ช่องโหว่นี้ในปลั๊กอินสนับสนุนการแชทสด WP ของคุณทำให้แฮ็กเกอร์ประนีประนอมเว็บไซต์ของคุณได้!

การมีเว็บไซต์ WordPress นั้นยอดเยี่ยม แต่ในโลกดิจิทัลนั้น มีการต่อสู้อย่างต่อเนื่องระหว่างคนดีกับคนเลว… ฟังดูเหมือนพล็อตเรื่องในหนังใช่ไหม? แต่นี่คือความจริง! คนดี – นักวิจัยด้านความปลอดภัยและนักพัฒนาต้องการให้เว็บไซต์ของคุณปลอดภัย และผู้ร้ายอย่างแฮ็กเกอร์และสแปมเมอร์ต้องการใช้อย่างผิดกฎหมายเพื่อวัตถุประสงค์ที่เป็นอันตราย

มาเจาะลึกกัน…

“มีการโจมตีเว็บไซต์ทุกๆ 39 วินาที และ 98% ของช่องโหว่ WordPress เกี่ยวข้องกับปลั๊กอิน”

ขณะที่คุณกำลังอ่านข้อความนี้ ผู้โจมตีบางแห่งพยายามเข้าถึงเว็บไซต์ WordPress อย่างผิดกฎหมายโดยใช้ช่องโหว่ของปลั๊กอินบางตัว

ในเดือนเมษายน 2019 นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ cross-site scripting (XSS) ที่มีอยู่ในปลั๊กอิน WP Live Chat Supportสิ่งนี้ทำให้ผู้ร้ายหรือแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่นี้และแทรกสคริปต์ที่เป็นอันตรายบนเว็บไซต์ ดังนั้นจึงเข้าควบคุมเว็บไซต์ปลั๊กอินสนับสนุน WP Live Chat เป็นปลั๊กอิน WordPress ซึ่งเป็นทางเลือกฟรีสำหรับปลั๊กอินสนับสนุนการสนทนาสดที่ทำงานได้อย่างสมบูรณ์อื่น ๆ ที่มีไว้สำหรับการมีส่วนร่วมและการแปลงปลั๊กอินมีการติดตั้งที่ใช้งานอยู่มากกว่า 60,000 ครั้ง ซึ่งทำให้ผู้ใช้หลายพันคนตกอยู่ในความเสี่ยง

ช่องโหว่นี้คืออะไรและมีผลกระทบต่อคุณอย่างไร?

ช่องโหว่ในปลั๊กอิน WP Live Chat Support ทำให้ผู้โจมตีสามารถโจมตีแบบ cross-site scripting (XSS) บนเว็บไซต์เป้าหมายได้

ในการโจมตี XSS แฮ็กเกอร์จะแทรกสคริปต์หรือโค้ดที่เป็นอันตรายลงในเว็บไซต์ของคุณโดยที่คุณไม่รู้ตัว รหัสนี้จึงอาจรวบรวมข้อมูลผู้ใช้ (เอ่อ!) แก้ไขเนื้อหาเว็บไซต์ของคุณหรือส่งไปยังหน้าเว็บอื่นที่ถูกบุกรุก หากแฮ็กเกอร์จัดการแทรกโค้ดของเขา/เธอในส่วนของเว็บไซต์ของคุณ ซึ่งจัดเก็บไว้ในเซิร์ฟเวอร์ (เช่น: ความคิดเห็นของผู้ใช้) จะกลายเป็น Persistent XSS

'คงอยู่' เพราะเมื่อใดก็ตามที่ผู้ใช้โหลดหน้าเว็บที่ติดไวรัส เบราว์เซอร์จะเรียกใช้โค้ดที่เป็นอันตรายนั้น จึงจะเสร็จสิ้นการโจมตี'

เราทุกคนรู้จักเครื่องมือค้นหา โดยเฉพาะอย่างยิ่ง Google ให้ความสำคัญกับความปลอดภัยของไซต์เป็นอย่างมาก และด้วยเหตุนี้ ช่องโหว่ใดๆ ดังกล่าวจะนำไปสู่ผลกระทบที่เลวร้ายต่อ SEO ของคุณ ไม่เพียงแค่นั้น ยังสร้างปัญหาความไว้วางใจในหมู่ผู้ใช้ของคุณอีกด้วย ในกรณีที่แย่กว่านั้น คุณอาจสูญเสียการเข้าถึงเว็บไซต์ของคุณหรือถูกโฮสต์เว็บระงับเนื่องจากมีลิงก์สแปมและมัลแวร์ในไซต์ของคุณ

