Această vulnerabilitate din pluginul dvs. de asistență WP Live Chat permite hackerilor să vă compromită site-ul!

A avea un site web WordPress este excelent, dar în lumea digitală, există întotdeauna o luptă continuă între băieții buni și cei răi... sună ca un complot de film, nu-i așa? Dar, aceasta este o realitate! Băieții buni – cercetători și dezvoltatori de securitate, vor să vă păstreze site-ul în siguranță. Iar băieții răi – hackerii și spammerii, vor să-l folosească ilegal în scopuri rău intenționate.

Să săpăm mai adânc…

„Există un atac asupra unui site web la fiecare 39 de secunde și 98% dintre vulnerabilitățile WordPress sunt legate de pluginuri”

În timp ce citiți acest lucru, un atacator de undeva încearcă să acceseze ilegal un site web WordPress exploatând vulnerabilitatea unui plugin.

În aprilie 2019, băieții buni, alias cercetătorii de securitate, au descoperit o vulnerabilitate persistentă de scriptare încrucișată (XSS) înpluginul WP Live Chat Support .Acest lucru i-a îndrumat pe băieții răi, alias hackerii, să exploateze această vulnerabilitate și să injecteze scripturi rău intenționate pe un site web, preluând astfel controlul asupra site-ului.Plugin-ul WP Live Chat Support este un plugin WordPress, care este o alternativă gratuită la alte pluginuri de asistență pentru chat live complet funcționale, menite pentru implicare și conversii.Pluginul a avut peste60.000 de instalări active , ceea ce a pus în pericol mii de utilizatori.

Care a fost această vulnerabilitate și cum te afectează?

Vulnerabilitatea din pluginul WP Live Chat Support a permis unui atacator să efectueze atacuri cross-site scripting (XSS) pe site-ul țintă.

Într-un atac XSS, hackerul injectează un script sau un cod rău intenționat pe site-ul dvs., fără să știți. Prin urmare, acest cod poate colecta date despre utilizatori (uh-oh!), vă modifică conținutul site-ului web sau le trimite către o altă pagină web compromisă. Dacă hackerul reușește să-și injecteze codul pe porțiunea site-ului dvs., care este stocată pe server (Ex: comentariile utilizatorului), acesta devine XSS persistent .

„Persistent”, deoarece ori de câte ori un utilizator încarcă pagina web infectată, browserul execută acel cod rău intenționat, completând astfel atacul”

Cu toții cunoaștem motoarele de căutare, în special Google ia foarte în serios securitatea site-ului. Și, prin urmare, orice astfel de vulnerabilitate va duce la un impact foarte rău asupra SEO. Nu doar atât, creează și probleme de încredere în rândul utilizatorilor tăi. În cazuri mai grave, ați putea chiar să pierdeți accesul la site-ul dvs. web sau să fiți suspendat de gazda dvs. web pentru că aveți linkuri spam și programe malware pe site-ul dvs.

Motivul pentru care această vulnerabilitate este mare lucru este că nu necesită nicio autentificare și poate fi exploatată de utilizatorii care nici măcar nu au cont pe site-ul infectat.Fără nicio cerință de autentificare, devine ușor să automatizezi atacul pentru a afecta un număr mare de site-uri, peste 60.000 în acest caz!

Atacul

Atacul este posibil datorită unui „admin_init hook” neprotejat. De aici încep majoritatea atacatorilor și este destul de comun când vine vorba de atacurile cu pluginuri WordPress.

Să înțelegem mai întâi ce înseamnă un cârlig. Un cârlig este un mijloc prin care o bucată de cod poate interacționa și schimba alta. WordPress numește de obicei acest cârlig atunci când cineva vizitează pagina de administrare a site-ului. Acest cârlig poate fi folosit de dezvoltatori pentru a apela diferite funcții în acel moment. Problema este că hook-ul nu necesită nicio autentificare și oricine vizitează adresa URL de administrator o poate folosi pentru a rula codul. Cârligul de administrare al WP Live Chat apelează o acțiune numită wplc_head_basic care nu verifică privilegiile utilizatorului și pur și simplu actualizează setările pluginului.

