أدوار مستخدم محددة وأذونات الوصول بحيث لا يمكن لأي شخص إجراء أي منها تغييرات غير مقصودة.يمكنك بسهولةإضافة أعضاء الفريق والعملاء إلى جميع مواقع الويب الخاصة بك.

علاوة على ذلك ، يمكنك إدارة مواقع غير محدودة مع MalCare.

علاوة على ذلك ، يمكنك مراقبة وقت تشغيل موقعك ، والحصول على تنبيهات وقت التعطل على Slackوأيضًا إجراءفحص أداءلموقع الويب الخاص بك. من خلالتقارير العملاء المتفوقة وعند الطلب والمجدولة ، يمكنك توفير الوقت من خلال تجميع جميع البيانات والحصول على الأفكار المركزية.

ويمكنك التحكم في كل ذلك من خلال لوحة تحكم مركزية!

عندما يتعلق الأمر بأمان الويب ، فلا ينبغي أن يكون هناك تنازلات. بعد كل شيء ، موقع الويب الخاص بك هو هويتك في العالم الرقمي. يجب الحرص على عدم تعرضه لأي ضرر بأي شكل من الأشكال ، سواء كان ذلك من البرامج الضارة أو الفيروسات أو الاختراق. سيحمي MalCare موقع الويب الخاص بك من جميع التهديدات الحالية والمستقبلية. احصل على أمان عالمي المستوى بسعر منخفض يصل إلى 8.25 دولارًا أمريكيًا في الشهر! جميع الميزات المذكورة أعلاه متاحة مجانًا مع أي خطة دون أي تكلفة إضافية.

تساعدك MalCare في الحفاظ على موقعك آمنًا من جميع التهديدات على مدار الساعة طوال أيام الأسبوع.