ช่องโหว่นี้ในปลั๊กอินสนับสนุนการแชทสดของ WP ช่วยให้แฮกเกอร์บุกรุกไซต์ของคุณ!

การมีเว็บไซต์ WordPress นั้นยอดเยี่ยม แต่ในโลกดิจิทัล มักจะมีการต่อสู้อย่างต่อเนื่องระหว่างคนดีกับคนเลว…ฟังดูเหมือนพล็อตเรื่องภาพยนตร์ใช่ไหม แต่นี่คือความจริง! คนดี – นักวิจัยด้านความปลอดภัยและนักพัฒนาต้องการให้เว็บไซต์ของคุณปลอดภัย และผู้ร้าย – แฮกเกอร์และนักส่งสแปม ต้องการใช้อย่างผิดกฎหมายเพื่อจุดประสงค์ที่เป็นอันตราย

มาเจาะลึกกัน…

“มีการโจมตีเว็บไซต์ทุกๆ 39 วินาทีและ 98% ของช่องโหว่ WordPress เกี่ยวข้องกับปลั๊กอิน ”

ขณะที่คุณกำลังอ่านข้อความนี้ ผู้โจมตีบางแห่งพยายามเข้าถึงเว็บไซต์ WordPress อย่างผิดกฎหมายโดยใช้ช่องโหว่ของปลั๊กอินบางตัว

ในเดือนเมษายน 2019 คนดีหรือที่รู้จักในชื่อนักวิจัยด้านความปลอดภัย ได้ค้นพบช่องโหว่ cross-site scripting (XSS) แบบถาวรใน ปลั๊กอิน WP Live Chat Support . วิธีนี้ทำให้ผู้ร้ายหรือที่รู้จักในชื่อแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่นี้และแทรกสคริปต์ที่เป็นอันตรายบนเว็บไซต์ ดังนั้นจึงเข้าควบคุมเว็บไซต์ ปลั๊กอินสนับสนุน WP Live Chat เป็นปลั๊กอิน WordPress ซึ่งเป็นทางเลือกฟรีสำหรับปลั๊กอินสนับสนุนการแชทสดที่ทำงานได้อย่างสมบูรณ์อื่น ๆ สำหรับการมีส่วนร่วมและการแปลง ปลั๊กอินมีการติดตั้งมากกว่า 60,000 ครั้ง ซึ่งทำให้ผู้ใช้หลายพันคนตกอยู่ในความเสี่ยง

ช่องโหว่นี้คืออะไรและส่งผลต่อคุณอย่างไร

ช่องโหว่ในปลั๊กอิน WP Live Chat Support ช่วยให้ผู้โจมตีทำการโจมตีแบบ cross-site scripting (XSS) บนเว็บไซต์เป้าหมายได้

ในการโจมตี XSS แฮ็กเกอร์จะแทรกสคริปต์หรือโค้ดที่เป็นอันตรายบนเว็บไซต์ของคุณโดยที่คุณไม่รู้ตัว ดังนั้นรหัสนี้อาจรวบรวมข้อมูลผู้ใช้ (โอ้!) แก้ไขเนื้อหาเว็บไซต์ของคุณหรือส่งไปยังหน้าเว็บอื่นที่ถูกบุกรุก หากแฮ็กเกอร์สามารถแทรกโค้ดของเขา/เธอในส่วนของเว็บไซต์ของคุณ ซึ่งจัดเก็บไว้ในเซิร์ฟเวอร์ (เช่น ความคิดเห็นของผู้ใช้) โค้ดนั้นจะกลายเป็น Persistent XSS .

'คงอยู่' เพราะเมื่อใดก็ตามที่ผู้ใช้โหลดหน้าเว็บที่ติดไวรัส เบราว์เซอร์จะดำเนินการโค้ดที่เป็นอันตรายนั้น ซึ่งจะทำให้การโจมตีเสร็จสิ้น'

