WP ライブ チャット サポート プラグインのこの脆弱性により、ハッカーがサイトを侵害する可能性があります!

WordPress のウェブサイトを持つことは素晴らしいことですが、デジタルの世界では常に善人と悪人の間で戦いが続いています…まるで映画の筋書きのようですね。しかし、これは現実です！善良な人々、つまりセキュリティ研究者と開発者は、Web サイトを安全に保ちたいと考えています。そして悪者、つまりハッカーやスパマーは、悪意のある目的でそれを違法に使用したいと考えています.

さらに掘り下げてみましょう…

「Web サイトへの攻撃は 39 秒ごとに発生しており、WordPress の脆弱性の 98% はプラグインに関連しています 」

あなたがこれを読んでいる間に、どこかの攻撃者がプラグインの脆弱性を悪用して、WordPress Web サイトに不正にアクセスしようとしています。

2019 年 4 月、セキュリティ研究者として知られる善良な人々が、WP ライブ チャット サポート プラグインに持続的なクロスサイト スクリプティング (XSS) の脆弱性を発見しました。 .これにより、ハッカーとも呼ばれる悪者がこの脆弱性を悪用し、Web サイトに悪意のあるスクリプトを挿入して Web サイトを制御するようになりました。 WP ライブ チャット サポート プラグイン は WordPress プラグインであり、エンゲージメントとコンバージョンを目的とした他の完全に機能するライブ チャット サポート プラグインの無料の代替手段です。プラグインのアクティブ インストール数は 60,000 を超えています 、何千人ものユーザーを危険にさらしています。

この脆弱性とは何ですか?また、どのような影響がありますか?

WP ライブ チャット サポート プラグインの脆弱性により、攻撃者は対象の Web サイトでクロスサイト スクリプティング (XSS) 攻撃を実行することができました。

XSS 攻撃では、ハッカーは、ユーザーの知らないうちに悪意のあるスクリプトまたはコードを Web サイトに挿入します。このコードは、ユーザー データを収集し (うーん!)、Web サイトのコンテンツを変更したり、侵害された別の Web ページに送信したりする可能性があります。サーバーに保存されているウェブサイトの一部 (例:ユーザー コメント) にハッカーが自分のコードを挿入することに成功した場合、それは 永続的な XSS になります。 .

「永続的」。ユーザーが感染した Web ページをロードするたびに、ブラウザが悪意のあるコードを実行し、それによって攻撃が完了するためです。

私たちは皆、検索エンジンを知っています。特に Google は、サイトのセキュリティを非常に真剣に考えています。したがって、そのような脆弱性は SEO に非常に悪い影響を与えます。それだけでなく、ユーザー間の信頼の問題も引き起こします。最悪の場合、Web サイトにアクセスできなくなったり、サイトにスパム リンクやマルウェアが含まれているために Web ホストから停止されることさえあります。

この脆弱性が大きな問題である理由は、認証を必要とせず、感染した Web サイトのアカウントを持っていないユーザーによっても悪用される可能性があるためです. 認証が不要なため、多数のサイト (この場合は 60,000 以上) に影響を与える攻撃を簡単に自動化できます。 !

攻撃

保護されていない「admin_init フック」が原因で、攻撃が可能になります。 '。これは、ほとんどの攻撃者が攻撃を開始する場所であり、WordPress プラグイン攻撃に関しては非常に一般的です.

まず、フックの意味を理解しましょう。フックは、あるコードが別のコードと対話して変更するための手段です。通常、誰かがサイトの管理ページにアクセスすると、WordPress はこのフックを呼び出します。開発者はこのフックを使用して、その時点でさまざまな関数を呼び出すことができます。問題は、フックが認証を必要とせず、管理 URL にアクセスした人は誰でもそれを使用してコードを実行できることです。 WP ライブ チャットの管理フックは、ユーザーの権限をチェックせず、プラグイン設定を更新するだけの wplc_head_basic というアクションを呼び出します。

ハッカーはこの欠陥を利用して、ライブ チャット ウィンドウが表示されるたびにプラグインが表示するコンテンツを制御する wplc_custom_js と呼ばれる JavaScript オプションを更新できます。考えてみてください。ライブ チャット ウィジェットは、ユーザーが Web サイトでアクセスするほぼすべてのページでユーザーを追跡します。したがって、ハッカーがこの方法を使用して複数のページをターゲットにするのは簡単なことです!

