Ta luka w zabezpieczeniach wtyczki WP Live Chat Support pozwala hakerom na złamanie zabezpieczeń Twojej witryny!

Posiadanie witryny WordPress jest wspaniałe, ale w świecie cyfrowym zawsze toczy się walka między dobrymi a złymi… Brzmi jak fabuła filmu, prawda? Ale to jest rzeczywistość! Dobrzy ludzie – badacze bezpieczeństwa i programiści chcą zapewnić bezpieczeństwo Twojej witryny. A źli faceci – hakerzy i spamerzy, chcą go nielegalnie wykorzystać do złośliwych celów.

Kopnijmy głębiej…

„Atak na stronę internetową ma miejsce co 39 sekund, a 98% luk w zabezpieczeniach WordPress dotyczy wtyczek”

Kiedy to czytasz, atakujący gdzieś próbuje nielegalnie uzyskać dostęp do witryny WordPress, wykorzystując lukę w zabezpieczeniach niektórych wtyczek.

W kwietniu 2019 r. dobrzy ludzie, czyli badacze bezpieczeństwa, odkryli uporczywą lukę w zabezpieczeniach skryptów krzyżowych (XSS) wewtyczce WP Live Chat Support .To skłoniło złoczyńców, czyli hakerów, do wykorzystania tej luki i wstrzyknięcia złośliwych skryptów do witryny internetowej, przejmując w ten sposób kontrolę nad witryną.Wtyczka WP Live Chat Support to wtyczka WordPress, która jest bezpłatną alternatywą dla innych w pełni funkcjonalnych wtyczek obsługujących czat na żywo przeznaczonych do zaangażowania i konwersji.Wtyczka miała ponad60 000 aktywnych instalacji , co stanowiło zagrożenie dla tysięcy użytkowników.

Na czym polegała ta luka i jaki ma ona wpływ na Ciebie?

Luka w zabezpieczeniach wtyczki WP Live Chat Support umożliwiła atakującemu przeprowadzenie ataków typu cross-site scripting (XSS) na docelową stronę internetową.

Podczas ataku XSS haker wstrzykuje złośliwy skrypt lub kod do Twojej witryny bez Twojej wiedzy. Ten kod prawdopodobnie zbiera dane użytkownika (uh-oh!), modyfikuje zawartość Twojej witryny lub wysyła je na inną zainfekowaną stronę internetową. Jeśli hakerowi uda się wstrzyknąć swój kod do części Twojej witryny, która jest przechowywana na serwerze (np. Komentarze użytkowników), staje się ona Persistent XSS .

„Trwałe”, ponieważ za każdym razem, gdy użytkownik ładuje zainfekowaną stronę internetową, przeglądarka wykonuje ten złośliwy kod, kończąc w ten sposób atak”

Wszyscy znamy wyszukiwarki, zwłaszcza Google bardzo poważnie traktuje bezpieczeństwo witryny. W związku z tym każda taka luka będzie miała bardzo zły wpływ na Twoje SEO. Nie tylko to powoduje również problemy z zaufaniem wśród użytkowników. W gorszych przypadkach możesz nawet utracić dostęp do swojej witryny lub zostać zawieszony przez swojego dostawcę usług hostingowych za umieszczenie linków spamowych i złośliwego oprogramowania w Twojej witrynie.

Powodem, dla którego ta luka w zabezpieczeniach jest duża, jest to, że nie wymaga ona żadnego uwierzytelnienia i może być wykorzystywana przez użytkowników, którzy nawet nie mają konta w zainfekowanej witrynie.Bez wymogu uwierzytelnienia można łatwo zautomatyzować atak, który ma wpływ na dużą liczbę witryn, w tym przypadku ponad 60 000!

Atak

Atak jest możliwy dzięki niezabezpieczonemuhakowi „admin_init”. To tutaj większość atakujących rozpoczyna swoje ataki i jest to dość powszechne, jeśli chodzi o ataki na wtyczki WordPress.

Najpierw zrozummy, co oznacza hak. Hak to sposób na interakcję jednego fragmentu kodu i zmianę innego. WordPress zwykle wywołuje ten hak, gdy ktoś odwiedza stronę administracyjną witryny. Ten hak może być używany przez programistów do wywoływania różnych funkcji w tym momencie. Problem polega na tym, że hak nie wymaga żadnego uwierzytelnienia i każdy, kto odwiedza adres URL administratora, może go użyć do uruchomienia kodu. Hak administratora WP Live Chat wywołuje akcję o nazwie wplc_head_basic, która nie sprawdza uprawnień użytkownika i po prostu aktualizuje ustawienia wtyczki.

Haker może wykorzystać tę lukę do zaktualizowania opcji JavaScript o nazwie wplc_custom_js, która kontroluje zawartość wyświetlaną przez wtyczkę za każdym razem, gdy pojawia się okno czatu na żywo. A teraz pomyśl o tym – widżet czatu na żywo podąża za użytkownikiem na prawie każdej stronie, którą odwiedza w Twojej witrynie, a co za tym idzie, ataki hakerów na wiele stron przy użyciu tej metody to bułka z masłem!

