การมีเว็บไซต์ WordPress นั้นยอดเยี่ยม แต่ในโลกดิจิทัล มักจะมีการต่อสู้อย่างต่อเนื่องระหว่างคนดีกับคนเลว…ฟังดูเหมือนพล็อตเรื่องภาพยนตร์ใช่ไหม แต่นี่คือความจริง! คนดี – นักวิจัยด้านความปลอดภัยและนักพัฒนาต้องการให้เว็บไซต์ของคุณปลอดภัย และผู้ร้าย – แฮกเกอร์และนักส่งสแปม ต้องการใช้อย่างผิดกฎหมายเพื่อจุดประสงค์ที่เป็นอันตราย
มาเจาะลึกกัน…
“มีการโจมตีเว็บไซต์ทุกๆ 39 วินาทีและ 98% ของช่องโหว่ WordPress เกี่ยวข้องกับปลั๊กอิน ”
ขณะที่คุณกำลังอ่านข้อความนี้ ผู้โจมตีบางแห่งพยายามเข้าถึงเว็บไซต์ WordPress อย่างผิดกฎหมายโดยใช้ช่องโหว่ของปลั๊กอินบางตัว
ในเดือนเมษายน 2019 คนดีหรือที่รู้จักในชื่อนักวิจัยด้านความปลอดภัย ได้ค้นพบช่องโหว่ cross-site scripting (XSS) แบบถาวรใน ปลั๊กอิน WP Live Chat Support . วิธีนี้ทำให้ผู้ร้ายหรือที่รู้จักในชื่อแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่นี้และแทรกสคริปต์ที่เป็นอันตรายบนเว็บไซต์ ดังนั้นจึงเข้าควบคุมเว็บไซต์ ปลั๊กอินสนับสนุน WP Live Chat เป็นปลั๊กอิน WordPress ซึ่งเป็นทางเลือกฟรีสำหรับปลั๊กอินสนับสนุนการแชทสดที่ทำงานได้อย่างสมบูรณ์อื่น ๆ สำหรับการมีส่วนร่วมและการแปลง ปลั๊กอินมีการติดตั้งมากกว่า 60,000 ครั้ง ซึ่งทำให้ผู้ใช้หลายพันคนตกอยู่ในความเสี่ยง
ช่องโหว่นี้คืออะไรและส่งผลต่อคุณอย่างไร
ช่องโหว่ในปลั๊กอิน WP Live Chat Support ช่วยให้ผู้โจมตีทำการโจมตีแบบ cross-site scripting (XSS) บนเว็บไซต์เป้าหมายได้
ในการโจมตี XSS แฮ็กเกอร์จะแทรกสคริปต์หรือโค้ดที่เป็นอันตรายบนเว็บไซต์ของคุณโดยที่คุณไม่รู้ตัว ดังนั้นรหัสนี้อาจรวบรวมข้อมูลผู้ใช้ (โอ้!) แก้ไขเนื้อหาเว็บไซต์ของคุณหรือส่งไปยังหน้าเว็บอื่นที่ถูกบุกรุก หากแฮ็กเกอร์สามารถแทรกโค้ดของเขา/เธอในส่วนของเว็บไซต์ของคุณ ซึ่งจัดเก็บไว้ในเซิร์ฟเวอร์ (เช่น ความคิดเห็นของผู้ใช้) โค้ดนั้นจะกลายเป็น Persistent XSS .
