Эта уязвимость в вашем плагине поддержки WP Live Chat позволяет хакерам скомпрометировать ваш сайт!

Иметь веб-сайт на WordPress — это прекрасно, но в цифровом мире всегда идет непрекращающаяся битва между хорошими и плохими парнями… звучит как сюжет фильма, не так ли? Но, это реальность! Хорошие парни — исследователи безопасности и разработчики — хотят обеспечить безопасность вашего сайта. А плохие парни — хакеры и спамеры — хотят использовать его нелегально в злонамеренных целях.

Копнем глубже…

«Каждые 39 секунд происходит атака на веб-сайт, и 98% уязвимостей WordPress связаны с плагинами».

Пока вы читаете это, злоумышленник где-то пытается нелегально получить доступ к веб-сайту WordPress, используя уязвимость в каком-то плагине.

В апреле 2019 года хорошие ребята, они же исследователи безопасности, обнаружили уязвимость постоянного межсайтового скриптинга (XSS) вплагине WP Live Chat Support .Это побудило плохих парней, также известных как хакеры, воспользоваться этой уязвимостью и внедрить вредоносные скрипты на веб-сайт, тем самым получив контроль над веб-сайтом.Плагин WP Live Chat Support — это плагин WordPress, который является бесплатной альтернативой другим полнофункциональным плагинам поддержки живого чата, предназначенным для взаимодействия и конверсий.У плагина было более60 000 активных установок , что подвергало риску тысячи пользователей.

В чем заключалась эта уязвимость и как она влияет на вас?

Уязвимость в плагине WP Live Chat Support позволяла злоумышленнику выполнять атаки с использованием межсайтовых сценариев (XSS) на целевом веб-сайте.

При XSS-атаке хакер внедряет вредоносный скрипт или код на ваш сайт без вашего ведома. Таким образом, этот код, возможно, собирает пользовательские данные (о-о!), изменяет содержимое вашего веб-сайта или отправляет их на другую скомпрометированную веб-страницу. Если хакеру удается внедрить свой код в ту часть вашего веб-сайта, которая хранится на сервере (например, комментарии пользователей), он становится постоянным XSS .

«Постоянный», потому что всякий раз, когда пользователь загружает зараженную веб-страницу, браузер выполняет этот вредоносный код, тем самым завершая атаку.

Мы все знаем, что поисковые системы, особенно Google, очень серьезно относятся к безопасности сайта. И, следовательно, любая такая уязвимость очень плохо скажется на вашем SEO. Мало того, это также создает проблемы с доверием среди ваших пользователей. В худших случаях вы можете даже потерять доступ к своему веб-сайту или быть заблокированным вашим веб-хостингом за наличие спам-ссылок и вредоносных программ на вашем сайте.

Причина, по которой эта уязвимость имеет большое значение, заключается в том, что она не требует никакой аутентификации и может быть использована пользователями, у которых даже нет учетной записи на зараженном веб-сайте.Без необходимости аутентификации можно легко автоматизировать атаку, чтобы затронуть большое количество сайтов, в данном случае более 60 000!

Атака

Атака стала возможной благодаря незащищенномухуку admin_init. Отсюда большинство злоумышленников начинают свои атаки, и это довольно распространено, когда речь идет об атаках плагинов WordPress.

Давайте сначала разберемся, что означает крючок. Хук — это средство для взаимодействия одного фрагмента кода с другим и его изменения. WordPress обычно вызывает этот хук, когда кто-то посещает страницу администратора сайта. Этот хук может использоваться разработчиками для вызова различных функций в этот момент. Проблема в том, что хук не требует никакой аутентификации, и любой, кто посещает URL-адрес администратора, может использовать его для запуска кода. Хук администратора WP Live Chat вызывает действие под названием wplc_head_basic, которое не проверяет привилегии пользователя, а просто обновляет настройки плагина.

