Kerentanan Ini Dalam Plugin Dukungan Obrolan Langsung WP Anda Memungkinkan Peretas Membahayakan Situs Anda!

Memiliki situs web WordPress memang luar biasa, tetapi di dunia digital, selalu ada pertarungan antara orang baik dan orang jahat…terdengar seperti plot film, bukan? Tapi, ini adalah kenyataan! Orang baik – peneliti dan pengembang keamanan, ingin menjaga keamanan situs web Anda. Dan orang jahat – para peretas dan spammer, ingin menggunakannya secara ilegal untuk tujuan jahat.

Mari gali lebih dalam…

“Ada serangan di situs web setiap 39 detik dan 98% kerentanan WordPress terkait dengan plugin”

Saat Anda membaca ini, penyerang di suatu tempat sedang mencoba mengakses situs web WordPress secara ilegal dengan mengeksploitasi beberapa kerentanan plugin.

Pada April 2019, orang baik, alias peneliti keamanan, menemukan kerentanan cross-site scripting (XSS) yang persisten diplugin WP Live Chat Support .Ini memberi tip kepada orang jahat, alias peretas, untuk mengeksploitasi kerentanan ini dan menyuntikkan skrip berbahaya ke situs web, sehingga mengambil kendali atas situs web tersebut.Plugin Dukungan Obrolan Langsung WP adalah plugin WordPress, yang merupakan alternatif gratis untuk plugin dukungan obrolan langsung yang berfungsi penuh lainnya yang dimaksudkan untuk keterlibatan dan konversi.Plugin ini memiliki lebih dari60.000 pemasangan aktif , yang membahayakan ribuan pengguna.

Apa kerentanan ini dan bagaimana pengaruhnya terhadap Anda?

Kerentanan dalam plugin Dukungan Obrolan Langsung WP memungkinkan penyerang melakukan serangan skrip lintas situs (XSS) di situs web target.

Dalam serangan XSS, peretas menyuntikkan skrip atau kode berbahaya ke situs web Anda tanpa sepengetahuan Anda. Kode ini, kemudian, mungkin mengumpulkan data pengguna (uh-oh!), memodifikasi konten situs web Anda, atau mengirimkannya ke halaman web lain yang disusupi. Jika peretas berhasil menyuntikkan kodenya ke bagian situs web Anda, yang disimpan di server (Mis: Komentar pengguna), itu menjadi Persistent XSS .

'Persisten,' karena setiap kali pengguna memuat halaman web yang terinfeksi, browser mengeksekusi kode berbahaya tersebut sehingga menyelesaikan serangan'

Kita semua tahu mesin pencari, terutama Google sangat memperhatikan keamanan situs. Dan karenanya, kerentanan semacam itu akan berdampak sangat buruk pada SEO Anda. Tidak hanya itu, itu juga menciptakan masalah kepercayaan di antara pengguna Anda. Dalam kasus yang lebih buruk, Anda bahkan dapat kehilangan akses ke situs web Anda atau ditangguhkan oleh host web Anda karena memiliki tautan spam dan malware di situs Anda.

Alasan mengapa kerentanan ini menjadi masalah besar adalah karena tidak memerlukan autentikasi apa pun dan dapat dimanfaatkan oleh pengguna yang bahkan tidak memiliki akun di situs web yang terinfeksi.Tanpa persyaratan otentikasi, mudah untuk mengotomatiskan serangan untuk mempengaruhi sejumlah besar situs, lebih dari 60.000 dalam kasus ini!

Serangan itu

Serangan dimungkinkan karena 'hook admin_init' yang tidak terlindungi. Di sinilah sebagian besar penyerang memulai serangan mereka dan cukup umum ketika datang ke serangan plugin WordPress.

Pertama-tama mari kita pahami apa arti kail. Pengait adalah sarana bagi satu bagian kode untuk berinteraksi dan mengubah yang lain. WordPress biasanya menyebut pengait ini ketika seseorang mengunjungi halaman admin situs. Pengait ini dapat digunakan oleh pengembang untuk memanggil berbagai fungsi pada saat itu. Masalahnya adalah pengait tidak memerlukan autentikasi apa pun dan siapa pun yang mengunjungi URL admin dapat menggunakannya untuk menjalankan kode. Kait admin WP Live Chat memanggil tindakan yang disebut wplc_head_basic yang tidak memeriksa hak istimewa pengguna dan hanya memperbarui pengaturan plugin.