'คงอยู่' เพราะเมื่อใดก็ตามที่ผู้ใช้โหลดหน้าเว็บที่ติดไวรัส เบราว์เซอร์จะดำเนินการโค้ดที่เป็นอันตรายนั้น ซึ่งจะทำให้การโจมตีเสร็จสิ้น'
เราทุกคนต่างรู้จักเสิร์ชเอ็นจิ้น โดยเฉพาะ Google ให้ความสำคัญกับความปลอดภัยของไซต์เป็นอย่างมาก และด้วยเหตุนี้ ช่องโหว่ใดๆ ดังกล่าวจะนำไปสู่ผลกระทบที่เลวร้ายต่อ SEO ของคุณ ไม่เพียงแค่นั้น ยังสร้างปัญหาความน่าเชื่อถือให้กับผู้ใช้ของคุณอีกด้วย ในกรณีที่แย่กว่านั้น คุณอาจสูญเสียการเข้าถึงเว็บไซต์ของคุณหรือถูกระงับโดยโฮสต์เว็บของคุณเนื่องจากมีลิงก์สแปมและมัลแวร์ในเว็บไซต์ของคุณ
สาเหตุที่ช่องโหว่นี้เป็นเรื่องใหญ่เพราะไม่ต้องการการตรวจสอบสิทธิ์ใดๆ และสามารถใช้ประโยชน์จากผู้ใช้ที่ไม่มีบัญชีบนเว็บไซต์ที่ติดไวรัสได้ หากไม่มีข้อกำหนดด้านการตรวจสอบสิทธิ์ การโจมตีแบบอัตโนมัติจะส่งผลกระทบกับไซต์จำนวนมากได้อย่างง่ายดายในกรณีนี้มากกว่า 60,000 รายการ !
การโจมตี
การโจมตีเกิดขึ้นได้เนื่องจากมี ‘admin_init hook . ที่ไม่มีการป้องกัน '. นี่คือจุดที่ผู้โจมตีส่วนใหญ่เริ่มการโจมตีและเป็นเรื่องปกติเมื่อพูดถึงการโจมตีปลั๊กอิน WordPress
มาทำความเข้าใจก่อนว่า hook หมายถึงอะไร hook เป็นวิธีการสำหรับโค้ดชิ้นหนึ่งในการโต้ตอบและเปลี่ยนแปลงโค้ดอื่น WordPress มักจะเรียกเบ็ดนี้เมื่อมีคนเยี่ยมชมหน้าผู้ดูแลระบบของเว็บไซต์ นักพัฒนาสามารถใช้เบ็ดนี้เพื่อเรียกใช้ฟังก์ชันต่างๆ ณ จุดนั้นได้ ปัญหาคือ hook ไม่ต้องการการรับรองความถูกต้องใด ๆ และใครก็ตามที่เข้าชม URL ของผู้ดูแลระบบสามารถใช้เพื่อเรียกใช้รหัสได้ เบ็ดผู้ดูแลระบบของ WP Live Chat เรียกการดำเนินการที่เรียกว่า wplc_head_basic ซึ่งจะไม่ตรวจสอบสิทธิ์ของผู้ใช้และเพียงอัปเดตการตั้งค่าปลั๊กอิน
แฮ็กเกอร์สามารถใช้ข้อบกพร่องนี้เพื่ออัปเดตตัวเลือก JavaScript ที่เรียกว่า wplc_custom_js ซึ่งควบคุมเนื้อหาที่ปลั๊กอินแสดงเมื่อใดก็ตามที่หน้าต่างแชทสดปรากฏขึ้น ลองนึกถึงสิ่งนี้ – วิดเจ็ตแชทสดติดตามผู้ใช้ในเกือบทุกหน้าที่เขา/เธอเข้าชมบนเว็บไซต์ของคุณ ดังนั้นจึงเป็นเรื่องง่ายสำหรับแฮกเกอร์ที่จะกำหนดเป้าหมายหลาย ๆ หน้าโดยใช้วิธีนี้!
แล้วคุณจะรักษาไซต์ของคุณให้ปลอดภัยจากสิ่งนี้ได้อย่างไร
นักพัฒนาที่อยู่เบื้องหลังปลั๊กอิน WP Live Chat Support ได้เปิดตัวแพตช์ที่ดูแลช่องโหว่นี้ . ดังนั้น ทางออกที่ดีที่สุดเพื่อหลีกเลี่ยงไม่ให้เว็บไซต์ของคุณถูกแฮ็กคืออัปเดตเป็นเวอร์ชันล่าสุด
ทางออกที่ดีที่สุดเพื่อหลีกเลี่ยงไม่ให้เว็บไซต์ของคุณถูกแฮ็กคืออัปเดตปลั๊กอิน WP Live Chat Support เป็นเวอร์ชันล่าสุด คลิกเพื่อทวีตทุกเวอร์ชันหลัง 8.0.27 จะปลอดภัย แต่ถึงอย่างนั้น เราขอแนะนำให้คุณอัปเดตเป็นเวอร์ชันล่าสุดบ่อยๆ เวอร์ชันใหม่ล่าสุดคือ 8.0.33 และสามารถใช้ได้ ที่นี่ .