Jak więc chronić swoją witrynę przed tym?

Twórcy wtyczki WP Live Chat Support opublikowali łatkę, która usuwa tę lukę .Dlatego najlepszym sposobem na uniknięcie włamania do witryny jest aktualizacja jej do najnowszej wersji.

Każda wersja późniejsza niż 8.0.27 jest bezpieczna , ale nawet wtedy zalecamy częstą aktualizację do najnowszej wersji.Najnowsza wersja to8.0.33 i jest dostępna tutaj.

Jak zapewnić bezpieczeństwo swojej witryny w przyszłości?

Krok 1: Pobieraj wtyczki i motywy tylko z zaufanych źródeł!

To dość kuszące, aby pobrać tę wtyczkę premium za darmo ze strony internetowej lub pliku torrent, prawda? Być może myślisz o funkcjach premium i o tym, ile pieniędzy prawdopodobnie zaoszczędzisz… eee… a może naprawdę?

Za każdym razem, gdy pobierasz wtyczki z niewiarygodnych źródeł, akceptujesz również ryzyko zainfekowania ich złośliwym oprogramowaniem lub wirusami. Chociaż możesz zaoszczędzić kilka dolców na tej wtyczce premium, możesz wydać tysiące, próbując odzyskać swoją witrynę, jeśli w ogóle byłoby to możliwe. Dlatego zawsze instaluj wtyczki z zaufanych źródeł, najlepiej z uwierzytelnionej firmy, i sprawdzaj, czy zostały sprawdzone przez ekspertów i członków społeczności pod kątem złośliwych kodów.

Zaufane wtyczki rynku WordPress:

• WordPressa
• CodeCanyon
• Wybierz wtyczki
• Rynek Mojo
• Mój sklep z motywami
• Wysepka tematyczna
• MotywLas

Krok 2: Uzyskaj niezawodną wtyczkę bezpieczeństwa

WordPress ma dość skuteczny system bezpieczeństwa dla wszystkich swoich stron internetowych. Jednak luka w zabezpieczeniach, taka jak wspomniana powyżej, może ominąć wszystkie kontrole bezpieczeństwa i stanowić zagrożenie dla Twojej witryny. Dlatego wtyczka bezpieczeństwa jest krytyczna.

Jeśli chodzi o wtyczki bezpieczeństwa, lepiej jest kupić wtyczkę, która nie tylko skanuje witrynę pod kątem luk w zabezpieczeniach po podejrzeniu ataku, ale wtyczkę, która aktywnie zapewnia, że ​​witryna jest bezpieczna przez cały czas. Potrzebujesz wtyczki, która oferuje całodobową ochronę ze skanowaniem złośliwego oprogramowania, usuwaniem złośliwego oprogramowania wraz z zaporą WordPress i zarządzaniem witryną… wszystko w jednym, w przystępnej cenie!

MalCare jest wtyczką opracowaną dokładnie z myślą o tych kwestiach i zapewnia, że ​​ochrona Twojej witryny jest zawsze aktywna.

Oto, co oferuje MalCare…

Skanowanie złośliwego oprogramowania:

MalCare skanuje Twoją witrynę za pomocą ponad 100 sygnałów i wykracza poza weryfikację podpisu.Dzięki temu identyfikuje złośliwe oprogramowanie lepiej niż jakakolwiek inna wtyczka dostępna na rynku. Potrafi zidentyfikować nawet nieznane złośliwe oprogramowanie, którego sygnatury nie ma w żadnej bazie danych.

MalCare synchronizuje się z całą witryną iśledzi wszelkie zmiany 24 godziny na dobę, 7 dni w tygodniu .Każda nieautoryzowana zmiana jest śledzona z dokładną lokalizacją, co pomaga w identyfikacji źródła złośliwego oprogramowania. Nawet po śledzeniu Twojej witryny 24 godziny na dobę, 7 dni w tygodniu,Twój serwer nie jest obciążony , ponieważMalCare skanuje wszystkie pliki na własnym serwerze. Twoja strona nigdy nie zwolni z nami!

Możesz skonfigurować MalCare do wykonywania codziennych automatycznych skanów, po prostu określając harmonogram w ustawieniach. Masz również możliwość wykonywanianieograniczonej liczby skanowań na żądanie w dowolnym momencie i otrzymywania natychmiastowych powiadomień w przypadku wykrycia złośliwego oprogramowania.

Rozumiemy również, jak przerażające i irytujące jest otrzymywanie powiadomienia, że ​​Twoja witryna jest zainfekowana, tylko po to, aby dowiedzieć się, że to nieprawda. MalCare dba również o to. Ma najmniej fałszywych alarmów w branży … co oznacza, że ​​powiadamiamy Cię dopiero po dokładnym sprawdzeniu.

