您的 WP Live Chat 支持插件中的此漏洞可让黑客入侵您的网站！

拥有一个 WordPress 网站固然很好，但在数字世界中，好人和坏人之间总是有一场持续不断的战斗……听起来像电影情节，不是吗？ 但是，这就是现实！ 好人——安全研究人员和开发人员，希望保护您的网站安全。 而坏人——黑客和垃圾邮件发送者，想要将其非法用于恶意目的。

让我们深入挖掘……

“每 39 秒就有一次对网站的攻击，98% 的 WordPress 漏洞都与插件有关”

当您阅读本文时，某个地方的攻击者正试图通过利用某些插件的漏洞非法访问 WordPress 网站。

2019 年 4 月，好人，又名安全研究人员，在WP Live Chat Support 插件中发现了一个持久性跨站点脚本 (XSS) 漏洞。 这提示坏人，也就是黑客，利用此漏洞并在网站上注入恶意脚本，从而控制网站。WP Live Chat Support 插件是一个 WordPress 插件，它是其他功能齐全的实时聊天支持插件的免费替代品，用于参与和转换。该插件的活跃安装量超过 60,000 次，使数以千计的用户处于危险之中。

这个漏洞是什么？它对您有何影响？

WP Live Chat Support 插件中的漏洞允许攻击者对目标网站执行跨站点脚本 (XSS) 攻击。

在 XSS 攻击中，黑客会在您不知情的情况下在您的网站上注入恶意脚本或代码。 然后，此代码可能会收集用户数据（呃，哦！），修改您的网站内容或将它们发送到另一个受感染的网页。 如果黑客设法将他/她的代码注入到您网站上存储在服务器上的部分（例如：用户评论），它就会变成Persistent XSS 。

'持久性'，因为每当用户加载受感染的网页时，浏览器就会执行该恶意代码，从而完成攻击'

我们都知道搜索引擎，尤其是谷歌非常重视网站安全。 因此，任何此类漏洞都会对您的 SEO 造成非常糟糕的影响。 不仅如此，它还会在您的用户之间造成信任问题。 在更糟糕的情况下，您甚至可能无法访问您的网站，或者因为您的网站上有垃圾邮件链接和恶意软件而被您的网络托管服务商暂停。

这个漏洞之所以重要，是因为它不需要任何身份验证，甚至可以被在受感染网站上没有帐户的用户利用。由于没有身份验证要求，很容易自动进行攻击以影响大量站点，在本例中超过 60,000 个！

攻击

由于未受保护的“ admin_init hook”，攻击成为可能。 这是大多数攻击者开始攻击的地方，并且在涉及 WordPress 插件攻击时非常常见。

我们先来了解一下钩子是什么意思。 钩子是一段代码与另一段代码交互并更改另一段代码的方法。 当有人访问站点的管理页面时，WordPress 通常会调用此挂钩。 开发人员可以使用此挂钩在此时调用各种功能。 问题是挂钩不需要任何身份验证，任何访问管理 URL 的人都可以使用它来运行代码。 WP Live Chat 的管理钩子调用一个名为 wplc_head_basic 的动作，它不检查用户的权限，只是更新插件设置。

黑客可以利用此漏洞更新名为 wplc_custom_js 的 JavaScript 选项，该选项控制插件在实时聊天窗口出现时显示的内容。 现在，想一想 - 实时聊天小部件几乎跟随用户访问您网站上的每个页面，因此，黑客使用这种方法定位多个页面是小菜一碟！

那么，您如何确保您的网站免受此影响？

WP Live Chat Support 插件背后的开发人员已经发布了一个补丁来解决这个漏洞。因此，避免网站被黑的最佳解决方案是将其更新到最新版本。

8.0.27 之后的任何版本都是安全的，但即便如此，我们仍建议您经常更新到最新版本。 最新版本为8.0.33 ，可在此处获取。

您将来如何确保您的网站安全？

第 1 步：仅从可信来源获取插件和主题！

从网站或 Torrent 文件免费获得高级插件是很诱人的，不是吗？ 您可能正在考虑高级功能以及您可能会节省多少钱……呃……或者您真的会吗？

每当您从不可靠的来源下载插件时，您也接受了它们被恶意软件或病毒感染的风险。 虽然您可能会在该高级插件上节省几美元，但如果可能的话，您最终可能会花费数千美元来尝试恢复您的网站。 因此，请始终安装来自可信来源的插件，最好是经过身份验证的公司，并检查它们是否经过专家和社区成员的恶意代码审查。