คุณจะทำให้ไซต์ของคุณปลอดภัยในอนาคตได้อย่างไร
ขั้นตอนที่ 1:รับปลั๊กอินและธีมจากแหล่งที่เชื่อถือได้เท่านั้น!
ค่อนข้างน่าดึงดูดใจที่จะได้รับปลั๊กอินพรีเมียมนั้นฟรีจากเว็บไซต์หรือไฟล์ทอร์เรนต์ใช่ไหม คุณอาจกำลังคิดเกี่ยวกับคุณสมบัติระดับพรีเมียมและประหยัดเงินได้เท่าไหร่… เอ่อ… หรือจริงๆ แล้วคุณล่ะ?
เมื่อใดก็ตามที่คุณดาวน์โหลดปลั๊กอินจากแหล่งที่ไม่น่าเชื่อถือ คุณยังยอมรับความเสี่ยงที่จะติดมัลแวร์หรือไวรัส แม้ว่าคุณอาจประหยัดเงินได้ไม่กี่เหรียญสำหรับปลั๊กอินพรีเมียมนั้น แต่คุณอาจต้องเสียเงินหลายพันเพื่อพยายามกู้คืนเว็บไซต์ของคุณ หากเป็นไปได้ ดังนั้น ควรติดตั้งปลั๊กอินจากแหล่งที่เชื่อถือได้เสมอ โดยเฉพาะบริษัทที่ได้รับการตรวจสอบสิทธิ์ และตรวจสอบว่าได้รับการตรวจสอบจากผู้เชี่ยวชาญและสมาชิกชุมชนเพื่อหารหัสที่เป็นอันตรายหรือไม่
ปลั๊กอิน WordPress Market Place ที่เชื่อถือได้:
- WordPress
- CodeCanyon
- PickPlug-ins
- ตลาดโมโจ
- MyThemeshop
- ธีม
- ThemeForest
ขั้นตอนที่ 2:รับปลั๊กอินความปลอดภัยที่เชื่อถือได้
WordPress มีระบบรักษาความปลอดภัยที่มีประสิทธิภาพสำหรับเว็บไซต์ทั้งหมด อย่างไรก็ตาม ช่องโหว่ดังที่กล่าวไว้ข้างต้นสามารถเลี่ยงการตรวจสอบความปลอดภัยทั้งหมดและก่อให้เกิดภัยคุกคามต่อไซต์ของคุณได้ ดังนั้นปลั๊กอินความปลอดภัยจึงเป็นสิ่งสำคัญ
เมื่อพูดถึงปลั๊กอินความปลอดภัย ควรใช้ปลั๊กอินที่ไม่เพียงแค่สแกนเว็บไซต์ของคุณเพื่อหาช่องโหว่หลังจากการโจมตีที่น่าสงสัย แต่เป็นปลั๊กอินที่ช่วยให้มั่นใจว่าเว็บไซต์ของคุณปลอดภัยตลอดเวลา คุณต้องมีปลั๊กอินที่มีการป้องกันตลอด 24 ชั่วโมงทุกวันด้วยการสแกนมัลแวร์ การลบมัลแวร์ พร้อมด้วยไฟร์วอลล์ WordPress และการจัดการเว็บไซต์... ทั้งหมดในที่เดียวในราคาที่เหมาะสม!
MalCare เป็นปลั๊กอินที่พัฒนาขึ้นโดยคำนึงถึงสิ่งเหล่านี้ และช่วยให้มั่นใจได้ว่าการป้องกันของเว็บไซต์ของคุณจะพร้อมใช้งานเสมอ
นี่คือสิ่งที่ MalCare นำเสนอ…
การสแกนมัลแวร์:
MalCare สแกนเว็บไซต์ของคุณด้วย 100+ สัญญาณและไปไกลกว่าการตรวจสอบลายเซ็น ทำให้สามารถระบุมัลแวร์ได้ดีกว่าปลั๊กอินอื่น ๆ ในตลาด มันสามารถระบุแม้กระทั่งมัลแวร์ที่ไม่รู้จักซึ่งไม่มีลายเซ็นอยู่ในฐานข้อมูลใด ๆ
MalCare ซิงค์กับทั้งไซต์ของคุณและ ติดตามการเปลี่ยนแปลงใดๆ ตลอด 24 ชั่วโมงทุกวัน . การเปลี่ยนแปลงที่ไม่ได้รับอนุญาตจะถูกติดตามไปยังตำแหน่งที่แม่นยำและช่วยในการระบุแหล่งที่มาของมัลแวร์ แม้หลังจากติดตามไซต์ของคุณทุกวันตลอด 24 ชั่วโมง เซิร์ฟเวอร์ของคุณก็ยัง โหลดเป็นศูนย์ ในฐานะ MalCare สแกนไฟล์ทั้งหมดบนเซิร์ฟเวอร์ของตัวเอง เว็บไซต์ของคุณจะไม่ช้าลงกับเรา!
