WP Canlı Sohbet Destek Eklentinizdeki Bu Güvenlik Açığı, Bilgisayar Korsanlarının Sitenizi Ele Geçirmesine İzin Veriyor!

Bir WordPress web sitesine sahip olmak harika, ancak dijital dünyada her zaman iyi adamlar ve kötü adamlar arasında süregelen bir savaş vardır… Kulağa bir film konusu gibi geliyor, değil mi? Ancak bu bir gerçek! İyi adamlar – güvenlik araştırmacıları ve geliştiricileri, web sitenizi güvende tutmak istiyor. Ve kötü adamlar, bilgisayar korsanları ve spam gönderenler, onu yasa dışı olarak kötü amaçlarla kullanmak isterler.

Daha derine inelim…

“Her 39 saniyede bir web sitesine saldırı oluyor ve WordPress güvenlik açıklarının %98'i eklentilerle ilgili”

Siz bunu okurken, bir yerlerdeki bir saldırgan, bazı eklentilerin güvenlik açığından yararlanarak bir WordPress web sitesine yasa dışı bir şekilde erişmeye çalışıyor.

Nisan 2019'da, güvenlik araştırmacıları olarak da bilinen iyi adamlar,WP Canlı Sohbet Desteği eklentisinde kalıcı bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı keşfettiler.Bu, kötü adamlara, yani bilgisayar korsanlarına bu güvenlik açığından yararlanma ve bir web sitesine kötü amaçlı komut dosyaları yerleştirme ve böylece web sitesinin kontrolünü ele geçirme tüyosu verdi.WP Canlı Sohbet Desteği eklentisi, katılım ve dönüşümler için tasarlanmış diğer tamamen işlevsel canlı sohbet desteği eklentilerine ücretsiz bir alternatif olan bir WordPress eklentisidir.Eklenti, binlerce kullanıcıyı riske atan60.000'den fazla etkin yüklemeye sahipti.

Bu güvenlik açığı neydi ve sizi nasıl etkiliyor?

WP Live Chat Support eklentisindeki güvenlik açığı, bir saldırganın hedef web sitesinde siteler arası komut dosyası çalıştırma (XSS) saldırıları gerçekleştirmesine izin verdi.

Bir XSS saldırısında, bilgisayar korsanı bilginiz olmadan web sitenize kötü amaçlı bir komut dosyası veya kod enjekte eder. Bu kod, daha sonra muhtemelen kullanıcı verilerini toplar (uh-oh!), web sitenizin içeriğini değiştirir veya onları güvenliği ihlal edilmiş başka bir web sayfasına gönderir. Bilgisayar korsanı, kodunu web sitenizin sunucuda depolanan bölümüne (Örn: Kullanıcı yorumları) enjekte etmeyi başarırsa, Kalıcı XSS ​​olur.

'Kalıcı', çünkü bir kullanıcı virüslü web sayfasını her yüklediğinde, tarayıcı bu kötü amaçlı kodu çalıştırarak saldırıyı tamamlıyor'

Arama motorlarının, özellikle de Google'ın site güvenliğini çok ciddiye aldığını hepimiz biliyoruz. Ve bu nedenle, bu tür bir güvenlik açığı SEO'nuz üzerinde çok kötü bir etkiye yol açacaktır. Sadece bu değil, kullanıcılarınız arasında güven sorunları da yaratır. Daha kötü durumlarda, web sitenize erişimi kaybedebilir veya sitenizde spam bağlantıları ve kötü amaçlı yazılım bulundurduğu için web barındırıcınız tarafından askıya alınabilirsiniz.

Bu güvenlik açığının önemli olmasının nedeni, herhangi bir kimlik doğrulama gerektirmemesi ve virüslü web sitesinde hesabı bile olmayan kullanıcılar tarafından istismar edilebilmesidir.Kimlik doğrulama gereksinimi olmadan, çok sayıda siteyi, bu durumda 60.000'den fazla siteyietkileyecek şekilde saldırıyı otomatikleştirmek kolaylaşıyor!

saldırı

Saldırı, korumasız bir "admin_init kancası" nedeniyle mümkün oldu. Bu, saldırganların çoğunun saldırılarına başladığı yerdir ve WordPress eklentisi saldırıları söz konusu olduğunda oldukça yaygındır.

Önce kancanın ne anlama geldiğini anlayalım. Kanca, bir kod parçasının diğeriyle etkileşime girmesi ve onu değiştirmesi için bir araçtır. Birisi sitenin yönetici sayfasını ziyaret ettiğinde WordPress genellikle bu kancayı çağırır. Bu kanca, geliştiriciler tarafından bu noktada çeşitli işlevleri çağırmak için kullanılabilir. Sorun, kancanın herhangi bir kimlik doğrulama gerektirmemesi ve yönetici URL'sini ziyaret eden herkesin kodu çalıştırmak için kullanabilmesidir. WP Live Chat'in yönetici kancası, kullanıcının ayrıcalıklarını kontrol etmeyen ve yalnızca eklenti ayarlarını güncelleyen wplc_head_basic adlı bir eylemi çağırır.

