Cette vulnérabilité dans votre plugin de support de chat en direct WP permet aux pirates de compromettre votre site !

Avoir un site Web WordPress est excellent, mais dans le monde numérique, il y a toujours une bataille en cours entre les bons et les méchants… ça ressemble à une intrigue de film, n'est-ce pas ? Mais, c'est une réalité ! Les gentils, les chercheurs et développeurs en sécurité, veulent assurer la sécurité de votre site Web. Et les méchants - les pirates et les spammeurs, veulent l'utiliser illégalement à des fins malveillantes.

Creusons plus profondément…

« Il y a une attaque sur un site web toutes les 39 secondes et 98% des vulnérabilités de WordPress sont liées aux plugins»

Pendant que vous lisez ceci, un attaquant tente quelque part d'accéder illégalement à un site Web WordPress en exploitant la vulnérabilité d'un plugin.

En avril 2019, les gentils, alias chercheurs en sécurité, ont découvert une vulnérabilité persistante de script intersite (XSS) dans leplugin WP Live Chat Support .Cela a poussé les méchants, alias les pirates, à exploiter cette vulnérabilité et à injecter des scripts malveillants sur un site Web, prenant ainsi le contrôle du site Web.Le plugin WP Live Chat Support est un plugin WordPress, qui est une alternative gratuite aux autres plugins de support de chat en direct entièrement fonctionnels destinés à l'engagement et aux conversions.Le plugin comptait plus de60 000 installations actives , ce qui mettait en danger des milliers d'utilisateurs.

Quelle était cette vulnérabilité et comment vous affecte-t-elle ?

La vulnérabilité du plug-in WP Live Chat Support permettait à un attaquant de mener des attaques de script intersite (XSS) sur le site Web cible.

Lors d'une attaque XSS, le pirate injecte un script ou un code malveillant sur votre site Web à votre insu. Ce code collecte alors éventuellement des données utilisateur (euh-oh !), modifie le contenu de votre site Web ou les envoie vers une autre page Web compromise. Si le pirate parvient à injecter son code sur la partie de votre site qui est stockée sur le serveur (Ex : commentaires des utilisateurs), il devient Persistent XSS .

"Persistant", car chaque fois qu'un utilisateur charge la page Web infectée, le navigateur exécute ce code malveillant, complétant ainsi l'attaque"

Nous connaissons tous les moteurs de recherche, en particulier Google prend la sécurité du site très au sérieux. Et par conséquent, toute vulnérabilité de ce type entraînera un très mauvais impact sur votre référencement. Non seulement cela, mais cela crée également des problèmes de confiance entre vos utilisateurs. Dans le pire des cas, vous pourriez même perdre l'accès à votre site Web ou être suspendu par votre hébergeur pour avoir des liens de spam et des logiciels malveillants sur votre site.

La raison pour laquelle cette vulnérabilité est importante est qu'elle ne nécessite aucune authentification et peut être exploitée par des utilisateurs qui n'ont même pas de compte sur le site Web infecté.Sans exigence d'authentification, il devient facile d'automatiser l'attaque pour affecter un grand nombre de sites, plus de 60 000 dans ce cas!

L'attaque

L'attaque est rendue possible grâce à un 'admin_init hook' non protégé. C'est là que la plupart des attaquants commencent leurs attaques et c'est assez courant lorsqu'il s'agit d'attaques de plugins WordPress.

Commençons par comprendre ce que signifie un crochet. Un crochet est un moyen pour un morceau de code d'interagir avec un autre et d'en changer. WordPress appelle généralement ce crochet lorsque quelqu'un visite la page d'administration du site. Ce hook peut être utilisé par les développeurs pour appeler diverses fonctions à ce stade. Le problème est que le hook ne nécessite aucune authentification et que toute personne visitant l'URL d'administration peut l'utiliser pour exécuter le code. Le crochet d'administration de WP Live Chat appelle une action appelée wplc_head_basic qui ne vérifie pas les privilèges de l'utilisateur et met simplement à jour les paramètres du plug-in.

Un pirate peut utiliser cette faille pour mettre à jour une option JavaScript appelée wplc_custom_js qui contrôle le contenu que le plugin affiche chaque fois que la fenêtre de chat en direct apparaît. Maintenant, pensez à ceci - le widget de chat en direct suit l'utilisateur sur presque toutes les pages qu'il visite sur votre site Web, et par conséquent, c'est un jeu d'enfant pour les pirates de cibler plusieurs pages en utilisant cette méthode !