受信任的 WordPress 市场插件：

• WordPress的
• 代码峡谷
• 选择插件
• 魔力市场
• 我的主题店
• 主题岛
• 主题森林

第 2 步：获取可靠的安全插件

WordPress 为其所有网站设置了非常有效的安全系统。 但是，像上面提到的那样的漏洞可以绕过所有安全检查并对您的站点构成威胁。 因此，安全插件至关重要。

当谈到安全插件时，最好是获得一个插件，它不会在可疑攻击后简单地扫描您的网站以查找漏洞，而是一个能够主动确保您的网站始终安全的插件。 您需要一个插件，它提供 24/7 全天候保护，包括恶意软件扫描、恶意软件删除以及 WordPress 防火墙和网站管理……所有这些都以实惠的价格合而为一！

MalCare 是一个专门为这些事情而开发的插件，它可以确保您网站的防御始终处于正常状态。

这是 MalCare 提供的……

恶意软件扫描：

MalCare 使用100 多个信号扫描您的网站，并超越签名验证。 这使它能够比市场上的任何其他插件更好地识别恶意软件。 它甚至可以识别其签名不存在于任何数据库中的未知恶意软件。

MalCare 与您的整个网站同步，并全天候 24/7 跟踪任何更改。 任何未经授权的更改都会被跟踪到其精确位置，这有助于识别恶意软件的来源。 即使在 24/7 全天候跟踪您的站点之后，由于MalCare 扫描其自己服务器上的所有文件，您的服务器上的负载也是零。 与我们一起，您的网站将永远不会变慢！

您可以通过简单地在设置中指定时间表来设置 MalCare 以执行每日自动扫描。 您还可以选择随时执行无限制的按需扫描，并在发现恶意软件时立即收到通知。

我们也理解收到通知说您的网站已被感染却发现事实并非如此是多么令人恐惧和恼火。 MalCare 也会处理这个问题。 它具有业内最少的误报……这意味着我们只会在彻底检查后通知您。

恶意软件清除：

借助 MalCare 的一键式恶意软件删除功能，您的网站将在 60 秒内清除恶意软件！

MalCare 在清除恶意软件时不会影响您的网站。如果文件已被感染，MalCare 会智能地仅删除受感染的部分，并保持您的数据完好无损。 即使 MalCare 在后端疯狂工作以删除恶意软件，您的网站也永远不会崩溃。

一旦 MalCare 识别并删除了某种恶意软件，它就再也不会感染您的网站。曾经。我们保证。 就像您的身体一旦感染就知道如何避免水痘一样，MalCare 知道如何保护您的网站免受类似攻击和恶意软件的攻击，如果它试图恢复。 你对未来的攻击免疫。

WordPress防火墙：

如果你能把坏人挡在外面，只让好的互联网流量进来，那不是很好吗？ MalCare 防火墙正是这样做的，甚至更多！

该防火墙根据其网络中的已知恶意 IP 地址列表全天候 24/7 跟踪您的传入 Web 流量，并阻止危险的 IP 访问您的站点。如果攻击者无法访问您的网站，他就很难对其进行攻击。 它甚至支持地理封锁以提供额外保护。 使用 MalCare，您还可以获得基于验证码的登录保护，保护您的网站免受暴力攻击。 如果 MalCare 检测到任何可疑登录，您会立即收到通知，以便您采取适当的措施。

此外，我们有双因素身份验证，可确保没有正确的密码和代码，任何人都无法访问您的网站。

网站管理：

拥有最新版本的所有插件至关重要。 正如我们所见，避免 WordPress Live Chat Support 插件漏洞的最简单解决方案是在开发人员发布补丁后立即更新它。 MalCare 的管理工具将更新您所有网站上的所有主题和插件。使用其WordPress 核心管理器，您可以更新核心修改、升级 WordPress 并检查您网站上的 PHP 版本。

此外，在您想要授予客户访问权限但不希望他们干预网站的任何功能的情况下，MalCare 的管理工具可让您分配特定的用户角色和访问权限，这样任何人都无法进行任何操作意外的变化。 您可以轻松地将团队成员和客户添加到您的所有网站。

此外，您可以使用 MalCare 管理无限的网站。

更重要的是，您可以监控您的网站正常运行时间，在 slack 上获得停机警报，还可以对您的网站进行性能检查。 借助高级、按需和计划的客户报告，您可以通过编译所有数据和集中洞察来节省时间。

您可以从集中式仪表板控制所有这些！

在网络安全方面，不应有任何妥协。 毕竟，您的网站就是您在数字世界中的身份。 应注意不要以任何方式伤害它，无论是恶意软件、病毒还是黑客攻击。 MalCare 将保护您的网站免受所有当前和未来的威胁。以每月低至8.25 美元的价格获得世界一流的安全性！上述所有功能均可免费使用任何计划，无需额外费用。

MalCare 可帮助您全天候 24/7 保护您的网站免受所有威胁。