Diese Schwachstelle in Ihrem WP-Plugin für den Live-Chat-Support ermöglicht es Hackern, Ihre Website zu kompromittieren!

Eine WordPress-Website zu haben ist ausgezeichnet, aber in der digitalen Welt gibt es immer einen andauernden Kampf zwischen den Guten und den Bösen … klingt wie eine Filmhandlung, nicht wahr? Aber das ist eine Realität! Die Guten – Sicherheitsforscher und Entwickler – wollen Ihre Website sicher halten. Und die bösen Jungs – die Hacker und Spammer – wollen es illegal für böswillige Zwecke verwenden.

Lass uns tiefer graben…

„Es gibt alle 39 Sekunden einen Angriff auf eine Website und 98 % der WordPress-Schwachstellen hängen mit Plugins zusammen“

Während Sie dies lesen, versucht irgendwo ein Angreifer, illegal auf eine WordPress-Website zuzugreifen, indem er die Schwachstelle eines Plugins ausnutzt.

Im April 2019 entdeckten die Guten, alias Sicherheitsforscher, eine persistente Cross-Site-Scripting (XSS)-Schwachstelle imPlugin WP Live Chat Support .Dies gab den Bösewichten, auch bekannt als Hacker, den Tipp, diese Schwachstelle auszunutzen und bösartige Skripte auf einer Website einzuschleusen, wodurch die Kontrolle über die Website übernommen wurde.Das WP Live Chat Support-Plugin ist ein WordPress-Plugin, das eine kostenlose Alternative zu anderen voll funktionsfähigen Live-Chat-Support-Plugins ist, die für Engagement und Conversions gedacht sind.Das Plugin hatte mehr als60.000 aktive Installationen , was Tausende von Benutzern gefährdete.

Was war diese Schwachstelle und wie wirkt sie sich auf Sie aus?

Die Schwachstelle im Plugin WP Live Chat Support ermöglichte es einem Angreifer, Cross-Site-Scripting (XSS)-Angriffe auf die Zielwebsite durchzuführen.

Bei einem XSS-Angriff fügt der Hacker ohne Ihr Wissen ein schädliches Skript oder Code auf Ihrer Website ein. Dieser Code sammelt dann möglicherweise Benutzerdaten (oh-oh!), modifiziert Ihre Website-Inhalte oder sendet sie an eine andere kompromittierte Webseite. Wenn es dem Hacker gelingt, seinen Code in den Teil Ihrer Website einzuschleusen, der auf dem Server gespeichert ist (z. B. Benutzerkommentare), wird er zu Persistent XSS .

„Persistent“, denn immer wenn ein Benutzer die infizierte Webseite lädt, führt der Browser diesen bösartigen Code aus und vervollständigt so den Angriff.“

Wir alle kennen Suchmaschinen, insbesondere Google nimmt die Sicherheit von Websites sehr ernst. Und daher wird jede solche Schwachstelle zu sehr negativen Auswirkungen auf Ihre SEO führen. Nicht nur das, es schafft auch Vertrauensprobleme bei Ihren Benutzern. In schlimmeren Fällen könnten Sie sogar den Zugriff auf Ihre Website verlieren oder von Ihrem Webhost gesperrt werden, weil Sie Spam-Links und Malware auf Ihrer Website haben.

Der Grund, warum diese Schwachstelle eine große Sache ist, ist, dass sie keine Authentifizierung erfordert und von Benutzern ausgenutzt werden kann, die nicht einmal ein Konto auf der infizierten Website haben.Da keine Authentifizierung erforderlich ist, wird es einfach, den Angriff zu automatisieren, um eine große Anzahl von Websites zu betreffen, in diesem Fall mehr als 60.000!

Der Angriff

Der Angriff wird durch einen ungeschützten 'admin_init Hook' ermöglicht. Von hier aus starten die meisten Angreifer ihre Angriffe, was bei Angriffen auf WordPress-Plugins recht häufig vorkommt.

Lassen Sie uns zuerst verstehen, was ein Haken bedeutet. Ein Hook ist ein Mittel, mit dem ein Codestück mit einem anderen interagieren und es ändern kann. WordPress ruft diesen Hook normalerweise auf, wenn jemand die Admin-Seite der Website besucht. Dieser Hook kann von Entwicklern verwendet werden, um an dieser Stelle verschiedene Funktionen aufzurufen. Das Problem ist, dass der Hook keine Authentifizierung erfordert und jeder, der die Admin-URL besucht, sie verwenden kann, um den Code auszuführen. Der Admin-Hook von WP Live Chat ruft eine Aktion namens wplc_head_basic auf, die die Berechtigungen des Benutzers nicht überprüft und einfach die Plugin-Einstellungen aktualisiert.

