¡Esta vulnerabilidad en su complemento de soporte de chat en vivo de WP permite a los piratas informáticos comprometer su sitio!

Tener un sitio web de WordPress es excelente, pero en el mundo digital, siempre hay una batalla constante entre los buenos y los malos... suena como una trama de película, ¿no? Pero, ¡esto es una realidad! Los buenos, investigadores y desarrolladores de seguridad, quieren mantener su sitio web seguro. Y los malos, los piratas informáticos y los spammers, quieren usarlo ilegalmente con fines maliciosos.

Profundicemos más…

“Hay un ataque a un sitio web cada 39 segundos y el 98% de las vulnerabilidades de WordPress están relacionadas con complementos”

Mientras lee esto, un atacante en algún lugar está tratando de acceder ilegalmente a un sitio web de WordPress al explotar la vulnerabilidad de algún complemento.

En abril de 2019, los buenos, también conocidos como investigadores de seguridad, descubrieron una vulnerabilidad persistente de secuencias de comandos entre sitios (XSS) en elcomplemento WP Live Chat Support .Esto insinuó a los malos, también conocidos como piratas informáticos, para explotar esta vulnerabilidad e inyectar scripts maliciosos en un sitio web, tomando así el control del sitio web.El complemento WP Live Chat Support es un complemento de WordPress, que es una alternativa gratuita a otros complementos de soporte de chat en vivo totalmente funcionales destinados a la participación y las conversiones.El complemento tenía más de60.000 instalaciones activas , lo que ponía en riesgo a miles de usuarios.

¿Cuál fue esta vulnerabilidad y cómo te afecta?

La vulnerabilidad en el complemento WP Live Chat Support permitió a un atacante llevar a cabo ataques de secuencias de comandos entre sitios (XSS) en el sitio web de destino.

En un ataque XSS, el pirata informático inyecta un script o código malicioso en su sitio web sin su conocimiento. Este código, entonces, posiblemente recopila datos del usuario (¡oh, oh!), modifica el contenido de su sitio web o los envía a otra página web comprometida. Si el pirata informático logra inyectar su código en la parte de su sitio web que está almacenada en el servidor (por ejemplo, los comentarios del usuario), se convierte en XSS persistente .

'Persistente', porque cada vez que un usuario carga la página web infectada, el navegador ejecuta ese código malicioso, completando así el ataque'

Todos conocemos los motores de búsqueda, especialmente Google, se toma muy en serio la seguridad del sitio. Y, por lo tanto, cualquier vulnerabilidad de este tipo tendrá un impacto muy negativo en su SEO. No solo eso, también crea problemas de confianza entre sus usuarios. En el peor de los casos, incluso podría perder el acceso a su sitio web o ser suspendido por su proveedor de alojamiento web por tener enlaces de spam y malware en su sitio.

La razón por la que esta vulnerabilidad es un gran problema es que no requiere ninguna autenticación y puede ser aprovechada por usuarios que ni siquiera tienen una cuenta en el sitio web infectado.Sin requisitos de autenticación, es fácil automatizar el ataque para afectar a una gran cantidad de sitios, ¡más de 60 000 en este caso!

El ataque

El ataque es posible gracias a un 'gancho admin_init' desprotegido. Aquí es donde la mayoría de los atacantes comienzan sus ataques y es bastante común cuando se trata de ataques de complementos de WordPress.

Primero entendamos lo que significa un gancho. Un gancho es un medio para que una pieza de código interactúe y cambie otra. WordPress generalmente llama a este gancho cuando alguien visita la página de administración del sitio. Los desarrolladores pueden usar este gancho para llamar a varias funciones en ese punto. El problema es que el enlace no requiere ninguna autenticación y cualquier persona que visite la URL de administración puede usarla para ejecutar el código. El gancho de administración de WP Live Chat llama a una acción llamada wplc_head_basic que no verifica los privilegios del usuario y simplemente actualiza la configuración del complemento.