เราทุกคนต่างรู้จักเสิร์ชเอ็นจิ้น โดยเฉพาะ Google ให้ความสำคัญกับความปลอดภัยของไซต์เป็นอย่างมาก และด้วยเหตุนี้ ช่องโหว่ใดๆ ดังกล่าวจะนำไปสู่ผลกระทบที่เลวร้ายต่อ SEO ของคุณ ไม่เพียงแค่นั้น ยังสร้างปัญหาความน่าเชื่อถือให้กับผู้ใช้ของคุณอีกด้วย ในกรณีที่แย่กว่านั้น คุณอาจสูญเสียการเข้าถึงเว็บไซต์ของคุณหรือถูกระงับโดยโฮสต์เว็บของคุณเนื่องจากมีลิงก์สแปมและมัลแวร์ในเว็บไซต์ของคุณ

สาเหตุที่ช่องโหว่นี้เป็นเรื่องใหญ่เพราะไม่ต้องการการตรวจสอบสิทธิ์ใดๆ และสามารถใช้ประโยชน์จากผู้ใช้ที่ไม่มีบัญชีบนเว็บไซต์ที่ติดไวรัสได้ หากไม่มีข้อกำหนดด้านการตรวจสอบสิทธิ์ การโจมตีแบบอัตโนมัติจะส่งผลกระทบกับไซต์จำนวนมากได้อย่างง่ายดายในกรณีนี้มากกว่า 60,000 รายการ !

การโจมตี

การโจมตีเกิดขึ้นได้เนื่องจากมี ‘admin_init hook . ที่ไม่มีการป้องกัน '. นี่คือจุดที่ผู้โจมตีส่วนใหญ่เริ่มการโจมตีและเป็นเรื่องปกติเมื่อพูดถึงการโจมตีปลั๊กอิน WordPress

มาทำความเข้าใจก่อนว่า hook หมายถึงอะไร hook เป็นวิธีการสำหรับโค้ดชิ้นหนึ่งในการโต้ตอบและเปลี่ยนแปลงโค้ดอื่น WordPress มักจะเรียกเบ็ดนี้เมื่อมีคนเยี่ยมชมหน้าผู้ดูแลระบบของเว็บไซต์ นักพัฒนาสามารถใช้เบ็ดนี้เพื่อเรียกใช้ฟังก์ชันต่างๆ ณ จุดนั้นได้ ปัญหาคือ hook ไม่ต้องการการรับรองความถูกต้องใด ๆ และใครก็ตามที่เข้าชม URL ของผู้ดูแลระบบสามารถใช้เพื่อเรียกใช้รหัสได้ เบ็ดผู้ดูแลระบบของ WP Live Chat เรียกการดำเนินการที่เรียกว่า wplc_head_basic ซึ่งจะไม่ตรวจสอบสิทธิ์ของผู้ใช้และเพียงอัปเดตการตั้งค่าปลั๊กอิน

แฮ็กเกอร์สามารถใช้ข้อบกพร่องนี้เพื่ออัปเดตตัวเลือก JavaScript ที่เรียกว่า wplc_custom_js ซึ่งควบคุมเนื้อหาที่ปลั๊กอินแสดงเมื่อใดก็ตามที่หน้าต่างแชทสดปรากฏขึ้น ลองนึกถึงสิ่งนี้ – วิดเจ็ตแชทสดติดตามผู้ใช้ในเกือบทุกหน้าที่เขา/เธอเข้าชมบนเว็บไซต์ของคุณ ดังนั้นจึงเป็นเรื่องง่ายสำหรับแฮกเกอร์ที่จะกำหนดเป้าหมายหลาย ๆ หน้าโดยใช้วิธีนี้!

แล้วคุณจะรักษาไซต์ของคุณให้ปลอดภัยจากสิ่งนี้ได้อย่างไร

นักพัฒนาที่อยู่เบื้องหลังปลั๊กอิน WP Live Chat Support ได้เปิดตัวแพตช์ที่ดูแลช่องโหว่นี้ . ดังนั้น ทางออกที่ดีที่สุดเพื่อหลีกเลี่ยงไม่ให้เว็บไซต์ของคุณถูกแฮ็กคืออัปเดตเป็นเวอร์ชันล่าสุด

ทุกเวอร์ชันหลัง 8.0.27 จะปลอดภัย แต่ถึงอย่างนั้น เราขอแนะนำให้คุณอัปเดตเป็นเวอร์ชันล่าสุดบ่อยๆ เวอร์ชันใหม่ล่าสุดคือ 8.0.33 และสามารถใช้ได้ ที่นี่ .

