WP 라이브 채팅 지원 플러그인의 이 취약점으로 인해 해커가 귀하의 사이트를 손상시킬 수 있습니다!

워드프레스 웹사이트를 갖는 것은 훌륭하지만, 디지털 세계에서는 항상 좋은 사람과 나쁜 사람 사이에 계속되는 전투가 있습니다…영화 줄거리처럼 들리지 않습니까? 하지만, 이것은 현실입니다! 좋은 사람들, 즉 보안 연구원과 개발자는 웹 사이트를 안전하게 유지하기를 원합니다. 그리고 해커와 스패머와 같은 악당들은 악의적인 목적으로 불법적으로 사용하기를 원합니다.

더 깊이 파고들자…

“39초마다 웹 사이트에 대한 공격이 있으며 WordPress 취약점의 98%는 플러그인과 관련이 있습니다.”

당신이 이 글을 읽고 있는 동안 어딘가의 공격자가 일부 플러그인의 취약점을 악용하여 WordPress 웹사이트에 불법적으로 액세스하려고 시도하고 있습니다.

2019년 4월 보안 연구원으로 알려진 선량한 사람들은WP Live Chat Support 플러그인 에서 지속적인 XSS(교차 사이트 스크립팅) 취약점을 발견했습니다.이로 인해 해커라고 알려진 악당이 이 취약점을 악용하고 웹 사이트에 악성 스크립트를 삽입하여 웹 사이트를 제어할 수 있었습니다.WP 라이브 채팅 지원 플러그인은 워드프레스 플러그인으로 참여 및 전환을 위한 다른 완전한 기능의 라이브 채팅 지원 플러그인에 대한 무료 대안입니다.플러그인에는60,000회 이상의 활성 설치가 있었고 수천 명의 사용자가 위험에 처했습니다.

이 취약점은 무엇이며 어떤 영향을 줍니까?

WP Live Chat Support 플러그인의 취약점으로 인해 공격자는 대상 웹사이트에서 XSS(교차 사이트 스크립팅) 공격을 수행할 수 있었습니다.

XSS 공격에서 해커는 사용자 모르게 웹사이트에 악성 스크립트나 코드를 삽입합니다. 그런 다음 이 코드는 사용자 데이터를 수집하고(어-오!) 웹 사이트 콘텐츠를 수정하거나 손상된 다른 웹 페이지로 보냅니다. 해커가 서버에 저장되어 있는 웹사이트의 일부(예: 사용자 댓글)에 자신의 코드를 삽입하는 데 성공하면 Persistent XSS 가 됩니다.

'지속적', 사용자가 감염된 웹 페이지를 로드할 때마다 브라우저가 해당 악성 코드를 실행하여 공격을 완료하기 때문입니다.'

우리 모두는 검색 엔진을 알고 있으며, 특히 Google은 사이트 보안을 매우 중요하게 생각합니다. 따라서 이러한 취약점은 SEO에 매우 나쁜 영향을 미칩니다. 뿐만 아니라 사용자 간에 신뢰 문제도 발생합니다. 최악의 경우 웹 사이트에 대한 액세스 권한을 잃거나 사이트에 스팸 링크 및 맬웨어가 있다는 이유로 웹 호스트에 의해 정지될 수도 있습니다.

이 취약점이 큰 이유는 인증이 필요하지 않고 감염된 웹사이트에 계정이 없는 사용자도 악용할 수 있기 때문입니다.인증 요구 사항이 없으므로 공격을 자동화하여 많은 수의 사이트( 이 경우에는 60,000개 이상)에 영향을 미치기 쉽습니다!

공격

보호되지 않은 'admin_init 후크'로 인해 공격이 가능합니다. 이것은 대부분의 공격자가 공격을 시작하는 곳이며 WordPress 플러그인 공격과 관련하여 매우 일반적입니다.

먼저 후크가 무엇을 의미하는지 이해합시다. 후크는 한 코드 조각이 다른 코드 조각과 상호 작용하고 변경할 수 있는 수단입니다. WordPress는 일반적으로 누군가 사이트의 관리 페이지를 방문할 때 이 후크를 호출합니다. 이 후크는 개발자가 해당 지점에서 다양한 기능을 호출하는 데 사용할 수 있습니다. 문제는 후크에 인증이 필요하지 않으며 관리 URL을 방문하는 모든 사람이 이를 사용하여 코드를 실행할 수 있다는 것입니다. WP Live Chat의 관리 후크는 wplc_head_basic이라는 작업을 호출하여 사용자의 권한을 확인하지 않고 단순히 플러그인 설정을 업데이트합니다.