Un hacker poate folosi acest defect pentru a actualiza o opțiune JavaScript numită wplc_custom_js care controlează conținutul pe care îl afișează pluginul ori de câte ori apare fereastra de chat live. Acum, gândiți-vă la asta - widgetul de chat live urmărește utilizatorul în aproape fiecare pagină pe care o vizitează pe site-ul dvs. și, prin urmare, este o simplă simplitate pentru hackeri să vizeze mai multe pagini folosind această metodă!

Deci, cum vă protejați site-ul de asta?

Dezvoltatorii din spatele pluginului WP Live Chat Support au lansat un patch care se ocupă de această vulnerabilitate .Prin urmare, cea mai bună soluție pentru a evita piratarea site-ului dvs. este actualizarea acestuia la cea mai recentă versiune.

Orice versiune după 8.0.27 este sigură , dar chiar și atunci vă recomandăm să actualizați frecvent la cea mai recentă versiune.Cea mai nouă versiune este8.0.33 și este disponibilă aici.

Cum vă păstrați site-ul în siguranță în viitor?

Pasul 1: Obțineți pluginurile și temele numai din surse de încredere!

Este destul de tentant să obții acel plugin premium gratuit de pe un site web sau dintr-un fișier torrent, nu-i așa? S-ar putea să vă gândiți la funcțiile premium și la câți bani veți economisi... greșit... sau vrei, într-adevăr?

Ori de câte ori descărcați pluginuri din surse nesigure, acceptați și riscul ca acestea să fie infectate cu malware sau viruși. Deși s-ar putea să economisiți câțiva dolari pe acel plugin premium, s-ar putea să cheltuiți mii încercând să vă recuperați site-ul, dacă ar fi posibil. Prin urmare, instalați întotdeauna pluginuri din surse de încredere, de preferință compania autentificată și verificați dacă acestea au fost verificate de experți și membrii comunității pentru coduri rău intenționate.

Pluginuri de încredere pentru piața WordPress:

• WordPress
• CodeCanyon
• PickPlugin-uri
• Piața Mojo
• MyThemeshop
• Themeisle
• ThemeForest

Pasul 2: Obțineți un plugin de securitate de încredere

WordPress are un sistem de securitate destul de eficient pentru toate site-urile sale web. Cu toate acestea, o vulnerabilitate precum cea menționată mai sus poate ocoli toate verificările de securitate și poate reprezenta o amenințare pentru site-ul dvs. Prin urmare, un plugin de securitate este critic.

Când vine vorba de pluginuri de securitate, este de preferat să obțineți un plugin care nu vă scanează pur și simplu site-ul web pentru o vulnerabilitate după un atac suspectat, ci un plugin care să asigure în mod activ site-ul dvs. în siguranță și securizat tot timpul. Aveți nevoie de un plugin care oferă protecție 24/7 cu scanare de malware, eliminarea programelor malware, împreună cu firewall WordPress și gestionarea site-ului web... totul într-unul, la un preț accesibil!

MalCare este un plugin dezvoltat cu exact aceste lucruri în minte și se asigură că apărarea site-ului dvs. este întotdeauna ridicată.

Iată ce oferă MalCare...

Scanare malware:

MalCare vă scanează site-ul web cu peste 100 de semnale și depășește verificarea semnăturii.Acest lucru îi permite să identifice malware-ul mai bine decât orice alt plugin disponibil pe piață. Poate identifica chiar și malware necunoscut a cărui semnătură nu este prezentă în nicio bază de date.

MalCare se sincronizează cu întregul site șiurmărește orice modificări 24/7 .Orice modificare neautorizată este urmărită în locația sa exactă, iar acest lucru ajută la identificarea sursei malware-ului. Chiar și după urmărirea site-ului dvs. 24/7,nu există încărcări pe serverul dvs. , deoareceMalCare scanează toate fișierele de pe propriul server. Site-ul tău nu va încetini niciodată cu noi!

Puteți configura MalCare pentru a efectua scanări automate zilnice, prin simpla specificare a unui program în setări. Aveți, de asemenea, opțiunea de a efectuascanări nelimitate la cerere oricând doriți și de a fi notificat instantaneu dacă este găsit malware.

Înțelegem, de asemenea, cât de înfricoșător și iritant este să primiți o notificare care spune că site-ul dvs. web este infectat doar pentru a afla că nu este adevărat. MalCare se ocupă și de asta. Are cele mai puține rezultate false pozitive din industrie ... ceea ce înseamnă că vă anunțăm numai după o verificare amănunțită.