Bir bilgisayar korsanı, canlı sohbet penceresi her göründüğünde eklentinin görüntülediği içeriği kontrol eden wplc_custom_js adlı bir JavaScript seçeneğini güncellemek için bu kusuru kullanabilir. Şimdi şunu bir düşünün - canlı sohbet widget'ı, kullanıcıyı web sitenizde ziyaret ettiği hemen hemen her sayfada takip eder ve bu nedenle, bilgisayar korsanlarının bu yöntemi kullanarak birden çok sayfayı hedeflemesi çocuk oyuncağıdır!

Peki, sitenizi bundan nasıl korursunuz?

WP Live Chat Support eklentisinin arkasındaki geliştiriciler , bu güvenlik açığını gideren bir yama yayınladılar .Bu nedenle, web sitenizin saldırıya uğramasını önlemenin en iyi çözümü, onu en son sürüme güncellemektir.

8.0.27'den sonraki tüm sürümler güvenlidir , ancak o zaman bile sık sık en son sürüme güncelleme yapmanızı öneririz.En yeni sürüm8.0.33'tür ve buradanerişilebilir.

Gelecekte sitenizi nasıl güvende tutarsınız?

1. Adım: Eklentileri ve temaları yalnızca güvenilir kaynaklardan edinin!

Bu premium eklentiyi bir web sitesinden veya bir torrent dosyasından ücretsiz olarak almak oldukça cazip, değil mi? Premium özellikleri ve muhtemelen ne kadar tasarruf edeceğinizi düşünüyor olabilirsiniz… err… yoksa gerçekten yapacak mısınız?

Güvenilir olmayan kaynaklardan eklenti indirdiğinizde, bunlara kötü amaçlı yazılım veya virüs bulaşma riskini de kabul etmiş olursunuz. Bu premium eklentiden birkaç dolar tasarruf edebilirken, mümkünse web sitenizi kurtarmak için binlerce dolar harcamak zorunda kalabilirsiniz. Bu nedenle, her zaman güvenilir kaynaklardan, tercihen kimliği doğrulanmış şirketten eklentiler yükleyin ve bunların uzmanlar ve topluluk üyeleri tarafından kötü amaçlı kodlar için incelenip incelenmediğini kontrol edin.

Güvenilir WordPress pazar yeri eklentileri:

• wordpress
• Kod Kanyonu
• Eklenti Seçme
• Mojo Pazarı
• MyThemeshop
• Tema
• Tema Ormanı

2. Adım: Güvenilir bir güvenlik eklentisi edinin

WordPress, tüm web siteleri için oldukça etkili bir güvenlik sistemine sahiptir. Ancak yukarıda bahsettiğimiz gibi bir güvenlik açığı tüm güvenlik kontrollerini atlayabilir ve siteniz için tehdit oluşturabilir. Bu nedenle bir güvenlik eklentisi önemlidir.

Güvenlik eklentileri söz konusu olduğunda, şüpheli bir saldırıdan sonra web sitenizi yalnızca bir güvenlik açığı için taramayan, sitenizin her zaman güvenli ve güvenli olmasını aktif olarak sağlayan bir eklenti edinmeniz tercih edilir. Kötü amaçlı yazılım taraması, kötü amaçlı yazılım temizleme ve WordPress güvenlik duvarı ve web sitesi yönetimi ile 7/24 koruma sunan bir eklentiye ihtiyacınız var… hepsi bir arada, uygun bir fiyata!

MalCare, tam olarak bu şeyler düşünülerek geliştirilmiş bir eklentidir ve web sitenizin savunmasının her zaman açık olmasını sağlar.

İşte MalCare'in sundukları…

Kötü amaçlı yazılım taraması:

MalCare, web sitenizi 100'den fazla sinyalle tarar ve imza doğrulamanın ötesine geçer.Bu, kötü amaçlı yazılımları piyasada bulunan diğer tüm eklentilerden daha iyi tanımlamasını sağlar. İmzası herhangi bir veritabanında bulunmayan bilinmeyen kötü amaçlı yazılımları bile tanımlayabilir.

MalCare, tüm sitenizle senkronize olur vedeğişiklikleri 7/24 izler .Herhangi bir yetkisiz değişiklik, tam konumuna kadar izlenir ve bu, kötü amaçlı yazılımın kaynağının belirlenmesine yardımcı olur. Sitenizi 7/24 izledikten sonra bileMalCare kendi sunucusundaki tüm dosyaları taradığı içinsunucunuzda sıfır yük olur. Web siteniz bizimle asla yavaşlamayacak!

Ayarlarda bir program belirleyerek MalCare'i günlük otomatik taramalar yapacak şekilde ayarlayabilirsiniz. Ayrıca, istediğiniz zamansınırsız isteğe bağlı tarama yapma ve kötü amaçlı yazılım bulunursa anında bildirim alma seçeneğiniz de vardır.

