Questa vulnerabilità nel tuo plug-in WP Live Chat Support consente agli hacker di compromettere il tuo sito!

Avere un sito WordPress è eccellente, ma nel mondo digitale c'è sempre una battaglia in corso tra i buoni ei cattivi... sembra la trama di un film, vero? Ma questa è una realtà! I bravi ragazzi, ricercatori e sviluppatori di sicurezza, vogliono proteggere il tuo sito web. E i cattivi, gli hacker e gli spammer, vogliono usarlo illegalmente per scopi dannosi.

Scaviamo più a fondo...

“C'è un attacco a un sito web ogni 39 secondi e il 98% delle vulnerabilità di WordPress sono legate ai plugin”

Mentre stai leggendo questo, un utente malintenzionato da qualche parte sta tentando di accedere illegalmente a un sito Web WordPress sfruttando la vulnerabilità di alcuni plug-in.

Nell'aprile 2019, i bravi ragazzi, ovvero i ricercatori di sicurezza, hanno scoperto una vulnerabilità persistente di cross-site scripting (XSS) nelplug-in WP Live Chat Support .Ciò ha suggerito ai malintenzionati, ovvero gli hacker, di sfruttare questa vulnerabilità e iniettare script dannosi su un sito Web, assumendo così il controllo del sito Web.Il plug-in WP Live Chat Support è un plug-in di WordPress, che è un'alternativa gratuita ad altri plug-in di supporto per chat live completamente funzionali pensati per il coinvolgimento e le conversioni.Il plug-in ha avuto più di60.000 installazioni attive , che hanno messo a rischio migliaia di utenti.

Cos'era questa vulnerabilità e in che modo ti riguarda?

La vulnerabilità nel plug-in WP Live Chat Support ha consentito a un utente malintenzionato di eseguire attacchi di cross-site scripting (XSS) sul sito Web di destinazione.

In un attacco XSS, l'hacker inserisce uno script o un codice dannoso sul tuo sito Web a tua insaputa. Questo codice, quindi, eventualmente raccoglie i dati dell'utente (uh-oh!), modifica il contenuto del tuo sito web o li invia a un'altra pagina web compromessa. Se l'hacker riesce a iniettare il proprio codice nella porzione del tuo sito Web, che è memorizzata sul server (Es: commenti degli utenti), diventa Persistent XSS .

"Persistente", perché ogni volta che un utente carica la pagina Web infetta, il browser esegue quel codice dannoso completando così l'attacco"

Conosciamo tutti i motori di ricerca, in particolare Google, prende molto sul serio la sicurezza del sito. E quindi, qualsiasi vulnerabilità di questo tipo porterà a un impatto molto negativo sul tuo SEO. Non solo, crea anche problemi di fiducia tra i tuoi utenti. Nei casi peggiori, potresti persino perdere l'accesso al tuo sito web o essere sospeso dal tuo host web per avere link di spam e malware sul tuo sito.

Il motivo per cui questa vulnerabilità è un grosso problema è che non richiede alcuna autenticazione e può essere sfruttata da utenti che non dispongono nemmeno di un account sul sito Web infetto.Senza alcun requisito di autenticazione, diventa facile automatizzare l'attacco per colpire un gran numero di siti, più di 60.000 in questo caso!

L'attacco

L'attacco è reso possibile da un 'hook admin_init' non protetto. È da qui che la maggior parte degli aggressori inizia i propri attacchi ed è abbastanza comune quando si tratta di attacchi ai plug-in di WordPress.

Prima capiamo cosa significa un gancio. Un hook è un mezzo con cui un pezzo di codice può interagire e cambiarne un altro. WordPress di solito chiama questo hook quando qualcuno visita la pagina di amministrazione del sito. Questo hook può essere utilizzato dagli sviluppatori per richiamare varie funzioni a quel punto. Il problema è che l'hook non richiede alcuna autenticazione e chiunque visiti l'URL dell'amministratore può utilizzarlo per eseguire il codice. L'hook admin di WP Live Chat chiama un'azione chiamata wplc_head_basic che non controlla i privilegi dell'utente e aggiorna semplicemente le impostazioni del plugin.

