您的 WP Live Chat 支持插件中的此漏洞可讓黑客入侵您的網站！

擁有一個 WordPress 網站固然很好，但在數字世界中，好人和壞人之間總是有一場持續不斷的戰鬥……聽起來像電影情節，不是嗎？ 但是，這就是現實！ 好人——安全研究人員和開發人員，希望保護您的網站安全。 而壞人——黑客和垃圾郵件發送者，想要將其非法用於惡意目的。

讓我們深入挖掘……

“每 39 秒就有一次對網站的攻擊，98% 的 WordPress 漏洞都與插件有關”

當您閱讀本文時，某個地方的攻擊者正試圖通過利用某些插件的漏洞非法訪問 WordPress 網站。

2019 年 4 月，好人，又名安全研究人員，在WP Live Chat Support 插件中發現了一個持久性跨站點腳本 (XSS) 漏洞。 這提示壞人，也就是黑客，利用此漏洞並在網站上註入惡意腳本，從而控製網站。WP Live Chat Support 插件是一個 WordPress 插件，它是其他功能齊全的實時聊天支持插件的免費替代品，用於參與和轉換。該插件的活躍安裝量超過 60,000 次，使數以千計的用戶處於危險之中。

這個漏洞是什麼？它對您有何影響？

WP Live Chat Support 插件中的漏洞允許攻擊者對目標網站執行跨站點腳本 (XSS) 攻擊。

在 XSS 攻擊中，黑客會在您不知情的情況下在您的網站上註入惡意腳本或代碼。 然後，此代碼可能會收集用戶數據（呃，哦！），修改您的網站內容或將它們發送到另一個受感染的網頁。 如果黑客設法將他/她的代碼注入到您網站上存儲在服務器上的部分（例如：用戶評論），它就會變成Persistent XSS 。

'持久性'，因為每當用戶加載受感染的網頁時，瀏覽器就會執行該惡意代碼，從而完成攻擊'

我們都知道搜索引擎，尤其是谷歌非常重視網站安全。 因此，任何此類漏洞都會對您的 SEO 造成非常糟糕的影響。 不僅如此，它還會在您的用戶之間造成信任問題。 在更糟糕的情況下，您甚至可能無法訪問您的網站，或者因為您的網站上有垃圾郵件鏈接和惡意軟件而被您的網絡託管服務商暫停。

這個漏洞之所以重要，是因為它不需要任何身份驗證，甚至可以被在受感染網站上沒有帳戶的用戶利用。由於沒有身份驗證要求，很容易自動進行攻擊以影響大量站點，在本例中超過 60,000 個！

攻擊

由於未受保護的“ admin_init hook”，攻擊成為可能。 這是大多數攻擊者開始攻擊的地方，並且在涉及 WordPress 插件攻擊時非常常見。

我們先來了解一下鉤子是什麼意思。 鉤子是一段代碼與另一段代碼交互並更改另一段代碼的方法。 當有人訪問站點的管理頁面時，WordPress 通常會調用此掛鉤。 開發人員可以使用此掛鉤在此時調用各種功能。 問題是掛鉤不需要任何身份驗證，任何訪問管理 URL 的人都可以使用它來運行代碼。 WP Live Chat 的管理鉤子調用一個名為 wplc_head_basic 的動作，它不檢查用戶的權限，只是更新插件設置。

黑客可以利用此漏洞更新名為 wplc_custom_js 的 JavaScript 選項，該選項控制插件在實時聊天窗口出現時顯示的內容。 現在，想一想 - 實時聊天小部件幾乎跟隨用戶訪問您網站上的每個頁面，因此，黑客使用這種方法定位多個頁面是小菜一碟！

那麼，您如何確保您的網站免受此影響？

WP Live Chat Support 插件背後的開發人員已經發布了一個補丁來解決這個漏洞。因此，避免網站被黑的最佳解決方案是將其更新到最新版本。

8.0.27 之後的任何版本都是安全的，但即便如此，我們仍建議您經常更新到最新版本。 最新版本為8.0.33 ，可在此處獲取。

您將來如何確保您的網站安全？

第 1 步：僅從可信來源獲取插件和主題！

從網站或 Torrent 文件免費獲得高級插件是很誘人的，不是嗎？ 您可能正在考慮高級功能以及您可能會節省多少錢……呃……或者您真的會嗎？

每當您從不可靠的來源下載插件時，您也接受了它們被惡意軟件或病毒感染的風險。 雖然您可能會在該高級插件上節省幾美元，但如果可能的話，您最終可能會花費數千美元來嘗試恢復您的網站。 因此，請始終安裝來自可信來源的插件，最好是經過身份驗證的公司，並檢查它們是否經過專家和社區成員的惡意代碼審查。