Web sitenize virüs bulaştığını söyleyen bir bildirim alıp bunun doğru olmadığını öğrenmenin ne kadar korkutucu ve rahatsız edici olduğunu da anlıyoruz. MalCare bununla da ilgilenir. Sektörün en az yanlış pozitifine sahiptir … bu da size yalnızca kapsamlı bir kontrolden sonra haber verdiğimiz anlamına gelir.

Kötü amaçlı yazılımdan arındırma:

MalCare'in tek tıklamayla kötü amaçlı yazılım temizleme özelliğiyle, siteniz 60 saniyeden daha kısa süredekötü amaçlı yazılımlardan arındırılmış olacak!

MalCare, web sitenizi kötü amaçlı yazılımlardan temizlediğinde etkilemez .Bir dosyaya virüs bulaştıysa, MalCare akıllı bir şekildeyalnızca virüslü kısmı kaldırır ve verilerinizi olduğu gibi bırakır .MalCare kötü amaçlı yazılımları kaldırmak için arka uçta harıl harıl çalışırken bile web siteniz asla bozulmaz.

MalCare belirli bir kötü amaçlı yazılımı tanımlayıp kaldırdıktan sonra,sitenize bir daha asla bulaşamaz.Durmadan. Garanti ediyoruz. Tıpkı vücudunuzun bir kez suçiçeği kaptığınızda nasıl önleneceğini bildiği gibi, MalCare de web sitenizi benzer bir saldırıdan ve geri gelmeye çalışırsa kötü amaçlı yazılımdan nasıl koruyacağını bilir. Gelecekteki saldırılara karşı bağışıklığınız var.

WordPress güvenlik duvarı:

Kötü adamları dışarıda tutabilir ve sadece iyi internet trafiğinin içeri girmesine izin verirseniz harika olmaz mı? MalCare güvenlik duvarı tam olarak bunu ve daha fazlasını yapar!

Bu güvenlik duvarı, ağındaki bilinen kötü amaçlı IP adreslerinin bir listesine karşı gelen web trafiğinizi 7/24 izler ve tehlikeli IP'lerin sitenize erişmesini engeller .Bir saldırgan web sitenize erişemezse, sitenize saldırması zorlaşır. Ek koruma içincoğrafi engellemeyi bile destekler .MalCare ile web sitenizi kaba kuvvet saldırılarına karşı koruyanCAPTCHA tabanlı oturum açma korumasına da sahip olursunuz.MalCare herhangi bir şüpheli giriş tespit ederse, uygun işlemi yapabilmeniz için hemen bilgilendirilirsiniz.

Ayrıca, hiç kimsenin uygun bir şifre ve kod olmadan web sitenize erişmemesini sağlayaniki faktörlü kimlik doğrulamamız var.

Web Sitesi Yönetimi:

Tüm eklentilerinizin en son sürümde olması çok önemlidir. Gördüğümüz gibi, WordPress Canlı Sohbet Desteği eklentisi güvenlik açığından korunmanın en basit çözümü, geliştiriciler yamayı yayınlar yayınlamaz eklentiyi güncellemekti. MalCare'in yönetim araçları , tüm web sitelerinizdeki tüm temalarınızı ve eklentilerinizi güncelleyecektir .WordPress çekirdek yöneticisini kullanarak web sitelerinizdeki temel değişiklikleri güncelleyebilir, WordPress'i yükseltebilir ve PHP sürümünü kontrol edebilirsiniz.

Ayrıca, bir müşteriye erişim vermek istediğiniz ancak sitenin herhangi bir işlevine karışmasını istemediğiniz bir senaryoda, MalCare'in yönetim aracı,belirli kullanıcı rolleri ve erişim izinleri atamanıza izin verir; istenmeyen değişikliklerTüm web sitelerinize kolaycaekip üyeleri ve müşteriler ekleyebilirsiniz .

Üstelik MalCare ile sınırsız web sitesini yönetebilirsiniz.

Dahası, sitenizin çalışma süresini izleyebilir, gevşeklik durumunda kesinti uyarılarıalabilir ve ayrıca web siteniz içinperformans kontrolüyapabilirsiniz. Üstün, isteğe bağlı ve planlanmışmüşteri raporlaması ile tüm verileri derleyerek ve içgörüleri merkezileştirerek zaman kazanabilirsiniz .

Ve hepsini merkezi bir kontrol panelinden kontrol edebilirsiniz!

Web güvenliği söz konusu olduğunda, hiçbir taviz verilmemelidir. Sonuçta web siteniz dijital dünyadaki kimliğinizdir. Kötü amaçlı yazılım, virüs veya bilgisayar korsanlığı gibi hiçbir şeyden zarar görmemesine özen gösterilmelidir. MalCare, web sitenizi mevcut ve gelecekteki tüm tehditlere karşı koruyacaktır. Ayda 8,25$ gibi düşük birfiyata birinci sınıf güvenlik elde edin!Yukarıda belirtilen tüm özellikler, herhangi bir planla, hiçbir ek ücret ödemeden ücretsiz olarak kullanılabilir.

MalCare, sitenizi 7/24 tüm tehditlerden korumanıza yardımcı olur.