WP ライブ チャット サポート プラグインのこの脆弱性により、ハッカーがサイトを侵害する可能性があります!

WordPress のウェブサイトを持つことは素晴らしいことですが、デジタルの世界では常に善人と悪人の間で戦いが続いています…まるで映画の筋書きのようですね。 しかし、これは現実です！ 善良な人々、つまりセキュリティ研究者と開発者は、Web サイトを安全に保ちたいと考えています。 そして悪者、つまりハッカーやスパマーは、悪意のある目的でそれを違法に使用したいと考えています.

さらに掘り下げてみましょう…

「Web サイトへの攻撃は 39 秒ごとに発生しており、WordPress の脆弱性の 98% はプラグインに関連しています」

あなたがこれを読んでいる間に、どこかの攻撃者がプラグインの脆弱性を悪用して、WordPress Web サイトに不正にアクセスしようとしています。

2019 年 4 月、セキュリティ研究者として知られる善良な人々が、WP ライブ チャット サポート プラグインに永続的なクロスサイト スクリプティング (XSS) の脆弱性を発見しました。これにより、ハッカーとも呼ばれる悪者がこの脆弱性を悪用し、Web サイトに悪意のあるスクリプトを挿入して Web サイトを制御するようになりました。WP ライブ チャット サポート プラグインはWordPress プラグインであり、エンゲージメントとコンバージョンを目的とした他の完全に機能するライブ チャット サポート プラグインの無料の代替手段です。このプラグインには 60,000 を超えるアクティブなインストールがあり、何千人ものユーザーが危険にさらされました。

この脆弱性は何でしたか? また、どのような影響がありますか?

WP ライブ チャット サポート プラグインの脆弱性により、攻撃者は対象の Web サイトでクロスサイト スクリプティング (XSS) 攻撃を実行することができました。

XSS 攻撃では、ハッカーは、ユーザーの知らないうちに悪意のあるスクリプトまたはコードを Web サイトに挿入します。 このコードは、ユーザー データを収集し (うーん!)、Web サイトのコンテンツを変更したり、侵害された別の Web ページに送信したりする可能性があります。 サーバーに保存されている Web サイトの一部 (例: ユーザー コメント) にハッカーが自分のコードを挿入できた場合、それはPersistent XSSになります。

「永続的」。ユーザーが感染した Web ページをロードするたびに、ブラウザがその悪意のあるコードを実行し、それによって攻撃が完了するためです。

私たちは皆、検索エンジンを知っています。特に Google は、サイトのセキュリティを非常に真剣に考えています。 したがって、そのような脆弱性は SEO に非常に悪い影響を与えます。 それだけでなく、ユーザー間の信頼の問題も引き起こします。 最悪の場合、Web サイトにアクセスできなくなったり、サイトにスパム リンクやマルウェアが含まれているために Web ホストから停止されることさえあります。

この脆弱性が大きな問題である理由は、認証を必要とせず、感染した Web サイトのアカウントを持っていないユーザーによっても悪用される可能性があるためです。認証が不要なため、多数のサイト (この場合は 60,000 以上)に影響を与える攻撃を簡単に自動化できます。

攻撃

保護されていない「 admin_initフック」が原因で、攻撃が可能になります。 これは、ほとんどの攻撃者が攻撃を開始する場所であり、WordPress プラグイン攻撃に関しては非常に一般的です.