คุณสามารถตั้งค่า MalCare ให้สแกนอัตโนมัติทุกวันโดยระบุกำหนดการในการตั้งค่า คุณยังมีตัวเลือกในการดำเนินการการสแกนตามต้องการไม่จำกัด เมื่อใดก็ตามที่คุณต้องการและรับการแจ้งเตือนทันทีหากพบมัลแวร์
นอกจากนี้เรายังเข้าใจถึงความน่ากลัวและน่ารำคาญที่ได้รับการแจ้งเตือนว่าเว็บไซต์ของคุณติดไวรัสเพียงเพื่อจะพบว่าไม่เป็นความจริง MalCare ดูแลเรื่องนี้ด้วย มี ผลบวกที่ผิดพลาดน้อยที่สุดในอุตสาหกรรม … ซึ่งหมายความว่าเราจะแจ้งให้คุณทราบหลังจากตรวจสอบอย่างละเอียดแล้วเท่านั้น
การลบมัลแวร์:
ด้วย การกำจัดมัลแวร์ด้วยคลิกเดียวของ MalCare เว็บไซต์ของคุณจะปราศจากมัลแวร์ ในเวลาน้อยกว่า 60 วินาที !
MalCare ไม่มีผลกับเว็บไซต์ของคุณ เมื่อมันล้างมัลแวร์ หากไฟล์ติดไวรัส MalCare จะ ลบเฉพาะส่วนที่ติดไวรัสและปล่อยให้ข้อมูลของคุณไม่เสียหาย . เว็บไซต์ของคุณจะไม่มีวันพังแม้ว่า MalCare จะทำงานอย่างหนักในแบ็กเอนด์เพื่อลบมัลแวร์
เมื่อ MalCare ระบุและลบมัลแวร์บางตัว จะไม่สามารถแพร่ระบาดในเว็บไซต์ของคุณได้อีก เคย. เรารับประกันว่า เช่นเดียวกับที่ร่างกายของคุณรู้วิธีหลีกเลี่ยงโรคอีสุกอีใสเมื่อคุณจับมัน MalCare รู้วิธีป้องกันเว็บไซต์ของคุณจากการโจมตีและมัลแวร์ที่คล้ายกันหากพยายามกลับมา คุณมีภูมิคุ้มกันจากการโจมตีในอนาคต
ไฟร์วอลล์ WordPress:
ถ้าคุณสามารถกันคนเลวไว้ข้างนอกได้ และปล่อยให้มีแต่ทราฟฟิกอินเทอร์เน็ตที่ดีเข้ามา มันจะดีไหม ไฟร์วอลล์ MalCare ทำหน้าที่นี้อย่างแม่นยำ และอีกมากมาย!