Ein Hacker kann diesen Fehler nutzen, um eine JavaScript-Option namens wplc_custom_js zu aktualisieren, die den Inhalt steuert, den das Plugin anzeigt, wenn das Live-Chat-Fenster erscheint. Denken Sie jetzt daran – das Live-Chat-Widget folgt dem Benutzer auf fast jeder Seite, die er/sie auf Ihrer Website besucht, und daher ist es für die Hacker ein Kinderspiel, mit dieser Methode mehrere Seiten anzugreifen!

Also, wie schützen Sie Ihre Website davor?

Die Entwickler hinter dem Plugin WP Live Chat Support haben einen Patch veröffentlicht, der sich um diese Schwachstelle kümmert .Daher ist die beste Lösung, um zu verhindern, dass Ihre Website gehackt wird, sie auf die neueste Version zu aktualisieren.

Jede Version nach 8.0.27 ist sicher , aber selbst dann würden wir Ihnen empfehlen, regelmäßig auf die neueste Version zu aktualisieren.Die neueste Version ist8.0.33 und ist hierverfügbar.

Wie halten Sie Ihre Website in Zukunft sicher?

Schritt 1: Holen Sie sich die Plugins und Themes nur aus vertrauenswürdigen Quellen!

Es ist ziemlich verlockend, dieses Premium-Plugin kostenlos von einer Website oder einer Torrent-Datei zu bekommen, nicht wahr? Sie denken vielleicht über die Premium-Funktionen nach und wie viel Geld Sie möglicherweise sparen werden … ähm … oder wirklich?

Wenn Sie Plugins aus unzuverlässigen Quellen herunterladen, akzeptieren Sie auch das Risiko, dass sie mit Malware oder Viren infiziert werden. Während Sie bei diesem Premium-Plugin vielleicht ein paar Dollar sparen, könnten Sie am Ende Tausende dafür ausgeben, Ihre Website wiederherzustellen, wenn das überhaupt möglich wäre. Installieren Sie daher Plugins immer aus vertrauenswürdigen Quellen, vorzugsweise von authentifizierten Unternehmen, und überprüfen Sie, ob sie von Experten und Community-Mitgliedern auf schädliche Codes überprüft wurden.

Vertrauenswürdige WordPress-Marktplatz-Plugins:

• WordPress
• CodeCanyon
• PickPlug-Ins
• Mojo Marktplatz
• Mein Themenshop
• Themaeisle
• Themenwald

Schritt 2: Holen Sie sich ein zuverlässiges Sicherheits-Plugin

WordPress verfügt über ein ziemlich effektives Sicherheitssystem für alle seine Websites. Eine Schwachstelle wie die oben erwähnte kann jedoch alle Sicherheitsprüfungen umgehen und eine Bedrohung für Ihre Website darstellen. Daher ist ein Sicherheits-Plugin von entscheidender Bedeutung.

Wenn es um Sicherheits-Plugins geht, ist es vorzuziehen, ein Plugin zu erwerben, das Ihre Website nicht einfach nach einem vermuteten Angriff auf eine Schwachstelle scannt, sondern ein Plugin, das aktiv dafür sorgt, dass Ihre Website jederzeit sicher und geschützt ist. Sie brauchen ein Plugin, das 24/7-Schutz mit Malware-Scanning, Malware-Entfernung zusammen mit WordPress-Firewall und Website-Management bietet … alles in einem, zu einem erschwinglichen Preis!

MalCare ist ein Plugin, das genau für diese Dinge entwickelt wurde und dafür sorgt, dass die Abwehr Ihrer Website immer aktiv ist.

Folgendes bietet MalCare…

Malware-Scan:

MalCare scannt Ihre Website mit über 100 Signalen und geht über die Überprüfung von Signaturen hinaus.Dadurch kann es Malware besser identifizieren als jedes andere auf dem Markt erhältliche Plugin. Es kann sogar unbekannte Malware identifizieren, deren Signatur in keiner Datenbank vorhanden ist.

MalCare synchronisiertrund um die Uhr mit Ihrer gesamten Website und verfolgt alle Änderungen .Jede nicht autorisierte Änderung wird bis zu ihrem genauen Standort verfolgt, was bei der Identifizierung der Quelle der Malware hilft. Selbst nachdem Sie Ihre Website rund um die Uhr verfolgt haben, gibt eskeine Lasten auf Ihrem Server , daMalCare alle Dateien auf seinem eigenen Server scannt. Ihre Website wird mit uns niemals langsamer!

Sie können MalCare so einrichten, dass tägliche automatische Scans durchgeführt werden, indem Sie einfach einen Zeitplan in den Einstellungen angeben. Sie haben auch die Möglichkeit, unbegrenzte On-Demand-Scans durchzuführen, wann immer Sie möchten, und werden sofort benachrichtigt, wenn Malware gefunden wird.