受信任的 WordPress 市場插件：

• WordPress的
• 代碼峽谷
• 選擇插件
• 魔力市場
• 我的主題店
• 主題島
• 主題森林

第 2 步：獲取可靠的安全插件

WordPress 為其所有網站設置了非常有效的安全系統。 但是，像上面提到的那樣的漏洞可以繞過所有安全檢查並對您的站點構成威脅。 因此，安全插件至關重要。

當談到安全插件時，最好是獲得一個插件，它不會在可疑攻擊後簡單地掃描您的網站以查找漏洞，而是一個能夠主動確保您的網站始終安全的插件。 您需要一個插件，它提供 24/7 全天候保護，包括惡意軟件掃描、惡意軟件刪除以及 WordPress 防火牆和網站管理……所有這些都以實惠的價格合而為一！

MalCare 是一個專門為這些事情而開發的插件，它可以確保您網站的防禦始終處於正常狀態。

這是 MalCare 提供的……

惡意軟件掃描：

MalCare 使用100 多個信號掃描您的網站，並超越簽名驗證。 這使它能夠比市場上的任何其他插件更好地識別惡意軟件。 它甚至可以識別其簽名不存在於任何數據庫中的未知惡意軟件。

MalCare 與您的整個網站同步，並全天候 24/7 跟踪任何更改。 任何未經授權的更改都會被跟踪到其精確位置，這有助於識別惡意軟件的來源。 即使在 24/7 全天候跟踪您的站點之後，由於MalCare 掃描其自己服務器上的所有文件，您的服務器上的負載也是零。 與我們一起，您的網站將永遠不會變慢！

您可以通過簡單地在設置中指定時間表來設置 MalCare 以執行每日自動掃描。 您還可以選擇隨時執行無限制的按需掃描，並在發現惡意軟件時立即收到通知。

我們也理解收到通知說您的網站已被感染卻發現事實並非如此是多麼令人恐懼和惱火。 MalCare 也會處理這個問題。 它具有業內最少的誤報……這意味著我們只會在徹底檢查後通知您。

惡意軟件清除：

借助 MalCare 的一鍵式惡意軟件刪除功能，您的網站將在 60 秒內清除惡意軟件！

MalCare 在清除惡意軟件時不會影響您的網站。如果文件已被感染，MalCare 會智能地僅刪除受感染的部分，並保持您的數據完好無損。 即使 MalCare 在後端瘋狂工作以刪除惡意軟件，您的網站也永遠不會崩潰。

一旦 MalCare 識別並刪除了某種惡意軟件，它就再也不會感染您的網站。曾經。我們保證。 就像您的身體一旦感染就知道如何避免水痘一樣，MalCare 知道如何保護您的網站免受類似攻擊和惡意軟件的攻擊，如果它試圖恢復。 你對未來的攻擊免疫。

WordPress防火牆：

如果你能把壞人擋在外面，只讓好的互聯網流量進來，那不是很好嗎？ MalCare 防火牆正是這樣做的，甚至更多！

該防火牆根據其網絡中的已知惡意 IP 地址列表全天候 24/7 跟踪您的傳入 Web 流量，並阻止危險的 IP 訪問您的站點。如果攻擊者無法訪問您的網站，他就很難對其進行攻擊。 它甚至支持地理封鎖以提供額外保護。 使用 MalCare，您還可以獲得基於驗證碼的登錄保護，保護您的網站免受暴力攻擊。 如果 MalCare 檢測到任何可疑登錄，您會立即收到通知，以便您採取適當的措施。

此外，我們有雙因素身份驗證，可確保沒有正確的密碼和代碼，任何人都無法訪問您的網站。

網站管理：

擁有最新版本的所有插件至關重要。 正如我們所見，避免 WordPress Live Chat Support 插件漏洞的最簡單解決方案是在開發人員發布補丁後立即更新它。 MalCare 的管理工具將更新您所有網站上的所有主題和插件。使用其WordPress 核心管理器，您可以更新核心修改、升級 WordPress 並檢查您網站上的 PHP 版本。

此外，在您想要授予客戶訪問權限但不希望他們干預網站的任何功能的情況下，MalCare 的管理工具可讓您分配特定的用戶角色和訪問權限，這樣任何人都無法進行任何操作意外的變化。 您可以輕鬆地將團隊成員和客戶添加到您的所有網站。

此外，您可以使用 MalCare 管理無限的網站。

更重要的是，您可以監控您的網站正常運行時間，在 slack 上獲得停機警報，還可以對您的網站進行性能檢查。 借助高級、按需和計劃的客戶報告，您可以通過編譯所有數據和集中洞察來節省時間。

您可以從集中式儀表板控制所有這些！

在網絡安全方面，不應有任何妥協。 畢竟，您的網站就是您在數字世界中的身份。 應注意不要以任何方式傷害它，無論是惡意軟件、病毒還是黑客攻擊。 MalCare 將保護您的網站免受所有當前和未來的威脅。 以每月低至8.25 美元的價格獲得世界一流的安全性！ 上述所有功能均可免費使用任何計劃，無需額外費用。

MalCare 可幫助您全天候 24/7 保護您的網站免受所有威脅。