Un hacker può utilizzare questo difetto per aggiornare un'opzione JavaScript chiamata wplc_custom_js che controlla il contenuto visualizzato dal plug-in ogni volta che viene visualizzata la finestra della chat dal vivo. Ora, pensa a questo: il widget della chat dal vivo segue l'utente su quasi tutte le pagine che visita sul tuo sito Web e, quindi, è un gioco da ragazzi per gli hacker prendere di mira più pagine utilizzando questo metodo!

Quindi, come mantieni il tuo sito al sicuro da questo?

Gli sviluppatori dietro il plug-in WP Live Chat Support hanno rilasciato una patch che si prende cura di questa vulnerabilità .Pertanto, la soluzione migliore per evitare che il tuo sito Web venga violato è aggiornarlo all'ultima versione.

Qualsiasi versione successiva alla 8.0.27 è sicura , ma anche in questo caso ti consigliamo di aggiornare frequentemente alla versione più recente.La versione più recente èla 8.0.33 ed è disponibile qui.

Come mantieni il tuo sito al sicuro in futuro?

Passaggio 1: ottieni plugin e temi solo da fonti attendibili!

È abbastanza allettante ottenere quel plug-in premium gratuitamente da un sito Web o da un file torrent, non è vero? Potresti pensare alle funzionalità premium e a quanti soldi potresti risparmiare... ehm... o lo farai davvero?

Ogni volta che scarichi plugin da fonti inaffidabili, accetti anche il rischio che vengano infettati da malware o virus. Mentre potresti risparmiare qualche soldo su quel plugin premium, potresti finire per spendere migliaia cercando di recuperare il tuo sito web, se possibile. Pertanto, installa sempre plug-in da fonti attendibili, preferibilmente l'azienda autenticata, e controlla se sono stati controllati da esperti e membri della comunità per codici dannosi.

Plugin affidabili per il market place di WordPress:

• wordpress
• CodeCanyon
• PickPlug-in
• Mercato di Mojo
• MyThemeshop
• Temaisle
• ThemeForest

Passaggio 2: ottieni un plug-in di sicurezza affidabile

WordPress ha un sistema di sicurezza piuttosto efficace per tutti i suoi siti web. Tuttavia, una vulnerabilità come quella sopra menzionata può aggirare tutti i controlli di sicurezza e rappresentare una minaccia per il tuo sito. Quindi un plug-in di sicurezza è fondamentale.

Quando si tratta di plug-in di sicurezza, è preferibile ottenere un plug-in che non esegua semplicemente la scansione del tuo sito Web alla ricerca di una vulnerabilità dopo un sospetto attacco, ma un plug-in che garantisca attivamente che il tuo sito sia sempre sicuro e protetto. Hai bisogno di un plug-in che offra protezione 24 ore su 24, 7 giorni su 7 con scansione malware, rimozione malware insieme al firewall di WordPress e gestione del sito Web... tutto in uno, a un prezzo accessibile!

MalCare è un plug-in sviluppato pensando esattamente a queste cose e garantisce che le difese del tuo sito Web siano sempre attive.

Ecco cosa offre MalCare...

Scansione malware:

MalCare scansiona il tuo sito web con oltre 100 segnali e va oltre la verifica della firma.Ciò gli consente di identificare il malware meglio di qualsiasi altro plug-in disponibile sul mercato. Può identificare anche malware sconosciuti la cui firma non è presente in nessun database.

MalCare si sincronizza con l'intero sito etiene traccia di eventuali modifiche 24 ore su 24, 7 giorni su 7 .Qualsiasi modifica non autorizzata viene tracciata nella sua posizione precisa e questo aiuta a identificare la fonte del malware. Anche dopo aver tracciato il tuo sito 24 ore su 24, 7 giorni su 7,non ci sono carichi sul tuo server poichéMalCare esegue la scansione di tutti i file sul proprio server. Il tuo sito web non rallenterà mai con noi!

Puoi configurare MalCare per eseguire scansioni automatiche giornaliere semplicemente specificando una pianificazione nelle impostazioni. Hai anche la possibilità di eseguirescansioni su richiesta illimitate ogni volta che vuoi e ricevere una notifica istantanea se viene rilevato malware.