해커는 이 결함을 사용하여 라이브 채팅 창이 나타날 때마다 플러그인이 표시하는 콘텐츠를 제어하는 ​​wplc_custom_js라는 JavaScript 옵션을 업데이트할 수 있습니다. 이제 이것을 생각해 보십시오. 라이브 채팅 위젯은 사용자가 웹사이트에서 방문하는 거의 모든 페이지에서 사용자를 따라다니므로 해커가 이 방법을 사용하여 여러 페이지를 대상으로 삼는 것은 식은 죽 먹기입니다!

그렇다면 어떻게 사이트를 안전하게 보호할 수 있을까요?

WP Live Chat Support 플러그인 뒤에 있는 개발자는 이 취약점을 처리하는 패치를 출시했습니다 .따라서 웹사이트 해킹을 피하는 가장 좋은 방법은 웹사이트를 최신 버전으로 업데이트하는 것입니다.

8.0.27 이후의 모든 버전은 안전 하지만 최신 버전으로 자주 업데이트하는 것이 좋습니다.최신 버전은8.0.33 이며 여기에서다운로드할 수 있습니다.

앞으로 사이트를 안전하게 유지하려면 어떻게 해야 합니까?

1단계: 신뢰할 수 있는 출처에서만 플러그인과 테마를 받으세요!

웹사이트나 토렌트 파일에서 프리미엄 플러그인을 무료로 받고 싶은 유혹이 대단하죠? 프리미엄 기능에 대해 생각하고 얼마나 많은 비용을 절약할 수 있을지…

신뢰할 수 없는 출처에서 플러그인을 다운로드할 때마다 플러그인이 맬웨어나 바이러스에 감염될 위험도 감수해야 합니다. 해당 프리미엄 플러그인을 사용하면 몇 달러를 절약할 수 있지만 가능하다면 웹사이트를 복구하는 데 수천 달러를 지출하게 될 수도 있습니다. 따라서 항상 신뢰할 수 있는 소스, 가급적이면 인증된 회사의 플러그인을 설치하고 전문가 및 커뮤니티 구성원이 악성 코드에 대해 조사했는지 확인하십시오.

신뢰할 수 있는 WordPress 마켓플레이스 플러그인:

• 워드프레스
• 코드캐년
• Pick플러그인
• 모조 마켓플레이스
• 마이테메샵
• 테마아일
• ThemeForest

2단계: 안정적인 보안 플러그인 얻기

WordPress에는 모든 웹 사이트에 대해 매우 효과적인 보안 시스템이 있습니다. 그러나 위에서 언급한 것과 같은 취약점은 모든 보안 검사를 우회하여 사이트에 위협이 될 수 있습니다. 따라서 보안 플러그인이 중요합니다.

보안 플러그인의 경우 공격이 의심되는 경우 단순히 웹사이트의 취약성을 스캔하는 것이 아니라 사이트가 항상 안전하고 보호되도록 능동적으로 보장하는 플러그인을 얻는 것이 좋습니다. 맬웨어 검사, WordPress 방화벽 및 웹사이트 관리와 함께 맬웨어 제거를 통해 24/7 보호를 제공하는 플러그인이 필요합니다. 저렴한 가격으로 모두 하나로!

MalCare는 정확히 이러한 점을 염두에 두고 개발된 플러그인으로 웹 사이트의 방어가 항상 작동하도록 합니다.

MalCare가 제공하는 기능은 다음과 같습니다.

맬웨어 검사:

MalCare는 100개 이상의 신호로 웹사이트를 스캔하고 서명 확인을 뛰어넘습니다.이를 통해 시장에서 사용할 수 있는 다른 어떤 플러그인보다 맬웨어를 더 잘 식별할 수 있습니다. 데이터베이스에 서명이 없는 알려지지 않은 맬웨어도 식별할 수 있습니다.

MalCare는 전체 사이트와 동기화하고연중무휴 24시간 모든 변경 사항을 추적합니다 .모든 무단 변경은 정확한 위치까지 추적되며 이는 맬웨어의 소스를 식별하는 데 도움이 됩니다. 매일 24시간 사이트를 추적한 후에도MalCare가 자체 서버의 모든 파일을 스캔하므로 서버에 로드가 전혀 없습니다 . 귀하의 웹사이트는 우리와 함께 결코 느려지지 않을 것입니다!

설정에서 일정을 지정하기만 하면 매일 자동 검색을 수행하도록 MalCare를 설정할 수 있습니다. 또한 원할 때마다무제한 주문형 검색을 수행하고 맬웨어가 발견되면 즉시 알림을 받을 수 있는 옵션도 있습니다.