Seorang peretas dapat menggunakan kelemahan ini untuk memperbarui opsi JavaScript yang disebut wplc_custom_js yang mengontrol konten yang ditampilkan plugin setiap kali jendela obrolan langsung muncul. Sekarang, pikirkan ini – widget obrolan langsung mengikuti pengguna di hampir setiap halaman yang dia kunjungi di situs web Anda, dan karenanya, sangat mudah bagi peretas untuk menargetkan banyak halaman menggunakan metode ini!

Jadi, bagaimana Anda menjaga situs Anda aman dari ini?

Pengembang di belakang plugin Dukungan Obrolan Langsung WP telah merilis tambalan yang menangani kerentanan ini .Oleh karena itu, solusi terbaik untuk menghindari situs web Anda diretas adalah memperbaruinya ke versi terbaru.

Setiap versi setelah 8.0.27 aman , tetapi meskipun demikian kami menyarankan Anda untuk sering memperbarui ke versi terbaru.Versi terbaru adalah8.0.33 dan tersedia di sini.

Bagaimana Anda menjaga keamanan situs Anda di masa mendatang?

Langkah 1: Dapatkan plugin dan tema hanya dari sumber tepercaya!

Cukup menggiurkan untuk mendapatkan plugin premium itu secara gratis dari situs web atau file torrent, bukan? Anda mungkin berpikir tentang fitur premium dan berapa banyak uang yang mungkin Anda hemat… err… atau benarkah?

Setiap kali Anda mengunduh plugin dari sumber yang tidak dapat diandalkan, Anda juga menerima risiko terinfeksi malware atau virus. Meskipun Anda mungkin menghemat beberapa dolar untuk plugin premium itu, Anda mungkin akan menghabiskan ribuan dolar untuk mencoba memulihkan situs web Anda, jika memungkinkan. Oleh karena itu, selalu instal plugin dari sumber tepercaya, sebaiknya perusahaan yang diautentikasi, dan periksa apakah plugin tersebut telah diperiksa oleh pakar dan anggota komunitas untuk kode berbahaya.

Plugin tempat pasar WordPress tepercaya:

• WordPress
• CodeCanyon
• PickPlug-in
• Pasar Mojo
• MyThemeshop
• Themeisle
• ThemeForest

Langkah 2: Dapatkan plugin keamanan yang andal

WordPress memiliki sistem keamanan yang cukup efektif untuk semua situs webnya. Namun, kerentanan seperti yang disebutkan di atas dapat melewati semua pemeriksaan keamanan dan menimbulkan ancaman bagi situs Anda. Karenanya plugin keamanan sangat penting.

Ketika datang ke plugin keamanan, lebih baik untuk mendapatkan plugin yang tidak hanya memindai situs Anda untuk kerentanan setelah serangan yang dicurigai, tetapi plugin yang secara aktif memastikan situs Anda aman dan terlindungi sepanjang waktu. Anda memerlukan plugin yang menawarkan perlindungan 24/7 dengan pemindaian malware, penghapusan malware bersama dengan firewall WordPress dan manajemen situs web… semuanya dalam satu, dengan harga yang terjangkau!

MalCare adalah plugin yang dikembangkan dengan mempertimbangkan hal-hal ini dan memastikan pertahanan situs web Anda selalu aktif.

Inilah yang ditawarkan MalCare…

Pemindaian malware:

MalCare memindai situs web Anda dengan 100+ sinyal dan melampaui verifikasi tanda tangan.Ini memungkinkannya mengidentifikasi malware lebih baik daripada plugin lain yang tersedia di pasar. Itu dapat mengidentifikasi bahkan malware yang tidak dikenal yang tanda tangannya tidak ada di database mana pun.

MalCare menyinkronkan dengan seluruh situs danmelacak setiap perubahan 24/7 .Setiap perubahan yang tidak sah dilacak ke lokasi yang tepat dan ini membantu mengidentifikasi sumber malware. Bahkan setelah melacak situs Anda 24/7,tidak ada muatan di server Anda karenaMalCare memindai semua file di servernya sendiri. Situs web Anda tidak akan pernah melambat bersama kami!

Anda dapat mengatur MalCare untuk melakukan pemindaian otomatis setiap hari hanya dengan menentukan jadwal di pengaturan. Anda juga memiliki opsi untuk melakukanpemindaian sesuai permintaan tanpa batas kapan pun Anda mau dan langsung diberi tahu jika malware ditemukan.