まず、フックの意味を理解しましょう。 フックは、あるコードが別のコードと対話して変更するための手段です。 通常、誰かがサイトの管理ページにアクセスすると、WordPress はこのフックを呼び出します。 開発者はこのフックを使用して、その時点でさまざまな関数を呼び出すことができます。 問題は、フックが認証を必要とせず、管理 URL にアクセスした人は誰でもそれを使用してコードを実行できることです。 WP ライブ チャットの管理者フックは、ユーザーの権限をチェックせず、プラグイン設定を更新するだけの wplc_head_basic というアクションを呼び出します。

ハッカーはこの欠陥を利用して、ライブ チャット ウィンドウが表示されるたびにプラグインが表示するコンテンツを制御する wplc_custom_js と呼ばれる JavaScript オプションを更新できます。 考えてみてください。ライブ チャット ウィジェットは、ユーザーが Web サイトにアクセスするほぼすべてのページでユーザーを追跡します。したがって、ハッカーがこの方法を使用して複数のページをターゲットにするのは簡単なことです。

では、これからサイトを安全に保つにはどうすればよいでしょうか。

WP Live Chat Support プラグインの背後にいる開発者は、この脆弱性を処理するパッチをリリースしました。したがって、Web サイトのハッキングを回避するための最善の解決策は、Web サイトを最新バージョンに更新することです。

8.0.27 以降のバージョンは安全ですが、最新バージョンに頻繁に更新することをお勧めします。 最新バージョンは8.0.33で、こちらから入手できます。

将来的にサイトを安全に保つにはどうすればよいですか?

ステップ 1: 信頼できるソースからのみプラグインとテーマを入手してください!

ウェブサイトや torrent ファイルからプレミアム プラグインを無料で入手したくなると思いませんか? プレミアム機能と、どれだけのお金を節約できるかについて考えているかもしれません…えっと…それとも、本当にそうしますか?

信頼できないソースからプラグインをダウンロードするときはいつでも、マルウェアやウイルスに感染するリスクも受け入れます. そのプレミアム プラグインで数ドル節約できるかもしれませんが、可能であれば、Web サイトの復旧に数千ドルを費やすことになるかもしれません。 したがって、常に信頼できるソース (できれば認証済みの会社) からプラグインをインストールし、悪意のあるコードについて専門家やコミュニティ メンバーによって精査されているかどうかを確認してください。

信頼できる WordPress マーケット プレイス プラグイン:

• ワードプレス
• コードキャニオン
• ピックプラグイン
• モジョ・マーケットプレイス
• マイテーマショップ
• テーマール
• テーマ森

ステップ 2: 信頼できるセキュリティ プラグインを入手する

WordPress には、すべての Web サイトに対して非常に効果的なセキュリティ システムが導入されています。 ただし、上記のような脆弱性は、すべてのセキュリティ チェックをバイパスし、サイトに脅威を与える可能性があります。 したがって、セキュリティ プラグインは重要です。

セキュリティ プラグインに関して言えば、攻撃の疑いがある場合に Web サイトの脆弱性を単純にスキャンするプラグインではなく、サイトが常に安全で安全であることを積極的に保証するプラグインを取得することが望ましいです。 マルウェア スキャン、マルウェアの削除、WordPress ファイアウォール、Web サイト管理など、24 時間 365 日の保護を手頃な価格で提供するプラグインが必要です。

MalCare は、まさにこれらのことを念頭に置いて開発されたプラグインであり、Web サイトの防御が常に有効であることを保証します。

MalCareが提供するものは次のとおりです…

マルウェア スキャン:

MalCare は100 以上のシグナルで Web サイトをスキャンし、署名の検証を超えています。 これにより、市場で入手可能な他のどのプラグインよりも優れたマルウェアの識別が可能になります。 どのデータベースにもシグネチャが存在しない未知のマルウェアも識別​​できます。

MalCare はサイト全体と同期し、24 時間年中無休で変更を追跡します。不正な変更は正確な場所まで追跡されるため、マルウェアのソースを特定するのに役立ちます。 24 時間年中無休でサイトを追跡した後でも、MalCare が独自のサーバー上のすべてのファイルをスキャンするため、サーバーの負荷はゼロです。あなたのウェブサイトが遅くなることはありません！

設定でスケジュールを指定するだけで、毎日の自動スキャンを実行するように MalCare をセットアップできます。 また、いつでも無制限のオンデマンド スキャンを実行し、マルウェアが見つかった場合はすぐに通知を受けるオプションもあります。

また、Web サイトが感染しているという通知を受け取り、それが真実ではないことが判明することが、どれほど恐ろしく、いらだたしいことかを理解しています。 MalCare はこれも処理します。業界で最も誤検知が少ない…つまり、徹底的なチェックの後にのみ通知されます。

マルウェアの除去:

MalCare のワンクリック マルウェア除去により、あなたのサイトは60 秒以内にマルウェアから解放されます!