Un pirata informático puede usar esta falla para actualizar una opción de JavaScript llamada wplc_custom_js que controla el contenido que muestra el complemento cada vez que aparece la ventana de chat en vivo. Ahora, piense en esto: el widget de chat en vivo sigue al usuario en casi todas las páginas que visita en su sitio web y, por lo tanto, ¡es pan comido para los piratas informáticos apuntar a varias páginas usando este método!

Entonces, ¿cómo mantienes tu sitio a salvo de esto?

Los desarrolladores detrás del complemento WP Live Chat Support han lanzado un parche que soluciona esta vulnerabilidad .Por lo tanto, la mejor solución para evitar que su sitio web sea pirateado es actualizarlo a la última versión.

Cualquier versión posterior a la 8.0.27 es segura , pero incluso entonces le recomendamos que actualice con frecuencia a la versión más reciente.La versión más reciente esla 8.0.33 y está disponible aquí.

¿Cómo mantiene su sitio seguro en el futuro?

Paso 1: ¡Obtenga los complementos y temas solo de fuentes confiables!

Es bastante tentador obtener ese complemento premium de forma gratuita desde un sitio web o un archivo torrent, ¿no es así? Es posible que esté pensando en las características premium y cuánto dinero posiblemente ahorrará... err... ¿o sí lo hará, en serio?

Cada vez que descarga complementos de fuentes no confiables, también acepta el riesgo de que se infecten con malware o virus. Si bien puede ahorrar unos cuantos dólares en ese complemento premium, podría terminar gastando miles tratando de recuperar su sitio web, si es que eso es posible. Por lo tanto, siempre instale complementos de fuentes confiables, preferiblemente de la empresa autenticada, y verifique si han sido examinados por expertos y miembros de la comunidad en busca de códigos maliciosos.

Complementos confiables del mercado de WordPress:

• WordPress
• CódigoCañón
• PickPlug-ins
• Mercado de Mojo
• Mi tienda temática
• TemaIsla
• TemaBosque

Paso 2: obtenga un complemento de seguridad confiable

WordPress tiene un sistema de seguridad bastante efectivo para todos sus sitios web. Sin embargo, una vulnerabilidad como la mencionada anteriormente puede eludir todos los controles de seguridad y representar una amenaza para su sitio. Por lo tanto, un complemento de seguridad es fundamental.

Cuando se trata de complementos de seguridad, es preferible obtener un complemento que no simplemente escanee su sitio web en busca de una vulnerabilidad después de un ataque sospechoso, sino un complemento que garantice activamente que su sitio esté seguro todo el tiempo. Necesita un complemento que ofrezca protección las 24 horas del día, los 7 días de la semana con escaneo de malware, eliminación de malware junto con el firewall de WordPress y la administración del sitio web... ¡todo en uno, a un precio asequible!

MalCare es un complemento desarrollado con exactamente estas cosas en mente y garantiza que las defensas de su sitio web estén siempre activas.

Esto es lo que ofrece MalCare...

Escaneo de malware:

MalCare escanea su sitio web con más de 100 señales y va más allá de la verificación de firmas.Esto le permite identificar malware mejor que cualquier otro complemento disponible en el mercado. Puede identificar incluso malware desconocido cuya firma no está presente en ninguna base de datos.

MalCare se sincroniza con todo su sitio yrealiza un seguimiento de cualquier cambio las 24 horas del día, los 7 días de la semana .Cualquier cambio no autorizado se rastrea hasta su ubicación precisa y esto ayuda a identificar la fuente del malware. Incluso después de rastrear su sitio las 24 horas del día, los 7 días de la semana, no hay cargas en su servidor ya queMalCare escanea todos los archivos en su propio servidor. ¡Tu sitio web nunca se ralentizará con nosotros!

Puede configurar MalCare para realizar escaneos automáticos diarios simplemente especificando un horario en la configuración. También tiene la opción de realizarescaneos bajo demanda ilimitados cuando lo desee y recibir notificaciones instantáneas si se encuentra malware.