Wir verstehen auch, wie beängstigend und irritierend es ist, eine Benachrichtigung zu erhalten, dass Ihre Website infiziert ist, nur um herauszufinden, dass dies nicht der Fall ist. Auch darum kümmert sich MalCare. Es hat die wenigsten Fehlalarme der Branche … was bedeutet, dass wir Sie erst nach einer gründlichen Prüfung benachrichtigen.

Virus-Entfernung:

Mit der Ein-Klick-Malware-Entfernung von MalCare ist Ihre Website in weniger als 60 SekundenMalware-frei!

MalCarewirkt sich nicht auf Ihre Website aus , wenn sie von Malware befreit wird.Wenn eine Datei infiziert wurde,entfernt MalCare auf intelligente Weise nur den infizierten Teil und lässt Ihre Daten intakt .Ihre Website wird niemals zusammenbrechen, selbst wenn MalCare im Backend fieberhaft daran arbeitet, Malware zu entfernen.

Sobald MalCare eine bestimmte Malware identifiziert und entfernt hat,kann sie Ihre Website nie wieder infizieren.Immer. Wir garantieren es. So wie Ihr Körper weiß, wie er Windpocken vermeiden kann, wenn Sie sich einmal eingefangen haben, weiß MalCare, wie Sie Ihre Website vor einem ähnlichen Angriff und Malware schützen können, wenn sie versucht, zurückzukommen. Sie sind immun gegen zukünftige Angriffe.

WordPress-Firewall:

Wenn Sie die bösen Jungs draußen halten und nur den guten Internetverkehr hereinlassen könnten, wäre das nicht großartig? Die MalCare-Firewall tut genau dies und mehr!

Diese Firewall verfolgt rund um die Uhr Ihren eingehenden Internetverkehr anhand einer Liste bekannter bösartiger IP-Adressen in ihrem Netzwerk und blockiert den Zugriff gefährlicher IPs auf Ihre Website .Wenn ein Angreifer nicht auf Ihre Website zugreifen kann, wird es für ihn schwierig, sie anzugreifen. Esunterstützt sogar Geoblocking für zusätzlichen Schutz.Mit MalCare erhalten Sie außerdemeinen CAPTCHA-basierten Anmeldeschutz , der Ihre Website vor Brute-Force-Angriffen schützt.Wenn MalCare verdächtige Anmeldungen erkennt, werden Sie sofort benachrichtigt, damit Sie entsprechende Maßnahmen ergreifen können.

Außerdem haben wireine Zwei-Faktor-Authentifizierung , die sicherstellt, dass niemand ohne ein richtiges Passwort und einen richtigen Code auf Ihre Website zugreifen kann.

Website-Verwaltung:

Es ist wichtig, alle Ihre Plugins in der neuesten Version zu haben. Wie wir gesehen haben, bestand die einfachste Lösung, um vor der Schwachstelle des WordPress Live Chat Support-Plugins sicher zu sein, darin, es zu aktualisieren, sobald die Entwickler den Patch veröffentlicht haben. Die Verwaltungstools von MalCare aktualisieren alle Ihre Designs und Plugins auf allen Ihren Websites .Mit demWordPress Core Manager können Sie Core-Modifikationen aktualisieren, WordPress aktualisieren und die PHP-Version auf Ihren Websites überprüfen.

Auch in einem Szenario, in dem Sie einem Client Zugriff gewähren möchten, aber nicht möchten, dass er sich in die Funktionalität der Website einmischt, können Sie mit dem Verwaltungstool von MalCare bestimmte Benutzerrollen und Zugriffsberechtigungen zuweisen , sodass niemand diese vornehmen kann unbeabsichtigte Änderungen.Sie können ganz einfachTeammitglieder und Kunden zu all Ihren Websites hinzufügen .

Darüber hinaus können Sie mit MalCare unbegrenzt Websites verwalten.

Darüber hinaus können Sie die Verfügbarkeit Ihrer Website überwachen, Benachrichtigungen über Ausfallzeitenerhalten und auch eineLeistungsprüfungfür Ihre Website durchführen. Mit der überlegenen, bedarfsgesteuerten und geplantenKundenberichterstattung können Sie Zeit sparen, indem Sie alle Daten zusammenstellen und die Erkenntnisse zentralisieren.

Und Sie können alles von einem zentralen Dashboard aus steuern!

Bei der Websicherheit sollten keine Kompromisse gemacht werden. Schließlich ist Ihre Website Ihre Identität in der digitalen Welt. Es sollte darauf geachtet werden, dass es in keiner Weise durch irgendetwas beschädigt wird, sei es Malware, Viren oder Hacks. MalCare schützt Ihre Website vor allen aktuellen und zukünftigen Bedrohungen. Holen Sie sich erstklassige Sicherheit für nur 8,25 $ pro Monat! Alle oben genannten Funktionen sind kostenlos mit jedem Plan ohne zusätzliche Kosten verfügbar.

MalCare hilft Ihnen dabei, Ihre Website rund um die Uhr vor allen Bedrohungen zu schützen.