MalCare は、マルウェアをクリーンアップしてもWeb サイトに影響を与えません。 ファイルが感染している場合、MalCare は感染した部分のみをインテリジェントに削除し、データをそのまま残します。 MalCare がバックエンドで猛烈にマルウェアを削除しようとしても、Web サイトがダウンすることはありません。

MalCare が特定のマルウェアを特定して削除すると、サイトに再び感染することはありません。これまで。保証いたします。 水ぼうそうにかかったときに体がそれを回避する方法を知っているように、MalCare は、同じような攻撃やマルウェアが再発した場合に Web サイトを保護する方法を知っています。 あなたは将来の攻撃に対する耐性を持っています。

WordPress ファイアウォール:

悪者を外に出さずに、良いインターネット トラフィックだけを入れることができれば、素晴らしいと思いませんか? MalCare ファイアウォールはまさにこれを行います。

このファイアウォールは、ネットワーク内の既知の悪意のある IP アドレスのリストに対して 24 時間年中無休で着信 Web トラフィックを追跡し、危険な IP がサイトにアクセスするのをブロックします。攻撃者が Web サイトにアクセスできなければ、攻撃するのは難しくなります。 保護を強化するためのジオブロッキングもサポートしています。 MalCare を使用すると、ブルート フォース攻撃から Web サイトを保護するCAPTCHA ベースのログイン保護も利用できます。 MalCare が不審なログインを検出すると、すぐに通知が届くので、適切な措置を講じることができます。

また、適切なパスワードとコードなしで誰もあなたのウェブサイトにアクセスできないようにする2 要素認証があります。

ウェブサイト管理:

すべてのプラグインを最新バージョンにすることが不可欠です。 これまで見てきたように、WordPress ライブ チャット サポート プラグインの脆弱性から身を守るための最も簡単な解決策は、開発者がパッチをリリースしたらすぐにプラグインを更新することでした。 MalCare の管理ツールは、すべての Web サイトのすべてのテーマとプラグインを更新します。そのWordPress コア マネージャーを使用して、コアの変更を更新し、WordPress をアップグレードし、Web サイトの PHP バージョンを確認できます。

また、クライアントにアクセスを許可したいが、サイトの機能に介入させたくないというシナリオでは、MalCare の管理ツールを使用すると、特定のユーザー ロールとアクセス許可を割り当てて、誰もアクセスできないようにすることができます。意図しない変更。チーム メンバーとクライアントをすべての Web サイトに簡単に追加できます。

さらに、MalCare で無制限の Web サイトを管理できます。

さらに、サイトのアップタイムを監視し、スラックに関するダウンタイム アラートを取得し、ウェブサイトのパフォーマンス チェックを行うこともできます。優れたオンデマンドのスケジュールされたクライアント レポートを使用して、すべてのデータをコンパイルし、洞察を一元化することで時間を節約できます。

そして、一元化されたダッシュボードからすべてを制御できます!

Web セキュリティに関しては、妥協があってはなりません。 結局のところ、ウェブサイトはデジタル世界におけるあなたのアイデンティティです。 マルウェア、ウイルス、ハッキングなど、何によっても害を受けないように注意する必要があります。 MalCare は、現在および将来のすべての脅威から Web サイトを保護します。月額わずか8.25 ドルで世界クラスのセキュリティを手に入れましょう!上記のすべての機能は、追加料金なしでどのプランでも無料で利用できます。

MalCare は、24 時間 365 日すべての脅威からサイトを安全に保つのに役立ちます。