Хакер может использовать эту уязвимость для обновления параметра JavaScript под названием wplc_custom_js, который управляет содержимым, отображаемым плагином всякий раз, когда появляется окно живого чата. Теперь подумайте об этом — виджет живого чата следует за пользователем почти на каждой странице, которую он посещает на вашем веб-сайте, и, следовательно, для хакеров не составляет труда нацелиться на несколько страниц, используя этот метод!

Итак, как вы защищаете свой сайт от этого?

Разработчики плагина WP Live Chat Support выпустили патч, устраняющий эту уязвимость .Поэтому лучшее решение, чтобы избежать взлома вашего сайта, — это обновить его до последней версии.

Любая версия после 8.0.27 безопасна , но даже в этом случае мы рекомендуем вам часто обновляться до самой последней версии.Самая новая версия8.0.33 доступна здесь.

Как обеспечить безопасность своего сайта в будущем?

Шаг 1: Приобретайте плагины и темы только из надежных источников!

Довольно заманчиво получить этот премиальный плагин бесплатно с веб-сайта или из торрент-файла, не так ли? Возможно, вы думаете о премиальных функциях и о том, сколько денег вы, возможно, сэкономите… эээ… или действительно сэкономите?

Всякий раз, когда вы загружаете плагины из ненадежных источников, вы также принимаете на себя риск их заражения вредоносным ПО или вирусами. Хотя вы можете сэкономить несколько долларов на этом премиальном плагине, в конечном итоге вы можете потратить тысячи, пытаясь восстановить свой веб-сайт, если это вообще возможно. Поэтому всегда устанавливайте плагины из надежных источников, предпочтительно из проверенной компании, и проверяйте, проверены ли они экспертами и членами сообщества на наличие вредоносных кодов.

Доверенные плагины торговой площадки WordPress:

• Вордпресс
• КодКаньон
• PickPlug-ins
• Торговая площадка Моджо
• MyThemeshop
• Темайсль
• ТемаЛес

Шаг 2. Получите надежный плагин безопасности

WordPress имеет довольно эффективную систему безопасности для всех своих веб-сайтов. Однако уязвимость, подобная упомянутой выше, может обойти все проверки безопасности и создать угрозу для вашего сайта. Следовательно, плагин безопасности имеет решающее значение.

Когда дело доходит до плагинов безопасности, предпочтительнее получить плагин, который не просто сканирует ваш сайт на предмет уязвимости после предполагаемой атаки, а плагин, который активно обеспечивает постоянную безопасность вашего сайта. Вам нужен плагин, который предлагает защиту 24/7 с сканированием вредоносных программ, удалением вредоносных программ, брандмауэром WordPress и управлением веб-сайтом… все в одном, по доступной цене!

MalCare — это плагин, разработанный именно с учетом этих вещей, и он обеспечивает постоянную защиту вашего сайта.

Вот что предлагает MalCare…

Сканирование вредоносных программ:

MalCare сканирует ваш сайт с помощью более 100 сигналов и выходит за рамки проверки подписи.Это позволяет ему идентифицировать вредоносные программы лучше, чем любой другой плагин, доступный на рынке. Он может идентифицировать даже неизвестное вредоносное ПО, сигнатуры которого нет ни в одной базе данных.

MalCare синхронизируется со всем вашим сайтом икруглосуточно отслеживает любые изменения .Любое несанкционированное изменение отслеживается до его точного местоположения, что помогает определить источник вредоносного ПО. Даже после круглосуточного отслеживания вашего сайтанагрузка на ваш сервер нулевая , так какMalCare сканирует все файлы на собственном сервере. Ваш сайт никогда не будет тормозить с нами!

Вы можете настроить MalCare на ежедневное автоматическое сканирование, просто указав расписание в настройках. У вас также есть возможность выполнятьнеограниченное количество сканирований по запросу в любое время и мгновенно получать уведомления в случае обнаружения вредоносных программ.

Мы также понимаем, как страшно и раздражающе получать уведомление о том, что ваш сайт заражен, только чтобы узнать, что это неправда. MalCare позаботится и об этом. Он имеет наименьшее количество ложных срабатываний в отрасли … это означает, что мы уведомляем вас только после тщательной проверки.