Usuwanie złośliwego oprogramowania:

Dzięki usuwaniu złośliwego oprogramowania przez MalCare jednym kliknięciem Twoja witryna będzie wolna od złośliwego oprogramowania w mniej niż 60 sekund!

MalCarenie wpływa na Twoją witrynę , gdy oczyszcza ją ze złośliwego oprogramowania.Jeśli plik został zainfekowany, MalCare inteligentnieusuwa tylko zainfekowaną część i pozostawia dane nienaruszone .Twoja witryna nigdy się nie zepsuje, nawet jeśli MalCare zaciekle pracuje w zapleczu, aby usunąć złośliwe oprogramowanie.

Gdy MalCare zidentyfikuje i usunie określone złośliwe oprogramowanie,nie może już nigdy zainfekować Twojej witryny.Kiedykolwiek. Gwarantujemy to. Tak jak twoje ciało wie, jak uniknąć ospy wietrznej, gdy już ją złapiesz, MalCare wie, jak zabezpieczyć twoją stronę internetową przed podobnym atakiem i złośliwym oprogramowaniem, jeśli spróbuje wrócić. Masz odporność na przyszłe ataki.

Zapora sieciowa WordPressa:

Czy nie byłoby wspaniale, gdybyś mógł trzymać złych facetów na zewnątrz i przepuszczać tylko dobry ruch internetowy? Zapora MalCare robi dokładnie to i wiele więcej!

Ta zapora śledzi przychodzący ruch sieciowy 24 godziny na dobę, 7 dni w tygodniu na podstawie listy znanych złośliwych adresów IP w swojej sieci i blokuje niebezpiecznym adresom IP dostęp do Twojej witryny .Jeśli atakujący nie może uzyskać dostępu do Twojej witryny, zaatakowanie jej staje się dla niego trudne.Obsługuje nawet blokowanie geograficzne dla dodatkowej ochrony.Dzięki MalCare otrzymujesz równieżochronę logowania opartą na CAPTCHA , która chroni Twoją witrynę przed atakami siłowymi.Jeśli MalCare wykryje podejrzane logowania, natychmiast otrzymasz powiadomienie, abyś mógł podjąć odpowiednie działania.

Mamy równieżuwierzytelnianie dwuskładnikowe , które gwarantuje, że nikt nie uzyska dostępu do Twojej witryny bez odpowiedniego hasła i kodu.

Zarządzanie witryną:

Niezbędne jest posiadanie wszystkich wtyczek w najnowszej wersji. Jak widzieliśmy, najprostszym sposobem zabezpieczenia się przed luką w zabezpieczeniach wtyczki WordPress Live Chat Support była aktualizacja, gdy tylko programiści opublikują łatkę. Narzędzia do zarządzania MalCare zaktualizują wszystkie Twoje motywy i wtyczki na wszystkich Twoich stronach internetowych .Korzystając zgłównego menedżera WordPress , możesz aktualizować podstawowe modyfikacje, aktualizować WordPress i sprawdzać wersję PHP na swoich stronach internetowych.

Ponadto w scenariuszu, w którym chcesz przyznać klientowi dostęp, ale nie chcesz, aby ingerował w jakąkolwiek funkcjonalność witryny, narzędzie do zarządzania MalCare umożliwia przypisanie określonych ról użytkownika i uprawnień dostępu , aby nikt nie mógł niezamierzone zmiany.Możesz łatwododawać członków zespołu i klientów do wszystkich swoich stron internetowych.

Co więcej, możesz zarządzać nieograniczoną liczbą stron internetowych za pomocą MalCare.

Co więcej, możesz monitorować czas działania witryny , otrzymywać powiadomienia o przestojach w przypadku luzu, a także sprawdzaćwydajnośćwitryny. Dzięki przełożonym, na żądanie i zaplanowanymraportom dla klientów możesz zaoszczędzić czas, kompilując wszystkie dane i scentralizując wgląd.

I możesz kontrolować to wszystko ze scentralizowanego pulpitu nawigacyjnego!

Jeśli chodzi o bezpieczeństwo w sieci, nie powinno być żadnych kompromisów. W końcu Twoja strona internetowa to Twoja tożsamość w cyfrowym świecie. Należy uważać, aby nic go nie uszkodziło, czy to złośliwe oprogramowanie, wirusy czy hacki. MalCare ochroni Twoją witrynę przed wszystkimi obecnymi i przyszłymi zagrożeniami. Uzyskaj światowej klasy zabezpieczenia już od 8,25 USD miesięcznie! Wszystkie wymienione powyżej funkcje są dostępne za darmo z dowolnym planem bez dodatkowych kosztów.

MalCare pomaga chronić Twoją witrynę przed wszystkimi zagrożeniami 24 godziny na dobę, 7 dni w tygodniu.