สาเหตุที่ช่องโหว่นี้เป็นเรื่องใหญ่เนื่องจากไม่ต้องการการตรวจสอบสิทธิ์ใด ๆ และสามารถใช้ประโยชน์ได้โดยผู้ใช้ที่ไม่มีบัญชีในเว็บไซต์ที่ติดไวรัสเมื่อไม่ต้องการการตรวจสอบสิทธิ์ การโจมตีแบบอัตโนมัติจะส่งผลกระทบต่อไซต์จำนวนมากได้อย่างง่ายดาย โดยในกรณีนี้มากกว่า 60,000 แห่ง!

การโจมตี

การโจมตีเกิดขึ้นได้เนื่องจาก 'admin_init hook' ที่ไม่มีการป้องกัน นี่คือจุดที่ผู้โจมตีส่วนใหญ่เริ่มโจมตีและเป็นเรื่องปกติเมื่อพูดถึงการโจมตีปลั๊กอิน WordPress

ก่อนอื่นมาทำความเข้าใจว่าตะขอหมายถึงอะไร hook เป็นเครื่องมือสำหรับโค้ดหนึ่งชิ้นในการโต้ตอบและเปลี่ยนแปลงโค้ดอื่น WordPress มักจะเรียก hook นี้เมื่อมีผู้เยี่ยมชมหน้าผู้ดูแลระบบของไซต์ ผู้พัฒนาสามารถใช้ hook นี้เพื่อเรียกใช้ฟังก์ชั่นต่าง ๆ ณ จุดนั้น ปัญหาคือ hook ไม่ต้องการการรับรองความถูกต้องใด ๆ และใครก็ตามที่เข้าชม URL ของผู้ดูแลระบบสามารถใช้เพื่อเรียกใช้โค้ดได้ ตะขอผู้ดูแลระบบของ WP Live Chat เรียกการกระทำที่เรียกว่า wplc_head_basic ซึ่งไม่ตรวจสอบสิทธิ์ของผู้ใช้และเพียงอัปเดตการตั้งค่าปลั๊กอิน

แฮ็กเกอร์สามารถใช้ข้อบกพร่องนี้เพื่ออัปเดตตัวเลือก JavaScript ที่เรียกว่า wplc_custom_js ที่ควบคุมเนื้อหาที่ปลั๊กอินแสดงเมื่อใดก็ตามที่หน้าต่างแชทสดปรากฏขึ้น ลองนึกถึงสิ่งนี้ – วิดเจ็ตแชทสดจะติดตามผู้ใช้ในเกือบทุกหน้าที่เขา/เธอเยี่ยมชมเว็บไซต์ของคุณ ดังนั้น จึงเป็นเรื่องง่ายสำหรับแฮ็กเกอร์ที่จะกำหนดเป้าหมายหลายหน้าโดยใช้วิธีนี้!

ดังนั้น คุณจะรักษาไซต์ของคุณให้ปลอดภัยจากสิ่งนี้ได้อย่างไร

นักพัฒนาที่อยู่เบื้องหลังปลั๊กอิน WP Live Chat Support ได้ออกแพตช์ที่ดูแลช่องโหว่นี้ดังนั้น วิธีที่ดีที่สุดในการหลีกเลี่ยงการถูกแฮ็กเว็บไซต์ของคุณคือการอัปเดตเป็นเวอร์ชันล่าสุด

เวอร์ชันใดก็ตามหลังจาก 8.0.27 นั้นปลอดภัย แต่ถึงอย่างนั้น เราขอแนะนำให้คุณอัปเดตเป็นเวอร์ชันล่าสุดบ่อยๆเวอร์ชันใหม่ล่าสุดคือ8.0.33 และพร้อมใช้งาน ที่นี่

คุณจะรักษาไซต์ของคุณให้ปลอดภัยในอนาคตได้อย่างไร

ขั้นตอนที่ 1: รับปลั๊กอินและธีมจากแหล่งที่เชื่อถือได้เท่านั้น!