では、どうすればサイトを安全に保つことができますか?

WP Live Chat Support プラグインの背後にいる開発者は、この脆弱性に対処するパッチをリリースしました .したがって、Web サイトのハッキングを回避する最善の解決策は、Web サイトを最新バージョンに更新することです。

Web サイトのハッキングを回避するための最善の解決策は、WP ライブ チャット サポート プラグインを最新バージョンに更新することです。クリックしてツイート

8.0.27 以降のバージョンは安全です 、それでも最新バージョンに頻繁に更新することをお勧めします。最新バージョンは 8.0.33 です こちらから入手できます .

今後どのようにサイトを安全に保ちますか?

ステップ 1:信頼できるソースからのみプラグインとテーマを入手してください!

そのプレミアム プラグインを Web サイトや torrent ファイルから無料で入手したくなると思いませんか?プレミアム機能と、節約できる金額について考えているかもしれません…えっと…それとも、本当にそうしますか?

信頼できないソースからプラグインをダウンロードするときはいつでも、マルウェアやウイルスに感染するリスクも受け入れます.そのプレミアムプラグインで数ドルを節約できるかもしれませんが、可能であれば、ウェブサイトを回復しようとして何千ドルも費やすことになるかもしれません.したがって、常に信頼できるソース (できれば認証済みの会社) からプラグインをインストールし、悪意のあるコードについて専門家やコミュニティ メンバーによって精査されているかどうかを確認してください。

信頼できる WordPress マーケット プレイス プラグイン:

• ワードプレス
• CodeCanyon
• ピックプラグイン
• Mojo マーケットプレイス
• MyThemeshop
• テーマ
• テーマの森

ステップ 2:信頼できるセキュリティ プラグインを入手する

WordPress には、すべての Web サイトに対して非常に効果的なセキュリティ システムが導入されています。ただし、上記のような脆弱性は、すべてのセキュリティ チェックをバイパスし、サイトに脅威を与える可能性があります。したがって、セキュリティ プラグインは重要です。

セキュリティ プラグインに関して言えば、攻撃の疑いがある場合に Web サイトの脆弱性を単純にスキャンするプラグインではなく、サイトが常に安全でセキュアであることを積極的に保証するプラグインを取得することが望ましいです。マルウェアのスキャン、マルウェアの削除、WordPress のファイアウォール、Web サイトの管理など、24 時間年中無休の保護を提供するプラグインが、手頃な価格で必要です!

MalCare はまさにこれらのことを念頭に置いて開発されたプラグインであり、Web サイトの防御が常に有効であることを保証します.

MalCare が提供するものは次のとおりです…

マルウェア スキャン:

MalCare は、100 以上の信号で Web サイトをスキャンし、署名の検証にとどまりません。 これにより、市場で入手可能な他のどのプラグインよりも優れたマルウェアの識別が可能になります。どのデータベースにもシグネチャが存在しない未知のマルウェアも識別​​できます。

MalCare はサイト全体と同期し、24 時間年中無休で変更を追跡します .不正な変更は正確な場所まで追跡されるため、マルウェアのソースを特定するのに役立ちます。 24 時間年中無休でサイトを追跡した後でも、サーバーの負荷はゼロです として MalCare は、独自のサーバー上のすべてのファイルをスキャンします。 あなたのウェブサイトが遅くなることはありません!