คุณจะทำให้ไซต์ของคุณปลอดภัยในอนาคตได้อย่างไร

ขั้นตอนที่ 1:รับปลั๊กอินและธีมจากแหล่งที่เชื่อถือได้เท่านั้น!

ค่อนข้างน่าดึงดูดใจที่จะได้รับปลั๊กอินพรีเมียมนั้นฟรีจากเว็บไซต์หรือไฟล์ทอร์เรนต์ใช่ไหม คุณอาจกำลังคิดเกี่ยวกับคุณสมบัติระดับพรีเมียมและประหยัดเงินได้เท่าไหร่… เอ่อ… หรือจริงๆ แล้วคุณล่ะ?

เมื่อใดก็ตามที่คุณดาวน์โหลดปลั๊กอินจากแหล่งที่ไม่น่าเชื่อถือ คุณยังยอมรับความเสี่ยงที่จะติดมัลแวร์หรือไวรัส แม้ว่าคุณอาจประหยัดเงินได้ไม่กี่เหรียญสำหรับปลั๊กอินพรีเมียมนั้น แต่คุณอาจต้องเสียเงินหลายพันเพื่อพยายามกู้คืนเว็บไซต์ของคุณ หากเป็นไปได้ ดังนั้น ควรติดตั้งปลั๊กอินจากแหล่งที่เชื่อถือได้เสมอ โดยเฉพาะบริษัทที่ได้รับการตรวจสอบสิทธิ์ และตรวจสอบว่าได้รับการตรวจสอบจากผู้เชี่ยวชาญและสมาชิกชุมชนเพื่อหารหัสที่เป็นอันตรายหรือไม่

ปลั๊กอิน WordPress Market Place ที่เชื่อถือได้:

• WordPress
• CodeCanyon
• PickPlug-ins
• ตลาดโมโจ
• MyThemeshop
• ธีม
• ThemeForest

ขั้นตอนที่ 2:รับปลั๊กอินความปลอดภัยที่เชื่อถือได้

WordPress มีระบบรักษาความปลอดภัยที่มีประสิทธิภาพสำหรับเว็บไซต์ทั้งหมด อย่างไรก็ตาม ช่องโหว่ดังที่กล่าวไว้ข้างต้นสามารถเลี่ยงการตรวจสอบความปลอดภัยทั้งหมดและก่อให้เกิดภัยคุกคามต่อไซต์ของคุณได้ ดังนั้นปลั๊กอินความปลอดภัยจึงเป็นสิ่งสำคัญ

เมื่อพูดถึงปลั๊กอินความปลอดภัย ควรใช้ปลั๊กอินที่ไม่เพียงแค่สแกนเว็บไซต์ของคุณเพื่อหาช่องโหว่หลังจากการโจมตีที่น่าสงสัย แต่เป็นปลั๊กอินที่ช่วยให้มั่นใจว่าเว็บไซต์ของคุณปลอดภัยตลอดเวลา คุณต้องมีปลั๊กอินที่มีการป้องกันตลอด 24 ชั่วโมงทุกวันด้วยการสแกนมัลแวร์ การลบมัลแวร์ พร้อมด้วยไฟร์วอลล์ WordPress และการจัดการเว็บไซต์... ทั้งหมดในที่เดียวในราคาที่เหมาะสม!

MalCare เป็นปลั๊กอินที่พัฒนาขึ้นโดยคำนึงถึงสิ่งเหล่านี้ และช่วยให้มั่นใจได้ว่าการป้องกันของเว็บไซต์ของคุณจะพร้อมใช้งานเสมอ

นี่คือสิ่งที่ MalCare นำเสนอ…

การสแกนมัลแวร์:

MalCare สแกนเว็บไซต์ของคุณด้วย 100+ สัญญาณและไปไกลกว่าการตรวจสอบลายเซ็น ทำให้สามารถระบุมัลแวร์ได้ดีกว่าปลั๊กอินอื่น ๆ ในตลาด มันสามารถระบุแม้กระทั่งมัลแวร์ที่ไม่รู้จักซึ่งไม่มีลายเซ็นอยู่ในฐานข้อมูลใด ๆ