또한 귀하의 웹사이트가 감염되었다는 알림을 받고 사실이 아님을 알게 되는 것이 얼마나 무섭고 짜증나는 일인지 이해합니다. MalCare도 이 문제를 처리합니다. 업계에서 오탐이 가장 적습니다 . 즉, 철저한 확인 후에만 알려드립니다.

맬웨어 제거:

MalCare의 원클릭 맬웨어 제거 기능을 사용하면 60초 이내에사이트에서 맬웨어가 제거됩니다!

MalCare는웹사이트에서 맬웨어를 제거할 때 웹사이트에 영향을 미치지 않습니다 .파일이 감염된 경우 MalCare는감염된 부분만 지능적으로 제거하고 데이터는 그대로 둡니다 .MalCare가 멀웨어를 제거하기 위해 백엔드에서 맹렬하게 작업하는 경우에도 웹 사이트는 절대 중단되지 않습니다.

MalCare가 특정 맬웨어를 식별하고 제거하면사이트를 다시 감염시킬 수 없습니다.항상. 우리는 그것을 보장합니다. 수두에 걸리면 몸이 수두를 피하는 방법을 알고 있는 것처럼 MalCare는 유사한 공격 및 맬웨어가 돌아오려고 할 때 웹 사이트를 보호하는 방법을 알고 있습니다. 당신은 미래의 공격으로부터 면역이 있습니다.

워드프레스 방화벽:

나쁜 놈들은 밖에 두고 좋은 인터넷 트래픽만 들어오게 할 수 있다면 정말 좋지 않을까요? MalCare 방화벽은 정확하게 이 작업을 수행합니다.

이 방화벽은 네트워크의 알려진 악성 IP 주소 목록에 대해 들어오는 웹 트래픽을 24/7 추적하고 위험한 IP가 사이트에 액세스하는 것을 차단합니다 .공격자가 웹 사이트에 액세스할 수 없으면 공격하기가 어려워집니다. 추가 보호를 위해지역 차단도 지원합니다 .MalCare를 사용하면 무차별 암호 대입 공격으로부터 웹 사이트를 보호하는CAPTCHA 기반 로그인 보호 기능 도 얻을 수 있습니다.MalCare가 의심스러운 로그인을 감지하면 적절한 조치를 취할 수 있도록 즉시 알림을 받습니다.

또한 적절한 암호와 코드 없이는 아무도 귀하의 웹사이트에 액세스할 수 없도록 하는이중 인증이 있습니다.

웹사이트 관리:

모든 플러그인을 최신 버전으로 유지하는 것이 중요합니다. 우리가 본 것처럼 WordPress Live Chat Support 플러그인 취약성으로부터 안전하기 위한 가장 간단한 해결책은 개발자가 패치를 출시하자마자 이를 업데이트하는 것이었습니다. MalCare의 관리 도구는 모든 웹사이트에서 모든 테마와 플러그인을 업데이트합니다 .WordPress 코어 관리자를 사용하여 코어 수정 사항을 업데이트하고 WordPress를 업그레이드하고 웹 사이트에서 PHP 버전을 확인할 수 있습니다.

또한 클라이언트에게 액세스 권한을 부여하고 싶지만 클라이언트가 사이트의 기능에 간섭하는 것을 원하지 않는 시나리오에서 MalCare의 관리 도구를사용하면 특정 사용자 역할과 액세스 권한을 할당할 수 있으므로 아무도 할 수 없습니다. 의도하지 않은 변경.모든 웹사이트에팀원과 고객을 쉽게 추가 할 수 있습니다.

또한 MalCare로 웹사이트를 무제한으로 관리할 수 있습니다.

또한 사이트 가동 시간을 모니터링하고 슬랙에 대한 다운타임 알림을받고 웹사이트의성능을 확인할수도 있습니다. 뛰어난 온디맨드 예약클라이언트 보고를 통해 모든 데이터를 컴파일하고 통찰력을 중앙 집중화하여 시간을 절약할 수 있습니다 .

중앙 집중식 대시보드에서 이 모든 것을 제어할 수 있습니다!

웹 보안과 관련하여 어떠한 타협도 없어야 합니다. 결국, 귀하의 웹사이트는 디지털 세계에서 귀하의 정체성입니다. 맬웨어, 바이러스 또는 해킹 등 어떤 방식으로든 피해를 입지 않도록 주의해야 합니다. MalCare는 현재 및 미래의 모든 위협으로부터 웹 사이트를 보호합니다. 월 $8.25 의 저렴한 비용으로 세계적 수준의 보안을 누리세요!위에서 언급한 모든 기능은 모든 요금제에서 추가 비용 없이 무료로 사용할 수 있습니다.

MalCare는 연중무휴 모든 위협으로부터 사이트를 안전하게 보호하도록 도와줍니다.