ค่อนข้างดึงดูดที่จะได้รับปลั๊กอินพรีเมียมฟรีจากเว็บไซต์หรือไฟล์ torrent ใช่ไหม คุณอาจกำลังคิดเกี่ยวกับฟีเจอร์ระดับพรีเมียมและเงินที่คุณจะประหยัดได้เท่าไหร่... เอ้อ... หรือคุณจะจริงเหรอ?

เมื่อใดก็ตามที่คุณดาวน์โหลดปลั๊กอินจากแหล่งที่ไม่น่าเชื่อถือ คุณก็ยอมรับความเสี่ยงที่ปลั๊กอินเหล่านั้นจะติดมัลแวร์หรือไวรัส แม้ว่าคุณอาจประหยัดเงินได้เล็กน้อยสำหรับปลั๊กอินพรีเมียมนั้น แต่คุณอาจต้องเสียเงินหลายพันเพื่อพยายามกู้คืนเว็บไซต์ของคุณ หากเป็นไปได้ ดังนั้นควรติดตั้งปลั๊กอินจากแหล่งที่เชื่อถือได้เสมอ โดยเฉพาะอย่างยิ่งบริษัทที่ผ่านการรับรองความถูกต้อง และตรวจสอบว่าได้ผ่านการตรวจสอบโดยผู้เชี่ยวชาญและสมาชิกในชุมชนเพื่อหารหัสที่เป็นอันตรายหรือไม่

ปลั๊กอินตลาด WordPress ที่เชื่อถือได้:

• เวิร์ดเพรส
• รหัสแคนยอน
• เลือกปลั๊กอิน
• ตลาดโมโจ
• MyThemeshop
• หัวข้อ
• ธีมฟอเรสต์

ขั้นตอนที่ 2: รับปลั๊กอินความปลอดภัยที่เชื่อถือได้

WordPress มีระบบรักษาความปลอดภัยที่มีประสิทธิภาพสำหรับเว็บไซต์ทั้งหมด อย่างไรก็ตาม ช่องโหว่ดังที่กล่าวไว้ข้างต้นสามารถข้ามการตรวจสอบความปลอดภัยทั้งหมดและเป็นภัยคุกคามต่อไซต์ของคุณได้ ดังนั้นปลั๊กอินความปลอดภัยจึงมีความสำคัญ

เมื่อพูดถึงปลั๊กอินความปลอดภัย ควรเลือกปลั๊กอินที่ไม่เพียงแค่สแกนเว็บไซต์ของคุณเพื่อหาช่องโหว่หลังจากการโจมตีที่ต้องสงสัย แต่เป็นปลั๊กอินที่ช่วยให้มั่นใจว่าไซต์ของคุณปลอดภัยตลอดเวลา คุณต้องมีปลั๊กอินที่ให้การป้องกัน 24/7 ด้วยการสแกนมัลแวร์ การลบมัลแวร์พร้อมกับไฟร์วอลล์ WordPress และการจัดการเว็บไซต์… ทั้งหมดในที่เดียวในราคาที่เหมาะสม!

MalCare เป็นปลั๊กอินที่พัฒนาขึ้นโดยคำนึงถึงสิ่งเหล่านี้เป็นหลัก และทำให้มั่นใจได้ว่าเว็บไซต์ของคุณมีการป้องกันอยู่เสมอ

นี่คือสิ่งที่ MalCare นำเสนอ...

การสแกนมัลแวร์:

MalCare สแกนเว็บไซต์ของคุณด้วย สัญญาณมากกว่า 100 รายการ และเป็นมากกว่าการตรวจสอบลายเซ็นสิ่งนี้ทำให้สามารถระบุมัลแวร์ได้ดีกว่าปลั๊กอินอื่น ๆ ที่มีอยู่ในตลาด สามารถระบุได้แม้กระทั่งมัลแวร์ที่ไม่รู้จักซึ่งไม่มีลายเซ็นอยู่ในฐานข้อมูลใดๆ