MalCare ซิงค์กับทั้งไซต์ของคุณและ ติดตามการเปลี่ยนแปลงใดๆ ตลอด 24 ชั่วโมงทุกวัน . การเปลี่ยนแปลงที่ไม่ได้รับอนุญาตจะถูกติดตามไปยังตำแหน่งที่แม่นยำและช่วยในการระบุแหล่งที่มาของมัลแวร์ แม้หลังจากติดตามไซต์ของคุณทุกวันตลอด 24 ชั่วโมง เซิร์ฟเวอร์ของคุณก็ยัง โหลดเป็นศูนย์ ในฐานะ MalCare สแกนไฟล์ทั้งหมดบนเซิร์ฟเวอร์ของตัวเอง เว็บไซต์ของคุณจะไม่ช้าลงกับเรา!

คุณสามารถตั้งค่า MalCare ให้สแกนอัตโนมัติทุกวันโดยระบุกำหนดการในการตั้งค่า คุณยังมีตัวเลือกในการดำเนินการการสแกนตามต้องการไม่จำกัด เมื่อใดก็ตามที่คุณต้องการและรับการแจ้งเตือนทันทีหากพบมัลแวร์

นอกจากนี้เรายังเข้าใจถึงความน่ากลัวและน่ารำคาญที่ได้รับการแจ้งเตือนว่าเว็บไซต์ของคุณติดไวรัสเพียงเพื่อจะพบว่าไม่เป็นความจริง MalCare ดูแลเรื่องนี้ด้วย มี ผลบวกที่ผิดพลาดน้อยที่สุดในอุตสาหกรรม … ซึ่งหมายความว่าเราจะแจ้งให้คุณทราบหลังจากตรวจสอบอย่างละเอียดแล้วเท่านั้น

การลบมัลแวร์:

ด้วย การกำจัดมัลแวร์ด้วยคลิกเดียวของ MalCare เว็บไซต์ของคุณจะปราศจากมัลแวร์ ในเวลาน้อยกว่า 60 วินาที !

MalCare ไม่มีผลกับเว็บไซต์ของคุณ เมื่อมันล้างมัลแวร์ หากไฟล์ติดไวรัส MalCare จะ ลบเฉพาะส่วนที่ติดไวรัสและปล่อยให้ข้อมูลของคุณไม่เสียหาย . เว็บไซต์ของคุณจะไม่มีวันพังแม้ว่า MalCare จะทำงานอย่างหนักในแบ็กเอนด์เพื่อลบมัลแวร์

เมื่อ MalCare ระบุและลบมัลแวร์บางตัว จะไม่สามารถแพร่ระบาดในเว็บไซต์ของคุณได้อีก เคย. เรารับประกันว่า เช่นเดียวกับที่ร่างกายของคุณรู้วิธีหลีกเลี่ยงโรคอีสุกอีใสเมื่อคุณจับมัน MalCare รู้วิธีป้องกันเว็บไซต์ของคุณจากการโจมตีและมัลแวร์ที่คล้ายกันหากพยายามกลับมา คุณมีภูมิคุ้มกันจากการโจมตีในอนาคต

ไฟร์วอลล์ WordPress:

ถ้าคุณสามารถกันคนเลวไว้ข้างนอกได้ และปล่อยให้มีแต่ทราฟฟิกอินเทอร์เน็ตที่ดีเข้ามา มันจะดีไหม ไฟร์วอลล์ MalCare ทำหน้าที่นี้อย่างแม่นยำ และอีกมากมาย!

ไฟร์วอลล์นี้ติดตามการเข้าชมเว็บที่เข้ามาของคุณทุกวันตลอด 24 ชั่วโมงกับรายการที่อยู่ IP ที่เป็นอันตรายที่รู้จักในเครือข่ายและ บล็อก IP ที่เป็นอันตรายไม่ให้เข้าถึงไซต์ของคุณ . หากผู้โจมตีไม่สามารถเข้าถึงเว็บไซต์ของคุณได้ ก็จะกลายเป็นเรื่องยากสำหรับเขาที่จะโจมตีมัน มันยัง สนับสนุนการปิดกั้นทางภูมิศาสตร์ เพื่อการป้องกันเพิ่มเติม ด้วย MalCare คุณยังได้รับการป้องกันการเข้าสู่ระบบที่ใช้ CAPTCHA ซึ่งปกป้องเว็บไซต์ของคุณจากการโจมตีแบบเดรัจฉาน หาก MalCare ตรวจพบการเข้าสู่ระบบที่น่าสงสัย คุณจะได้รับการแจ้งเตือนทันทีเพื่อให้คุณดำเนินการได้อย่างเหมาะสม

