Esta vulnerabilidade em seu plug-in de suporte WP Live Chat permite que hackers comprometam seu site!

Ter um site em WordPress é excelente, mas no mundo digital há sempre uma batalha contínua entre os mocinhos e os bandidos... parece enredo de filme, não é? Mas, isso é uma realidade! Os mocinhos – pesquisadores e desenvolvedores de segurança, querem manter seu site seguro. E os bandidos – os hackers e spammers, querem usá-lo ilegalmente para fins maliciosos.

Vamos cavar mais fundo…

“Há um ataque a um site a cada 39 segundos e 98% das vulnerabilidades do WordPress estão relacionadas a plugins”

Enquanto você está lendo isso, um invasor em algum lugar está tentando acessar ilegalmente um site WordPress explorando a vulnerabilidade de algum plug-in.

Em abril de 2019, os mocinhos, também conhecidos como pesquisadores de segurança, descobriram uma vulnerabilidade persistente de cross-site scripting (XSS) noplugin WP Live Chat Support .Isso alertou os bandidos, também conhecidos como hackers, para explorar essa vulnerabilidade e injetar scripts maliciosos em um site, assumindo o controle do site.O plug-in WP Live Chat Support é um plug-in do WordPress, que é uma alternativa gratuita a outros plug-ins de suporte ao bate-papo ao vivo totalmente funcionais, destinados a engajamento e conversões.O plugin teve mais de60.000 instalações ativas , o que colocou em risco milhares de usuários.

Qual foi essa vulnerabilidade e como isso afeta você?

A vulnerabilidade no plug-in WP Live Chat Support permitiu que um invasor realizasse ataques de script entre sites (XSS) no site de destino.

Em um ataque XSS, o hacker injeta um script ou código malicioso em seu site sem o seu conhecimento. Este código, então, possivelmente coleta dados do usuário (uh-oh!), modifica o conteúdo do seu site ou os envia para outra página da Web comprometida. Se o hacker conseguir injetar seu código na parte do seu site, que está armazenada no servidor (Ex: Comentários do usuário), ele se torna XSS Persistente .

'Persistente', porque sempre que um usuário carrega a página infectada, o navegador executa esse código malicioso, completando assim o ataque'

Todos nós sabemos que os mecanismos de pesquisa, especialmente o Google, levam a segurança do site muito a sério. E, portanto, qualquer vulnerabilidade desse tipo levará a um impacto muito ruim no seu SEO. Não apenas isso, mas também cria problemas de confiança entre seus usuários. Em casos piores, você pode até perder o acesso ao seu site ou ser suspenso pelo seu host por ter links de spam e malware em seu site.

A razão pela qual essa vulnerabilidade é importante é que ela não requer nenhuma autenticação e pode ser explorada por usuários que nem mesmo possuem uma conta no site infectado.Sem exigência de autenticação, fica fácil automatizar o ataque para afetar um grande número de sites, mais de 60.000 neste caso!

O ataque

O ataque é possível devido a um 'gancho admin_init' desprotegido. É aqui que a maioria dos invasores inicia seus ataques e é bastante comum quando se trata de ataques de plugins do WordPress.

Vamos primeiro entender o que significa um gancho. Um gancho é um meio para que um pedaço de código interaja e altere outro. O WordPress geralmente chama esse gancho quando alguém visita a página de administração do site. Esse gancho pode ser usado por desenvolvedores para chamar várias funções nesse ponto. O problema é que o gancho não requer autenticação e qualquer pessoa que visite o URL do administrador pode usá-lo para executar o código. O gancho de administração do WP Live Chat chama uma ação chamada wplc_head_basic que não verifica os privilégios do usuário e simplesmente atualiza as configurações do plug-in.

Um hacker pode usar essa falha para atualizar uma opção JavaScript chamada wplc_custom_js que controla o conteúdo que o plug-in exibe sempre que a janela de bate-papo ao vivo aparece. Agora, pense nisso – o widget de bate-papo ao vivo segue o usuário em quase todas as páginas que ele visita em seu site e, portanto, é fácil para os hackers segmentar várias páginas usando esse método!

Então, como você mantém seu site protegido contra isso?

Os desenvolvedores por trás do plug-in WP Live Chat Support lançaram um patch que cuida dessa vulnerabilidade .Portanto, a melhor solução para evitar que seu site seja invadido é atualizá-lo para a versão mais recente.

Qualquer versão após 8.0.27 é segura , mas mesmo assim recomendamos que você atualize com frequência para a versão mais recente.A versão mais recente é8.0.33 e está disponível aqui.

Como você mantém seu site seguro no futuro?

Passo 1: Obtenha os plugins e temas apenas de fontes confiáveis!

É bastante tentador obter esse plug-in premium gratuitamente em um site ou arquivo torrent, não é? Você pode estar pensando sobre os recursos premium e quanto dinheiro você possivelmente economizará ... err ... ou será, sério?

Sempre que você baixa plug-ins de fontes não confiáveis, também aceita o risco de eles serem infectados por malware ou vírus. Embora você possa economizar alguns dólares com esse plug-in premium, você pode acabar gastando milhares tentando recuperar seu site, se isso for possível. Portanto, sempre instale plug-ins de fontes confiáveis, de preferência da empresa autenticada, e verifique se eles foram verificados por especialistas e membros da comunidade quanto a códigos maliciosos.

Plugins de mercado WordPress confiáveis:

• WordPress
• CódigoCanyon
• PickPlug-ins
• Mercado Mojo
• MyThemeshop
• corredor temático
• ThemeForest

Etapa 2: obtenha um plug-in de segurança confiável

O WordPress possui um sistema de segurança bastante eficaz para todos os seus sites. No entanto, uma vulnerabilidade como a mencionada acima pode ignorar todas as verificações de segurança e representar uma ameaça ao seu site. Portanto, um plugin de segurança é crítico.