Comprendiamo anche quanto sia spaventoso e irritante ricevere una notifica che dice che il tuo sito Web è infetto solo per scoprire che non era vero. MalCare si occupa anche di questo. Ha il minor numero di falsi positivi del settore ... il che significa che ti informiamo solo dopo un controllo approfondito.

Rimozione malware:

Con la rimozione del malware con un solo clic di MalCare, il tuo sito sarà privo di malware in meno di 60 secondi!

MalCarenon influisce sul tuo sito Web quando lo pulisce dal malware.Se un file è stato infettato, MalCarerimuove in modo intelligente solo la parte infetta e lascia intatti i tuoi dati .Il tuo sito Web non subirà mai interruzioni anche quando MalCare lavora furiosamente nel back-end per rimuovere il malware.

Una volta che MalCare identifica e rimuove un determinato malware,non potrà mai più infettare il tuo sito.Mai. Lo garantiamo. Proprio come il tuo corpo sa come evitare la varicella una volta che l'hai presa, MalCare sa come salvaguardare il tuo sito web da attacchi e malware simili se tenta di tornare. Hai l'immunità da futuri attacchi.

Firewall WordPress:

Se riesci a tenere fuori i cattivi e lasciare entrare solo il buon traffico Internet, non sarebbe fantastico? Il firewall MalCare fa esattamente questo e molto altro!

Questo firewall tiene traccia del tuo traffico web in entrata 24 ore su 24, 7 giorni su 7 rispetto a un elenco di indirizzi IP dannosi noti nella sua rete e impedisce agli IP pericolosi di accedere al tuo sito .Se un utente malintenzionato non può accedere al tuo sito Web, diventa difficile per lui attaccarlo.Supporta anche il blocco geografico per una protezione aggiuntiva.Con MalCare, ottieni ancheuna protezione dell'accesso basata su CAPTCHA che protegge il tuo sito Web dagli attacchi di forza bruta.Se MalCare rileva accessi sospetti, ricevi immediatamente una notifica in modo da poter intraprendere le azioni appropriate.

Inoltre, abbiamoun'autenticazione a due fattori che garantisce che nessuno possa accedere al tuo sito web senza una password e un codice corretti.

Gestione del sito web:

È essenziale disporre di tutti i plug-in nell'ultima versione. Come abbiamo visto, la soluzione più semplice per proteggersi dalla vulnerabilità del plugin WordPress Live Chat Support era aggiornarlo non appena gli sviluppatori rilasciavano la patch. Gli strumenti di gestione di MalCare aggiorneranno tutti i tuoi temi e plug-in su tutti i tuoi siti web .Usando il suocore manager di WordPress , puoi aggiornare le modifiche principali, aggiornare WordPress e controllare la versione PHP sui tuoi siti web.

Inoltre, in uno scenario in cui vorresti dare accesso a un cliente ma non vuoi che interferisca con nessuna delle funzionalità del sito, lo strumento di gestione di MalCare ti consente di assegnare ruoli utente e autorizzazioni di accesso specifici in modo che nessuno possa crearne modifiche indesiderate.Puoi facilmenteaggiungere membri del team e clienti a tutti i tuoi siti web.

Inoltre, puoi gestire siti Web illimitati con MalCare.

Inoltre, puoi monitorare il tempo di attività del tuo sito , ricevere avvisi sui tempi di inattività in caso di rallentamentoe anche eseguire uncontrollo delle prestazionidel tuo sito web. Con lareportistica client superiore, su richiesta e pianificata, puoi risparmiare tempo compilando tutti i dati e ottenendo informazioni centralizzate.

E puoi controllare tutto da una dashboard centralizzata!

Quando si tratta di sicurezza web, non dovrebbero esserci compromessi. Dopo tutto, il tuo sito web è la tua identità nel mondo digitale. Bisogna fare attenzione che non venga danneggiato in alcun modo da nulla, che si tratti di malware, virus o hack. MalCare proteggerà il tuo sito Web da tutte le minacce attuali e future. Ottieni sicurezza di livello mondiale a partire da $ 8,25 al mese! Tutte le funzionalità sopra menzionate sono disponibili gratuitamente con qualsiasi piano senza costi aggiuntivi.

MalCare ti aiuta a proteggere il tuo sito da tutte le minacce 24 ore su 24, 7 giorni su 7.