MalCare ซิงค์กับทั้งไซต์ของคุณและติดตามการเปลี่ยนแปลงตลอด 24 ชั่วโมงทุกวันการเปลี่ยนแปลงใด ๆ ที่ไม่ได้รับอนุญาตจะถูกติดตามไปยังตำแหน่งที่แม่นยำ และจะช่วยในการระบุแหล่งที่มาของมัลแวร์ แม้ว่าหลังจากติดตามไซต์ของคุณตลอด 24 ชั่วโมงทุกวันเซิร์ฟเวอร์ของคุณก็จะไม่มีการโหลดใดๆ เนื่องจากMalCare จะสแกนไฟล์ทั้งหมดบนเซิร์ฟเวอร์ของตัวเอง เว็บไซต์ของคุณจะไม่มีวันช้าลงไปพร้อมกับเรา!

คุณสามารถตั้งค่าให้ MalCare ทำการสแกนอัตโนมัติรายวันโดยระบุตารางเวลาในการตั้งค่า คุณยังมีตัวเลือกในการสแกนตามต้องการไม่จำกัดครั้ง เมื่อคุณต้องการ และรับการแจ้งเตือนทันทีหากพบมัลแวร์

นอกจากนี้ เรายังเข้าใจว่ามันน่ากลัวและน่าหงุดหงิดแค่ไหนที่ได้รับการแจ้งเตือนว่าเว็บไซต์ของคุณติดไวรัส เพียงเพื่อจะพบว่ามันไม่จริง MalCare ดูแลสิ่งนี้ด้วย มี ผลบวกลวงน้อยที่สุดในอุตสาหกรรม … ซึ่งหมายความว่าเราจะแจ้งให้คุณทราบหลังจากการตรวจสอบอย่างละเอียดเท่านั้น

การกำจัดมัลแวร์:

ด้วย การลบมัลแวร์ในคลิกเดียว ของ MalCare ไซต์ของคุณจะปราศจากมัลแวร์ ภายในเวลาไม่ถึง 60 วินาที!

MalCareไม่ส่งผลกระทบต่อเว็บไซต์ของคุณ เมื่อทำการล้างมัลแวร์หากไฟล์ติดไวรัส MalCareจะลบเฉพาะส่วนที่ติดไวรัสอย่างชาญฉลาดและปล่อยให้ข้อมูลของคุณไม่เสียหายเว็บไซต์ของคุณจะไม่มีวันพังแม้ว่า MalCare จะทำงานอย่างคึกคะนองในแบ็กเอนด์เพื่อกำจัดมัลแวร์ก็ตาม

เมื่อ MalCare ระบุและลบมัลแวร์บางตัวแล้วมันจะไม่ทำให้เว็บไซต์ของคุณติดไวรัสอีกต่อไปเคย. เรากล้ารับประกัน เช่นเดียวกับที่ร่างกายของคุณรู้วิธีหลีกเลี่ยงโรคอีสุกอีใสเมื่อคุณจับได้ MalCare รู้วิธีปกป้องเว็บไซต์ของคุณจากการโจมตีและมัลแวร์ที่คล้ายกันหากพยายามกลับมา คุณมีภูมิคุ้มกันจากการโจมตีในอนาคต

ไฟร์วอลล์ WordPress:

ถ้าคุณสามารถกันคนเลวไว้ข้างนอกและปล่อยให้คนดีๆ เข้าอินเทอร์เน็ตได้ จะดีกว่าไหม? ไฟร์วอลล์ MalCare ทำสิ่งนี้และอีกมากมาย!

ไฟร์วอลล์นี้จะติดตามการเข้าชมเว็บที่เข้ามาของคุณทุกวันตลอด 24 ชั่วโมง เทียบกับรายการที่อยู่ IP ที่เป็นอันตรายที่รู้จักในเครือข่าย และ บล็อก IP ที่เป็นอันตรายไม่ให้เข้าถึงไซต์ของคุณหากผู้โจมตีไม่สามารถเข้าถึงเว็บไซต์ของคุณได้ ก็จะกลายเป็นเรื่องยากสำหรับเขาที่จะโจมตี มันยังรองรับการปิดกั้นทางภูมิศาสตร์ สำหรับการป้องกันเพิ่มเติมด้วย MalCare คุณยังได้รับการปกป้องการเข้าสู่ระบบด้วย CAPTCHA ซึ่งจะปกป้องเว็บไซต์ของคุณจากการโจมตีแบบเดรัจฉานหาก MalCare ตรวจพบการเข้าสู่ระบบที่น่าสงสัย คุณจะได้รับแจ้งทันทีเพื่อให้คุณดำเนินการได้อย่างเหมาะสม