Quando se trata de plug-ins de segurança, é preferível obter um plug-in que não simplesmente escaneie seu site em busca de uma vulnerabilidade após um ataque suspeito, mas um plug-in que garanta ativamente que seu site esteja seguro e protegido o tempo todo. Você precisa de um plug-in que ofereça proteção 24 horas por dia, 7 dias por semana com verificação de malware, remoção de malware junto com o firewall do WordPress e gerenciamento de sites… tudo em um, a um preço acessível!

O MalCare é um plug-in desenvolvido exatamente com essas coisas em mente e garante que as defesas do seu site estejam sempre ativas.

Aqui está o que o MalCare oferece…

Varredura de malware:

O MalCare verifica seu site com mais de 100 sinais e vai além da verificação de assinatura.Isso permite identificar malware melhor do que qualquer outro plug-in disponível no mercado. Ele pode identificar até mesmo malware desconhecido cuja assinatura não está presente em nenhum banco de dados.

O MalCare sincroniza com todo o seu site erastreia quaisquer alterações 24 horas por dia, 7 dias por semana .Qualquer alteração não autorizada é rastreada até sua localização precisa e isso ajuda a identificar a origem do malware. Mesmo depois de rastrear seu site 24 horas por dia, 7 dias por semana,não há cargas em seu servidor , poiso MalCare verifica todos os arquivos em seu próprio servidor. Seu site nunca ficará lento conosco!

Você pode configurar o MalCare para realizar verificações automáticas diárias simplesmente especificando uma programação nas configurações. Você também tem a opção de realizarvarreduras sob demanda ilimitadas sempre que quiser e ser notificado instantaneamente se algum malware for encontrado.

Também entendemos como é assustador e irritante receber uma notificação dizendo que seu site está infectado e descobrir que isso não é verdade. MalCare cuida disso também. Ele tem o menor número de falsos positivos do setor ... o que significa que notificamos você somente após uma verificação completa.

Remoção de malware:

Com a remoção de malware com um clique do MalCare, seu site ficará livre de malware em menos de 60 segundos!

O MalCarenão afeta seu site ao limpá-lo de malware.Se um arquivo foi infectado, o MalCareremove de forma inteligente apenas a parte infectada e deixa seus dados intactos .Seu site nunca será interrompido, mesmo quando o MalCare estiver trabalhando furiosamente no back-end para remover malware.

Depois que o MalCare identifica e remove um determinado malware,ele nunca mais pode infectar seu site.Sempre. Nós garantimos isso. Assim como seu corpo sabe como evitar a catapora depois de contraída, o MalCare sabe como proteger seu site de um ataque semelhante e malware se ele tentar voltar. Você tem imunidade contra ataques futuros.

Firewall WordPress:

Se você pudesse manter os bandidos do lado de fora e deixar apenas o bom tráfego da Internet entrar, não seria ótimo? O firewall MalCare faz exatamente isso e muito mais!

Esse firewall rastreia o tráfego de entrada da Web 24 horas por dia, 7 dias por semana, em relação a uma lista de endereços IP maliciosos conhecidos em sua rede e bloqueia o acesso de IPs perigosos ao seu site .Se um invasor não puder acessar seu site, será difícil para ele atacá-lo. Ele aindasuporta bloqueio geográfico para proteção adicional.Com o MalCare, você também obtémproteção de login baseada em CAPTCHA , que protege seu site contra ataques de força bruta.Se o MalCare detectar algum login suspeito, você será notificado imediatamente para que possa tomar as medidas apropriadas.

Além disso, temosautenticação de dois fatores que garante que ninguém tenha acesso ao seu site sem uma senha e um código adequados.

Gerenciamento do site:

É essencial ter todos os seus plugins na versão mais recente. Como vimos, a solução mais simples para se proteger da vulnerabilidade do plug-in WordPress Live Chat Support era atualizá-lo assim que os desenvolvedores lançassem o patch. As ferramentas de gerenciamento do MalCare atualizarão todos os seus temas e plug-ins em todos os seus sites .Usando seugerenciador de núcleo do WordPress , você pode atualizar as modificações do núcleo, atualizar o WordPress e verificar a versão do PHP em seus sites.

Além disso, em um cenário em que você deseja conceder acesso a um cliente, mas não deseja que ele se intrometa em nenhuma funcionalidade do site, a ferramenta de gerenciamento do MalCare permite atribuir funções de usuário específicas e permissões de acesso para que ninguém possa fazer qualquer mudanças não intencionais.Você podeadicionar facilmente membros da equipe e clientes a todos os seus sites.

Além disso, você pode gerenciar sites ilimitados com o MalCare.

Além do mais, você pode monitorar o tempo de atividade do seu site , obter alertas de tempo de inatividade no Slacke também fazer umaverificação de desempenhodo seu site. Comrelatórios de cliente superiores, sob demanda e agendados, você pode economizar tempo compilando todos os dados e centralizando os insights.

E você pode controlar tudo isso a partir de um painel centralizado!

Quando se trata de segurança na web, não deve haver concessões. Afinal, seu site é sua identidade no mundo digital. Deve-se tomar cuidado para que não seja prejudicado de forma alguma por nada, seja malware, vírus ou hacks. MalCare protegerá seu site contra todas as ameaças atuais e futuras. Obtenha segurança de classe mundial por apenas US$ 8,25 por mês! Todos os recursos mencionados acima estão disponíveis gratuitamente em qualquer plano, sem custo adicional.

O MalCare ajuda você a manter seu site protegido contra todas as ameaças 24 horas por dia, 7 dias por semana.