Удаление вредоносных программ:

Благодаря удалению вредоносных программ MalCare одним щелчком мыши ваш сайт будет свободен от вредоносных программ менее чем за 60 секунд!

MalCareне влияет на ваш сайт , когда очищает его от вредоносных программ.Если файл был заражен, MalCare интеллектуальноудаляет только зараженную часть, оставляя ваши данные нетронутыми .Ваш веб-сайт никогда не выйдет из строя, даже если MalCare яростно работает над удалением вредоносных программ.

Как только MalCare обнаружит и удалит определенную вредоносную программу,она больше никогда не сможет заразить ваш сайт.Всегда. Мы гарантируем это. Точно так же, как ваше тело знает, как избежать ветряной оспы, когда вы ею заболели, MalCare знает, как защитить ваш сайт от подобной атаки и вредоносного ПО, если оно попытается вернуться. У вас есть иммунитет от будущих атак.

Брандмауэр WordPress:

Если бы вы могли держать плохих парней снаружи и пропускать только хороший интернет-трафик, разве это не было бы здорово? Брандмауэр MalCare делает именно это и многое другое!

Этот брандмауэр круглосуточно отслеживает ваш входящий веб-трафик по списку известных вредоносных IP-адресов в своей сети и блокирует опасные IP-адреса от доступа к вашему сайту .Если злоумышленник не может получить доступ к вашему веб-сайту, ему становится трудно атаковать его. Он дажеподдерживает геоблокировку для дополнительной защиты.С MalCare вы также получаетезащиту входа в систему на основе CAPTCHA , которая защищает ваш сайт от атак грубой силы.Если MalCare обнаружит какие-либо подозрительные входы в систему, вы немедленно получите уведомление, чтобы вы могли принять соответствующие меры.

Кроме того, у нас естьдвухфакторная аутентификация , которая гарантирует, что никто не получит доступ к вашему сайту без правильного пароля и кода.

Управление сайтом:

Очень важно, чтобы все ваши плагины были в последней версии. Как мы видели, самым простым решением для защиты от уязвимости плагина поддержки WordPress Live Chat было его обновление, как только разработчики выпустили патч. Инструменты управления MalCare обновят все ваши темы и плагины на всех ваших веб-сайтах .Используя егоосновной менеджер WordPress , вы можете обновлять основные модификации, обновлять WordPress и проверять версию PHP на своих веб-сайтах.

Кроме того, в случае, когда вы хотите предоставить доступ клиенту, но не хотите, чтобы он вмешивался в какую-либо функциональность сайта, инструмент управления MalCare позволяет вам назначать определенные роли пользователей и разрешения на доступ , чтобы никто не мог ничего изменить. непреднамеренные изменения.Вы можете легкодобавлять членов команды и клиентов на все свои веб-сайты.

Кроме того, вы можете управлять неограниченным количеством веб-сайтов с помощью MalCare.

Более того, вы можете отслеживать время безотказной работы вашего сайта , получать оповещения о простоях в Slack, а такжепроверять производительностьсвоего сайта. Благодаря превосходнымотчетам клиентов по запросу и по расписанию вы можете сэкономить время , собирая все данные и получая ценную информацию централизованно.

И вы можете управлять всем этим с централизованной панели инструментов!

Когда дело доходит до веб-безопасности, не должно быть никаких компромиссов. В конце концов, ваш сайт — это ваша личность в цифровом мире. Следует позаботиться о том, чтобы ему ничего не навредило, будь то вредоносное ПО, вирусы или взломы. MalCare защитит ваш сайт от всех текущих и будущих угроз. Получите безопасность мирового уровня всего за $8,25 в месяц! Все упомянутые выше функции доступны бесплатно с любым тарифным планом без дополнительной оплаты.

MalCare поможет вам защитить ваш сайт от всех угроз 24/7.