นอกจากนี้ เรายังมีการรับรองความถูกต้องด้วยสองปัจจัย ที่ทำให้มั่นใจได้ว่าจะไม่มีใครเข้าถึงเว็บไซต์ของคุณได้หากไม่มีรหัสผ่านและรหัสที่ถูกต้อง

การจัดการเว็บไซต์:

จำเป็นต้องมีปลั๊กอินทั้งหมดของคุณในเวอร์ชันล่าสุด อย่างที่เราได้เห็น วิธีแก้ไขที่ง่ายที่สุดเพื่อให้ปลอดภัยจากช่องโหว่ของปลั๊กอิน WordPress Live Chat Support คือการอัปเดตทันทีที่นักพัฒนาออกแพตช์ เครื่องมือการจัดการของ MalCare จะ อัปเดตธีมและปลั๊กอินทั้งหมดของคุณทั่วทั้งเว็บไซต์ของคุณเมื่อใช้ตัวจัดการหลักของ WordPress คุณสามารถอัปเดตการแก้ไขหลัก อัปเกรด WordPress และตรวจสอบเวอร์ชัน PHP บนเว็บไซต์ของคุณ

นอกจากนี้ ในสถานการณ์ที่คุณต้องการให้สิทธิ์การเข้าถึงกับไคลเอนต์แต่ไม่ต้องการให้พวกเขาเข้าไปยุ่งกับฟังก์ชันการทำงานของเว็บไซต์ เครื่องมือการจัดการของ MalCare ช่วยให้คุณ กำหนดบทบาทผู้ใช้และสิทธิ์ในการเข้าถึงได้อย่างเฉพาะเจาะจง เพื่อให้ไม่มีใครสามารถดำเนินการใดๆ ได้ การเปลี่ยนแปลงที่ไม่ได้ตั้งใจคุณสามารถเพิ่มสมาชิกในทีมและลูกค้า ไปยังเว็บไซต์ของคุณทั้งหมดได้อย่างง่ายดาย

นอกจากนี้ คุณสามารถจัดการเว็บไซต์ได้ไม่จำกัดด้วย MalCare

ยิ่งไปกว่านั้น คุณยังสามารถตรวจสอบ สถานะการออนไลน์ของไซต์ รับ การแจ้งเตือนการหยุดทำงานในช่วงเวลาสั้น ๆและตรวจสอบประสิทธิภาพสำหรับเว็บไซต์ของคุณได้อีกด้วย ด้วยการรายงานลูกค้าที่เหนือกว่า ตามต้องการ และกำหนดเวลาไว้ คุณจะประหยัดเวลา ได้ด้วยการรวบรวมข้อมูลทั้งหมดและรวมข้อมูลเชิงลึกไว้ที่ส่วนกลาง

และคุณสามารถควบคุมทั้งหมดได้จากแดชบอร์ดส่วนกลาง!

เมื่อเป็นเรื่องของความปลอดภัยของเว็บ ไม่ควรมีการประนีประนอม ท้ายที่สุดแล้วเว็บไซต์ของคุณคือตัวตนของคุณในโลกดิจิทัล ควรใช้ความระมัดระวังว่าจะไม่ได้รับอันตรายใดๆ จากสิ่งใด ไม่ว่าจะเป็นมัลแวร์ ไวรัส หรือการแฮ็ก MalCare จะปกป้องเว็บไซต์ของคุณจากภัยคุกคามทั้งในปัจจุบันและอนาคต รับการรักษาความปลอดภัยระดับโลกใน ราคาเพียง $8.25 ต่อเดือน! ฟีเจอร์ทั้งหมดที่กล่าวถึงข้างต้นมีให้ใช้งานฟรีโดยไม่มีค่าใช้จ่ายเพิ่มเติม

MalCare ช่วยคุณรักษาไซต์ของคุณให้ปลอดภัยจากภัยคุกคามทั้งหมดตลอด 24 ชั่วโมงทุกวัน