設定でスケジュールを指定するだけで、毎日の自動スキャンを実行するように MalCare をセットアップできます。 無制限のオンデマンド スキャンを実行するオプションもあります いつでも好きなときに、マルウェアが見つかった場合はすぐに通知を受け取ります。

また、Web サイトが感染しているという通知を受け取り、それが真実ではないことが判明することが、どれほど恐ろしく、いらだたしいことかを理解しています。 MalCare はこれも処理します。 業界で最も誤検知が少ない …つまり、徹底的なチェックの後にのみ通知するということです。

マルウェアの除去:

MalCare のワンクリック マルウェア除去で 、あなたのサイトは 60 秒未満でマルウェアから解放されます !

MalCare あなたのウェブサイトには影響しません マルウェアを一掃するとき。ファイルが感染している場合、MalCare はインテリジェントに感染した部分のみを削除し、データはそのまま残します。 . MalCare がバックエンドで猛烈にマルウェアを削除しようとしても、Web サイトがダウンすることはありません。

MalCare が特定のマルウェアを特定して削除すると、再びサイトに感染することはありません。これまで。 保証いたします。水ぼうそうにかかったときに体がそれを回避する方法を知っているように、MalCare は、同じような攻撃やマルウェアが再発した場合に Web サイトを保護する方法を知っています。将来の攻撃に対する耐性があります。

WordPress ファイアウォール:

悪者を外に出さずに、良いインターネット トラフィックだけを入れることができれば、素晴らしいと思いませんか? MalCare ファイアウォールはまさにこれを行います。

このファイアウォールは、ネットワーク内の既知の悪意のある IP アドレスのリストに対して 24 時間年中無休で受信する Web トラフィックを追跡し、危険な IP がサイトにアクセスするのをブロックします。 .攻撃者が Web サイトにアクセスできなければ、攻撃するのは難しくなります。 ジオブロッキングもサポート 追加の保護のために。 MalCare を使用すると、CAPTCHA ベースのログイン保護も利用できます ブルート フォース攻撃から Web サイトを保護します。 MalCare が不審なログインを検出すると、すぐに通知を受け、適切な措置を講じることができます。

また、2 要素認証もあります これにより、適切なパスワードとコードがなければ、誰もあなたのウェブサイトにアクセスできなくなります。

ウェブサイト管理:

すべてのプラグインを最新バージョンにすることが不可欠です。これまで見てきたように、WordPress ライブ チャット サポート プラグインの脆弱性から身を守るための最も簡単な解決策は、開発者がパッチをリリースしたらすぐにプラグインを更新することでした。 MalCare の管理ツールは、すべての Web サイトですべてのテーマとプラグインを更新します。 . WordPress コア マネージャーの使用 、コアの変更を更新し、WordPress をアップグレードし、Web サイトの PHP バージョンを確認できます。

また、クライアントにアクセスを許可したいが、サイトの機能に介入させたくないというシナリオでは、MalCare の管理ツールを使用して特定のユーザー ロールとアクセス許可を割り当てることができます 誰も意図しない変更を加えることができないようにします。 チームメンバーとクライアントを簡単に追加できます

さらに、MalCare で無制限のウェブサイトを管理できます。

さらに、サイトの稼働時間を監視できます 、スラックに関するダウンタイム アラートを取得 パフォーマンス チェックも行います あなたのウェブサイトのために。優れたオンデマンドのスケジュールされたクライアント レポートにより、時間を節約できます すべてのデータをコンパイルし、洞察を一元化します。

そして、一元化されたダッシュボードからすべてを制御できます!

Web セキュリティに関しては、妥協があってはなりません。結局のところ、ウェブサイトはデジタル世界におけるあなたのアイデンティティです。マルウェア、ウイルス、ハッキングなど、何によっても害を受けないように注意する必要があります。 MalCare は、現在および将来のすべての脅威から Web サイトを保護します。 わずかでワールドクラスのセキュリティを手に入れましょう 月額 $8.25 ! 上記のすべての機能は、どのプランでも追加料金なしで無料で利用できます。

MalCare は、24 時間 365 日すべての脅威からサイトを安全に保つのに役立ちます。