También entendemos lo aterrador e irritante que es recibir una notificación que dice que su sitio web está infectado y luego descubrir que no es cierto. MalCare también se ocupa de esto. Tiene la menor cantidad de falsos positivos de la industria ... lo que significa que solo le notificamos después de una verificación exhaustiva.

Eliminación de malware:

¡Con la eliminación de malware con un solo clic de MalCare, su sitio estará libre de malware en menos de 60 segundos!

MalCareno afecta su sitio web cuando lo limpia de malware.Si un archivo ha sido infectado, MalCareelimina inteligentemente solo la parte infectada y deja sus datos intactos .Su sitio web nunca fallará, incluso cuando MalCare esté trabajando furiosamente en el backend para eliminar el malware.

Una vez que MalCare identifica y elimina cierto malware,nunca más podrá infectar su sitio.Alguna vez. Lo garantizamos. Al igual que su cuerpo sabe cómo evitar la varicela una vez que la contrae, MalCare sabe cómo proteger su sitio web de un ataque similar y malware si intenta regresar. Tienes inmunidad de futuros ataques.

Cortafuegos de WordPress:

Si puede mantener a los malos afuera y dejar que solo ingrese el buen tráfico de Internet, ¿no sería genial? El firewall de MalCare hace precisamente esto, ¡y más!

Este cortafuegos rastrea su tráfico web entrante las 24 horas del día, los 7 días de la semana contra una lista de direcciones IP maliciosas conocidas en su red y bloquea el acceso de direcciones IP peligrosas a su sitio .Si un atacante no puede acceder a su sitio web, le resultará difícil atacarlo. Incluso escompatible con el bloqueo geográfico para una protección adicional.Con MalCare, también obtieneprotección de inicio de sesión basada en CAPTCHA que protege su sitio web contra ataques de fuerza bruta.Si MalCare detecta inicios de sesión sospechosos, se le notifica de inmediato para que pueda tomar las medidas adecuadas.

Además, contamos conautenticación de dos factores que garantiza que nadie acceda a su sitio web sin una contraseña y un código adecuados.

Gestión del sitio web:

Es imprescindible tener todos tus plugins en la última versión. Como hemos visto, la solución más simple para estar a salvo de la vulnerabilidad del complemento de soporte de chat en vivo de WordPress fue actualizarlo tan pronto como los desarrolladores lanzaron el parche. Las herramientas de administración de MalCare actualizarán todos sus temas y complementos en todos sus sitios web .Con suadministrador principal de WordPress , puede actualizar las modificaciones principales, actualizar WordPress y verificar la versión de PHP en sus sitios web.

Además, en un escenario en el que desea dar acceso a un cliente pero no quiere que se entrometa con ninguna de las funciones del sitio, la herramienta de administración de MalCare le permite asignar roles de usuario específicos y permisos de acceso para que nadie pueda hacer nada. cambios no deseados.Puedeagregar fácilmente miembros del equipo y clientes a todos sus sitios web.

Además, puede administrar sitios web ilimitados con MalCare.

Además, puede controlar el tiempo de actividad de su sitio , recibir alertas de tiempo de inactividad en holguray también realizar unaverificación del rendimientode su sitio web. Con losinformes de clientes superiores, a pedido y programados, puede ahorrar tiempo compilando todos los datos y centralizando los conocimientos.

¡Y puedes controlarlo todo desde un tablero centralizado!

Cuando se trata de seguridad web, no debe haber compromisos. Después de todo, su sitio web es su identidad en el mundo digital. Se debe tener cuidado de que nada lo dañe de ninguna manera, ya sea malware, virus o hacks. MalCare protegerá su sitio web contra todas las amenazas actuales y futuras. ¡Obtenga seguridad de clase mundial por tan solo $ 8.25 por mes! Todas las funciones mencionadas anteriormente están disponibles de forma gratuita con cualquier plan sin costo adicional.

MalCare lo ayuda a mantener su sitio a salvo de todas las amenazas las 24 horas del día, los 7 días de la semana.