ไฟร์วอลล์นี้ติดตามการเข้าชมเว็บที่เข้ามาของคุณทุกวันตลอด 24 ชั่วโมงกับรายการที่อยู่ IP ที่เป็นอันตรายที่รู้จักในเครือข่ายและ บล็อก IP ที่เป็นอันตรายไม่ให้เข้าถึงไซต์ของคุณ . หากผู้โจมตีไม่สามารถเข้าถึงเว็บไซต์ของคุณได้ ก็จะกลายเป็นเรื่องยากสำหรับเขาที่จะโจมตีมัน มันยัง สนับสนุนการปิดกั้นทางภูมิศาสตร์ เพื่อการป้องกันเพิ่มเติม ด้วย MalCare คุณยังได้รับการป้องกันการเข้าสู่ระบบที่ใช้ CAPTCHA ซึ่งปกป้องเว็บไซต์ของคุณจากการโจมตีแบบเดรัจฉาน หาก MalCare ตรวจพบการเข้าสู่ระบบที่น่าสงสัย คุณจะได้รับการแจ้งเตือนทันทีเพื่อให้คุณดำเนินการได้อย่างเหมาะสม
นอกจากนี้เรายังมีการตรวจสอบสิทธิ์แบบสองปัจจัย ที่ทำให้แน่ใจว่าไม่มีใครเข้าถึงเว็บไซต์ของคุณได้หากไม่มีรหัสผ่านและรหัสที่ถูกต้อง
การจัดการเว็บไซต์:
จำเป็นต้องมีปลั๊กอินทั้งหมดของคุณในเวอร์ชันล่าสุด ดังที่เราได้เห็น วิธีแก้ปัญหาที่ง่ายที่สุดในการรักษาความปลอดภัยจากช่องโหว่ของปลั๊กอิน WordPress Live Chat Support คือการอัปเดตทันทีที่นักพัฒนาเปิดตัวแพตช์ เครื่องมือการจัดการของ MalCare จะ อัปเดตธีมและปลั๊กอินทั้งหมดของคุณในเว็บไซต์ทั้งหมดของคุณ . การใช้ ตัวจัดการหลักของ WordPress คุณสามารถอัปเดตการแก้ไขหลัก อัปเกรด WordPress และตรวจสอบเวอร์ชัน PHP บนเว็บไซต์ของคุณได้
นอกจากนี้ ในสถานการณ์ที่คุณต้องการให้สิทธิ์การเข้าถึงกับไคลเอ็นต์แต่ไม่ต้องการให้พวกเขาเข้าไปยุ่งเกี่ยวกับฟังก์ชันการทำงานใดๆ ของไซต์ เครื่องมือการจัดการของ MalCare ช่วยให้คุณกำหนดบทบาทของผู้ใช้เฉพาะและสิทธิ์การเข้าถึง เพื่อไม่ให้ใครทำการเปลี่ยนแปลงโดยไม่ได้ตั้งใจ คุณสามารถ เพิ่มสมาชิกในทีมและลูกค้า . ได้อย่างง่ายดาย ไปยังเว็บไซต์ของคุณทั้งหมด
นอกจากนี้ คุณยังสามารถจัดการเว็บไซต์ได้ไม่จำกัดด้วย MalCare
ยิ่งไปกว่านั้น คุณสามารถตรวจสอบเวลาทำงานของไซต์ , รับ การแจ้งเตือนการหยุดทำงานเมื่อหย่อน และทำการตรวจสอบประสิทธิภาพ สำหรับเว็บไซต์ของคุณ ด้วยการรายงานลูกค้าที่เหนือกว่า ตามความต้องการ และตามกำหนดเวลา คุณสามารถประหยัดเวลา โดยรวบรวมข้อมูลทั้งหมดและรับข้อมูลเชิงลึกแบบรวมศูนย์
และควบคุมทั้งหมดได้จากแดชบอร์ดส่วนกลาง!
เมื่อพูดถึงความปลอดภัยของเว็บ ไม่ควรมีการประนีประนอม ท้ายที่สุด เว็บไซต์ของคุณคือตัวตนของคุณในโลกดิจิทัล ควรระมัดระวังไม่ให้ได้รับอันตรายจากสิ่งใดๆ ไม่ว่าจะเป็นมัลแวร์ ไวรัส หรือแฮ็ก MalCare จะปกป้องเว็บไซต์ของคุณจากภัยคุกคามทั้งในปัจจุบันและอนาคต รับการรักษาความปลอดภัยระดับโลก ต่ำสุด $8.25 ต่อเดือน ! ฟีเจอร์ทั้งหมดที่กล่าวมาข้างต้นมีให้บริการฟรีโดยไม่มีค่าใช้จ่ายเพิ่มเติม
MalCare ช่วยคุณในการรักษาไซต์ของคุณให้ปลอดภัยจากภัยคุกคามทั้งหมดตลอด 24 ชั่วโมงทุกวันไม่เว้นวันหยุด