Alors, comment protégez-vous votre site de cela ?

Les développeurs derrière le plugin WP Live Chat Support ont publié un correctif qui prend en charge cette vulnérabilité .Par conséquent, la meilleure solution pour éviter que votre site Web ne soit piraté est de le mettre à jour vers la dernière version.

Toute version après 8.0.27 est sûre , mais même dans ce cas, nous vous recommandons de mettre à jour fréquemment vers la version la plus récente.La dernière version estla 8.0.33 et est disponible ici.

Comment assurer la sécurité de votre site à l'avenir ?

Étape 1 : Obtenez les plugins et les thèmes uniquement à partir de sources fiables !

Il est assez tentant d'obtenir gratuitement ce plugin premium à partir d'un site Web ou d'un fichier torrent, n'est-ce pas ? Vous pensez peut-être aux fonctionnalités premium et à combien d'argent vous économiserez peut-être… euh… ou le ferez-vous, vraiment ?

Chaque fois que vous téléchargez des plugins à partir de sources non fiables, vous acceptez également le risque qu'ils soient infectés par des logiciels malveillants ou des virus. Bien que vous puissiez économiser quelques dollars sur ce plugin premium, vous pourriez finir par dépenser des milliers d'euros pour essayer de récupérer votre site Web, si cela est possible. Par conséquent, installez toujours les plugins à partir de sources fiables, de préférence l'entreprise authentifiée, et vérifiez s'ils ont été contrôlés par des experts et des membres de la communauté pour les codes malveillants.

Plugins de place de marché WordPress de confiance :

• Wordpress
• CodeCanyon
• PickPlug-ins
• Marché Mojo
• MyThemeshop
• île à thème
• ThèmeForêt

Étape 2 : Obtenir un plugin de sécurité fiable

WordPress a mis en place un système de sécurité assez efficace pour tous ses sites Web. Cependant, une vulnérabilité comme celle mentionnée ci-dessus peut contourner tous les contrôles de sécurité et constituer une menace pour votre site. Par conséquent, un plugin de sécurité est essentiel.

En ce qui concerne les plugins de sécurité, il est préférable d'obtenir un plugin qui ne se contente pas d'analyser votre site Web à la recherche d'une vulnérabilité après une attaque suspectée, mais un plugin qui garantit activement que votre site est sûr et sécurisé à tout moment. Vous avez besoin d'un plugin qui offre une protection 24h/24 et 7j/7 avec une analyse des logiciels malveillants, une suppression des logiciels malveillants ainsi qu'un pare-feu WordPress et une gestion de site Web… tout en un, à un prix abordable !

MalCare est un plugin développé avec exactement ces choses à l'esprit et il garantit que les défenses de votre site Web sont toujours en place.

Voici ce que propose MalCare…

Recherche de logiciels malveillants :

MalCare analyse votre site Web avec plus de 100 signaux et va au-delà de la vérification de signature.Cela lui permet d'identifier les logiciels malveillants mieux que tout autre plugin disponible sur le marché. Il peut identifier même les logiciels malveillants inconnus dont la signature n'est présente dans aucune base de données.

MalCare se synchronise avec l'ensemble de votre site etsuit toute modification 24h/24 et 7j/7 .Toute modification non autorisée est suivie jusqu'à son emplacement précis, ce qui aide à identifier la source du logiciel malveillant. Même après avoir suivi votre site 24 heures sur 24, 7 jours sur 7, il n'y aaucune charge sur votre serveur carMalCare analyse tous les fichiers sur son propre serveur. Votre site Web ne ralentira jamais avec nous!

Vous pouvez configurer MalCare pour effectuer des analyses automatiques quotidiennes en spécifiant simplement un calendrier dans les paramètres. Vous avez également la possibilité d'effectuerdes analyses illimitées à la demande quand vous le souhaitez et d'être averti instantanément si un logiciel malveillant est détecté.

Nous comprenons également à quel point il est effrayant et irritant de recevoir une notification indiquant que votre site Web est infecté pour découvrir que ce n'était pas vrai. MalCare s'en occupe également. Il a le moins de faux positifs de l'industrie … ce qui signifie que nous ne vous informons qu'après une vérification approfondie.