นอกจากนี้เรายังมีการตรวจสอบสิทธิ์แบบสองปัจจัย ที่ทำให้แน่ใจว่าไม่มีใครเข้าถึงเว็บไซต์ของคุณได้หากไม่มีรหัสผ่านและรหัสที่ถูกต้อง

การจัดการเว็บไซต์:

จำเป็นต้องมีปลั๊กอินทั้งหมดของคุณในเวอร์ชันล่าสุด ดังที่เราได้เห็น วิธีแก้ปัญหาที่ง่ายที่สุดในการรักษาความปลอดภัยจากช่องโหว่ของปลั๊กอิน WordPress Live Chat Support คือการอัปเดตทันทีที่นักพัฒนาเปิดตัวแพตช์ เครื่องมือการจัดการของ MalCare จะ อัปเดตธีมและปลั๊กอินทั้งหมดของคุณในเว็บไซต์ทั้งหมดของคุณ . การใช้ ตัวจัดการหลักของ WordPress คุณสามารถอัปเดตการแก้ไขหลัก อัปเกรด WordPress และตรวจสอบเวอร์ชัน PHP บนเว็บไซต์ของคุณได้

นอกจากนี้ ในสถานการณ์ที่คุณต้องการให้สิทธิ์การเข้าถึงกับไคลเอ็นต์แต่ไม่ต้องการให้พวกเขาเข้าไปยุ่งเกี่ยวกับฟังก์ชันการทำงานใดๆ ของไซต์ เครื่องมือการจัดการของ MalCare ช่วยให้คุณกำหนดบทบาทของผู้ใช้เฉพาะและสิทธิ์การเข้าถึง เพื่อไม่ให้ใครทำการเปลี่ยนแปลงโดยไม่ได้ตั้งใจ คุณสามารถ เพิ่มสมาชิกในทีมและลูกค้า . ได้อย่างง่ายดาย ไปยังเว็บไซต์ของคุณทั้งหมด

นอกจากนี้ คุณยังสามารถจัดการเว็บไซต์ได้ไม่จำกัดด้วย MalCare

ยิ่งไปกว่านั้น คุณสามารถตรวจสอบเวลาทำงานของไซต์ , รับ การแจ้งเตือนการหยุดทำงานเมื่อหย่อน และทำการตรวจสอบประสิทธิภาพ สำหรับเว็บไซต์ของคุณ ด้วยการรายงานลูกค้าที่เหนือกว่า ตามความต้องการ และตามกำหนดเวลา คุณสามารถประหยัดเวลา โดยรวบรวมข้อมูลทั้งหมดและรับข้อมูลเชิงลึกแบบรวมศูนย์

และควบคุมทั้งหมดได้จากแดชบอร์ดส่วนกลาง!

เมื่อพูดถึงความปลอดภัยของเว็บ ไม่ควรมีการประนีประนอม ท้ายที่สุด เว็บไซต์ของคุณคือตัวตนของคุณในโลกดิจิทัล ควรระมัดระวังไม่ให้ได้รับอันตรายจากสิ่งใดๆ ไม่ว่าจะเป็นมัลแวร์ ไวรัส หรือแฮ็ก MalCare จะปกป้องเว็บไซต์ของคุณจากภัยคุกคามทั้งในปัจจุบันและอนาคต รับการรักษาความปลอดภัยระดับโลก ต่ำสุด $8.25 ต่อเดือน ! ฟีเจอร์ทั้งหมดที่กล่าวมาข้างต้นมีให้บริการฟรีโดยไม่มีค่าใช้จ่ายเพิ่มเติม

MalCare ช่วยคุณในการรักษาไซต์ของคุณให้ปลอดภัยจากภัยคุกคามทั้งหมดตลอด 24 ชั่วโมงทุกวันไม่เว้นวันหยุด