Kami juga memahami betapa menakutkan dan menjengkelkannya mendapatkan pemberitahuan yang mengatakan situs web Anda terinfeksi hanya untuk mengetahui bahwa itu tidak benar. MalCare menangani ini juga. Ini memiliki positif palsu paling sedikit di industri … yang berarti kami memberi tahu Anda hanya setelah pemeriksaan menyeluruh.

Penghapusan malware:

Dengan penghapusan malware sekali klik MalCare, situs Anda akan bebas malware dalam waktu kurang dari 60 detik!

MalCaretidak memengaruhi situs web Anda saat membersihkannya dari malware.Jika file telah terinfeksi, MalCare dengan cerdashanya menghapus bagian yang terinfeksi dan membiarkan data Anda tetap utuh .Situs web Anda tidak akan pernah rusak bahkan ketika MalCare bekerja mati-matian di backend untuk menghapus malware.

Setelah MalCare mengidentifikasi dan menghapus malware tertentu,malware tersebut tidak dapat lagi menginfeksi situs Anda.Pernah. Kami jamin itu. Sama seperti tubuh Anda yang tahu cara menghindari cacar air begitu Anda tertular, MalCare tahu cara melindungi situs web Anda dari serangan dan malware serupa jika mencoba kembali. Anda memiliki kekebalan dari serangan di masa depan.

Firewall WordPress:

Jika Anda dapat menahan orang jahat di luar dan hanya membiarkan lalu lintas internet yang baik masuk, bukankah itu bagus? Firewall MalCare melakukan ini dengan tepat, dan banyak lagi!

Firewall ini melacak lalu lintas web masuk Anda 24/7 terhadap daftar alamat IP berbahaya yang dikenal di jaringannya dan memblokir IP berbahaya agar tidak mengakses situs Anda .Jika penyerang tidak dapat mengakses situs web Anda, akan sulit baginya untuk menyerangnya. Bahkanmendukung geo-blocking untuk perlindungan tambahan.Dengan MalCare, Anda juga mendapatkanperlindungan masuk berbasis CAPTCHA yang melindungi situs web Anda dari serangan brute force.Jika MalCare mendeteksi proses masuk yang mencurigakan, Anda akan segera diberi tahu sehingga Anda dapat mengambil tindakan yang tepat.

Selain itu, kami memilikiautentikasi dua faktor yang memastikan tidak ada orang yang dapat mengakses situs web Anda tanpa kata sandi dan kode yang tepat.

Manajemen Situs Web:

Sangat penting untuk memiliki semua plugin Anda dalam versi terbaru. Seperti yang telah kita lihat, solusi paling sederhana untuk aman dari kerentanan plugin Dukungan Obrolan Langsung WordPress adalah memperbaruinya segera setelah pengembang merilis tambalan. Alat manajemen MalCare akan memperbarui semua tema dan plugin Anda di semua situs web Anda .Menggunakanpengelola inti WordPress , Anda dapat memperbarui modifikasi inti, memutakhirkan WordPress, dan memeriksa versi PHP di situs web Anda.

Selain itu, dalam skenario ketika Anda ingin memberikan akses ke klien tetapi tidak ingin mereka mencampuri fungsi situs mana pun, alat manajemen MalCare memungkinkan Anda menetapkan peran pengguna tertentu dan izin akses sehingga tidak ada yang dapat membuatnya. perubahan yang tidak diinginkan.Anda dapat dengan mudahmenambahkan anggota tim dan klien ke semua situs web Anda.

Selain itu, Anda dapat mengelola situs web tanpa batas dengan MalCare.

Terlebih lagi, Anda dapat memantau waktu aktif situs Anda, mendapatkan peringatan waktu henti saat kendur, dan juga melakukanpemeriksaan kinerjauntuk situs web Anda. Denganpelaporan klien yang unggul, sesuai permintaan, dan terjadwal, Anda dapat menghemat waktu dengan mengumpulkan semua data dan memusatkan wawasan.

Dan Anda dapat mengontrol semuanya dari dasbor terpusat!

Dalam hal keamanan web, seharusnya tidak ada kompromi. Bagaimanapun, situs web Anda adalah identitas Anda di dunia digital. Harus berhati-hati agar tidak dirugikan oleh apa pun, baik itu malware, virus, atau peretasan. MalCare akan melindungi situs web Anda dari semua ancaman saat ini dan di masa mendatang. Dapatkan keamanan kelas dunia hanya dengan $8,25 per bulan! Semua fitur yang disebutkan di atas tersedia gratis dengan paket apa pun tanpa biaya tambahan.

MalCare membantu Anda menjaga keamanan situs Anda dari semua ancaman 24/7.