Eliminarea programelor malware:

Prin eliminarea programelor malware cu un singur clic de la MalCare, site-ul dvs. va fi fără malware în mai puțin de 60 de secunde!

MalCarenu vă afectează site-ul web atunci când îl curăță de programe malware.Dacă un fișier a fost infectat, MalCareelimină inteligent doar partea infectată și vă lasă datele intacte .Site-ul dvs. nu se va defecta niciodată, chiar și atunci când MalCare lucrează cu furie în backend pentru a elimina programele malware.

Odată ce MalCare identifică și elimină un anumit program malware,nu vă va mai putea infecta niciodată site-ul.Vreodată. Îl garantăm. La fel cum corpul tău știe cum să evite varicela odată ce o prinzi, MalCare știe cum să-ți protejeze site-ul de un atac similar și de programe malware dacă încearcă să revină. Ai imunitate la atacuri viitoare.

Paravan de protecție WordPress:

Dacă poți să-i ții pe cei răi afară și să lași doar traficul de internet bun, nu ar fi grozav? Paravanul de protecție MalCare face exact acest lucru și multe altele!

Acest firewall urmărește traficul dvs. web de intrare 24/7 în funcție de o listă de adrese IP rău intenționate cunoscute din rețeaua sa și blochează accesul IP-urilor periculoase la site-ul dvs.Dacă un atacator nu poate accesa site-ul dvs., devine dificil pentru el să îl atace.Acceptă chiar și geoblocarea pentru protecție suplimentară.Cu MalCare, beneficiați șide protecție de conectare bazată pe CAPTCHA , care vă protejează site-ul web împotriva atacurilor cu forță brută.Dacă MalCare detectează autentificări suspecte, veți fi notificat imediat, astfel încât să puteți lua măsurile corespunzătoare.

De asemenea, avemautentificare cu doi factori care asigură că nimeni nu are acces la site-ul dvs. fără o parolă și un cod adecvat.

Administrarea site-ului web:

Este esențial să aveți toate pluginurile în cea mai recentă versiune. După cum am văzut, cea mai simplă soluție pentru a fi în siguranță de vulnerabilitatea pluginului WordPress Live Chat Support a fost actualizarea acestuia de îndată ce dezvoltatorii au lansat patch-ul. Instrumentele de management MalCare vă vor actualiza toate temele și pluginurile de pe toate site-urile dvs. web .Folosindmanagerul său de bază WordPress , puteți actualiza modificările de bază, actualizați WordPress și verificați versiunea PHP pe site-urile dvs. web.

De asemenea, într-un scenariu în care ați dori să acordați acces unui client, dar nu doriți ca acesta să se amestece cu nicio funcționalitate a site-ului, instrumentul de management al MalCare vă permite să atribuiți anumite roluri de utilizator și permisiuni de acces, astfel încât nimeni să nu poată face modificări neintenționate.Putețiadăuga cu ușurință membri ai echipei și clienți pe toate site-urile dvs. web.

Mai mult, puteți gestiona site-uri web nelimitate cu MalCare.

În plus, puteți monitoriza timpul de funcționare a site-ului dvs., puteți primi alerte privind timpul de nefuncționareși, de asemenea, putețiverifica performanțasite-ului dvs. Curaportarea superioară, la cerere și programată pentru clienți, puteți economisi timp prin compilarea tuturor datelor și centralizarea informațiilor.

Și poți controla totul dintr-un tablou de bord centralizat!

Când vine vorba de securitatea web, nu ar trebui să existe compromisuri. La urma urmei, site-ul tău web este identitatea ta în lumea digitală. Trebuie avut grijă ca acesta să nu fie afectat în niciun fel de nimic, fie că este vorba de malware, viruși sau hack-uri. MalCare vă va proteja site-ul împotriva tuturor amenințărilor actuale și viitoare. Obțineți securitate de clasă mondială pentru doar 8,25 USD pe lună! Toate funcțiile menționate mai sus sunt disponibile gratuit cu orice plan, fără costuri suplimentare.

MalCare vă ajută să vă protejați site-ul de toate amenințările 24/7.