Suppression des logiciels malveillants :

Avec la suppression des logiciels malveillants en un clic de MalCare, votre site sera exempt de logiciels malveillants en moins de 60 secondes!

MalCaren'affecte pas votre site Web lorsqu'il le nettoie des logiciels malveillants.Si un fichier a été infecté, MalCarene supprime intelligemment que la partie infectée et laisse vos données intactes .Votre site Web ne tombera jamais en panne, même lorsque MalCare travaille d'arrache-pied dans le backend pour supprimer les logiciels malveillants.

Une fois que MalCare a identifié et supprimé un certain logiciel malveillant,il ne peut plus jamais infecter votre site.Jamais. Nous le garantissons. Tout comme votre corps sait comment éviter la varicelle une fois que vous l'attrapez, MalCare sait comment protéger votre site Web d'une attaque et d'un logiciel malveillant similaires s'il tente de revenir. Vous êtes immunisé contre les attaques futures.

Pare-feu WordPress :

Si vous pouviez garder les méchants à l'extérieur et ne laisser entrer que le bon trafic Internet, ne serait-ce pas formidable ? Le pare-feu MalCare fait précisément cela, et plus encore !

Ce pare-feu suit votre trafic Web entrant 24 heures sur 24 et 7 jours sur 7 par rapport à une liste d'adresses IP malveillantes connues sur son réseau et empêche les adresses IP dangereuses d'accéder à votre site .Si un attaquant ne peut pas accéder à votre site Web, il devient difficile pour lui de l'attaquer. Il prend mêmeen charge le blocage géographique pour une protection supplémentaire.Avec MalCare, vous bénéficiez égalementd'une protection de connexion basée sur CAPTCHA qui protège votre site Web contre les attaques par force brute.Si MalCare détecte des connexions suspectes, vous en êtes immédiatement averti afin que vous puissiez prendre les mesures appropriées.

De plus, nous avonsune authentification à deux facteurs qui garantit que personne n'a accès à votre site Web sans un mot de passe et un code appropriés.

Gestion du site Web :

Il est essentiel d'avoir tous vos plugins dans la dernière version. Comme nous l'avons vu, la solution la plus simple pour être à l'abri de la vulnérabilité du plugin WordPress Live Chat Support était de le mettre à jour dès que les développeurs ont publié le correctif. Les outils de gestion de MalCare mettront à jour tous vos thèmes et plugins sur tous vos sites Web .À l'aide de songestionnaire de base WordPress , vous pouvez mettre à jour les modifications de base, mettre à niveau WordPress et vérifier la version de PHP sur vos sites Web.

De plus, dans un scénario où vous voudriez donner accès à un client mais ne voulez pas qu'il se mêle des fonctionnalités du site, l'outil de gestion de MalCare vous permet d'attribuer des rôles d'utilisateur spécifiques et des autorisations d'accès afin que personne ne puisse faire quoi que ce soit. changements involontaires.Vous pouvez facilementajouter des membres d'équipe et des clients à tous vos sites Web.

De plus, vous pouvez gérer un nombre illimité de sites Web avec MalCare.

De plus, vous pouvez surveiller la disponibilité de votre site , recevoir des alertes de temps d'arrêt en cas de relâchementet également effectuer unevérification des performancesde votre site Web. Grâce auxrapports client de qualité supérieure, à la demande et planifiés, vous pouvez gagner du temps en compilant toutes les données et en centralisant les informations.

Et vous pouvez tout contrôler depuis un tableau de bord centralisé !

En matière de sécurité Web, il ne devrait y avoir aucun compromis. Après tout, votre site Web est votre identité dans le monde numérique. Il faut veiller à ce qu'il ne soit en aucun cas endommagé par quoi que ce soit, qu'il s'agisse de logiciels malveillants, de virus ou de piratages. MalCare protégera votre site Web contre toutes les menaces actuelles et futures. Obtenez une sécurité de classe mondiale pour aussi peu que 8,25 $ par mois! Toutes les fonctionnalités mentionnées ci-dessus sont disponibles gratuitement avec n'importe quel plan sans frais supplémentaires.

MalCare vous aide à protéger votre site contre toutes les menaces 24h/24 et 7j/7.