Có một trang web WordPress là tuyệt vời, nhưng trong thế giới kỹ thuật số, luôn có một cuộc chiến giữa kẻ tốt và kẻ xấu… nghe giống như một cốt truyện phim, phải không? Nhưng, đây là một thực tế! Những người tốt - các nhà nghiên cứu và phát triển bảo mật, muốn giữ cho trang web của bạn an toàn. Và những kẻ xấu - tin tặc và người gửi thư rác, muốn sử dụng nó một cách bất hợp pháp cho các mục đích xấu.
Hãy tìm hiểu sâu hơn…
“Cứ 39 giây lại có một cuộc tấn công vào một trang web và 98% lỗ hổng WordPress có liên quan đến các plugin ”
Trong khi bạn đang đọc bài viết này, một kẻ tấn công ở đâu đó đang cố gắng truy cập bất hợp pháp vào trang web WordPress bằng cách khai thác lỗ hổng của một số plugin.
Vào tháng 4 năm 2019, những người tốt, hay còn gọi là các nhà nghiên cứu bảo mật, đã phát hiện ra một lỗ hổng liên tục tạo tập lệnh trên nhiều trang web (XSS) trong plugin hỗ trợ trò chuyện trực tiếp WP . Điều này cho thấy kẻ xấu, hay còn gọi là tin tặc, khai thác lỗ hổng này và đưa các đoạn mã độc hại vào trang web, từ đó chiếm quyền kiểm soát trang web. Plugin hỗ trợ trò chuyện trực tiếp WP là một plugin WordPress, là một giải pháp thay thế miễn phí cho các plugin hỗ trợ trò chuyện trực tiếp đầy đủ chức năng khác dành cho tương tác và chuyển đổi. Plugin có hơn 60.000 lượt cài đặt đang hoạt động , khiến hàng nghìn người dùng gặp rủi ro.
Lỗ hổng này là gì và nó ảnh hưởng đến bạn như thế nào?
Lỗ hổng trong plugin Hỗ trợ trò chuyện trực tiếp của WP cho phép kẻ tấn công thực hiện các cuộc tấn công tạo tập lệnh trên nhiều trang web (XSS) trên trang web mục tiêu.
Trong một cuộc tấn công XSS, tin tặc sẽ đưa một tập lệnh hoặc mã độc hại vào trang web của bạn mà bạn không biết. Sau đó, mã này có thể thu thập dữ liệu người dùng (uh-oh!), Sửa đổi nội dung trang web của bạn hoặc gửi chúng đến một trang web bị xâm phạm khác. Nếu tin tặc quản lý để đưa mã của họ vào phần trang web của bạn, được lưu trữ trên máy chủ (Ví dụ:Nhận xét của người dùng), nó sẽ trở thành XSS liên tục .
'Liên tục,' bởi vì bất cứ khi nào người dùng tải trang web bị nhiễm độc, trình duyệt sẽ thực thi mã độc hại đó, do đó hoàn thành cuộc tấn công '
Chúng ta đều biết các công cụ tìm kiếm, đặc biệt là Google rất coi trọng vấn đề bảo mật trang web. Và do đó, bất kỳ lỗ hổng nào như vậy sẽ dẫn đến tác động rất xấu đến SEO của bạn. Không chỉ vậy, nó còn tạo ra các vấn đề về lòng tin giữa những người dùng của bạn. Trong trường hợp tồi tệ hơn, bạn thậm chí có thể mất quyền truy cập vào trang web của mình hoặc bị máy chủ lưu trữ web của bạn tạm ngưng vì có các liên kết spam và phần mềm độc hại trên trang web của bạn.
Lý do tại sao lỗ hổng này là một vấn đề lớn là nó không yêu cầu bất kỳ xác thực nào và có thể bị khai thác bởi những người dùng thậm chí không có tài khoản trên trang web bị nhiễm. Không có yêu cầu xác thực, rất dễ dàng để tự động hóa cuộc tấn công để ảnh hưởng đến một số lượng lớn các trang web, hơn 60.000 trong trường hợp này !
Cuộc tấn công
Cuộc tấn công có thể xảy ra do ‘ admin_init hook không được bảo vệ ‘. Đây là nơi mà hầu hết những kẻ tấn công bắt đầu các cuộc tấn công của họ và khá phổ biến khi nói đến các cuộc tấn công plugin WordPress.
Trước tiên, chúng ta hãy hiểu hook có nghĩa là gì. Một hook là một phương tiện để một đoạn mã tương tác và thay đổi đoạn mã khác. WordPress thường gọi hook này khi ai đó truy cập trang quản trị của trang web. Các nhà phát triển có thể sử dụng hook này để gọi các hàm khác nhau tại thời điểm đó. Vấn đề là hook không yêu cầu bất kỳ xác thực nào và bất kỳ ai truy cập vào URL quản trị đều có thể sử dụng nó để chạy mã. Quản trị viên của WP Live Chat gọi một hành động có tên là wplc_head_basic, hành động này không kiểm tra đặc quyền của người dùng và chỉ cập nhật cài đặt plugin.
Tin tặc có thể sử dụng lỗ hổng này để cập nhật tùy chọn JavaScript có tên wplc_custom_js kiểm soát nội dung mà plugin hiển thị bất cứ khi nào cửa sổ trò chuyện trực tiếp xuất hiện. Bây giờ, hãy nghĩ về điều này - tiện ích trò chuyện trực tiếp theo dõi người dùng trên hầu hết các trang mà họ truy cập trên trang web của bạn và do đó, đó là một miếng bánh để tin tặc nhắm mục tiêu nhiều trang bằng cách sử dụng phương pháp này!
Vì vậy, làm cách nào để giữ trang web của bạn an toàn khỏi điều này?
Các nhà phát triển đằng sau plugin Hỗ trợ trò chuyện trực tiếp WP đã phát hành một bản vá để xử lý lỗ hổng này . Do đó, giải pháp tốt nhất để tránh trang web của bạn bị tấn công là cập nhật nó lên phiên bản mới nhất.
Giải pháp tốt nhất để tránh trang web của bạn bị tấn công là cập nhật plugin WP Live Chat Support lên phiên bản mới nhất. Nhấp để TweetMọi phiên bản sau 8.0.27 đều an toàn , nhưng ngay cả khi đó, chúng tôi khuyên bạn nên cập nhật thường xuyên lên phiên bản mới nhất. Phiên bản mới nhất là 8.0.33 và có sẵn tại đây .
Bạn làm cách nào để giữ trang web của mình an toàn trong tương lai?
Bước 1:Chỉ tải các plugin và chủ đề từ các nguồn đáng tin cậy!
Thật hấp dẫn khi nhận được plugin cao cấp đó miễn phí từ một trang web hoặc tệp torrent, phải không? Bạn có thể đang suy nghĩ về các tính năng cao cấp và bạn có thể sẽ tiết kiệm được bao nhiêu tiền… ờ… hay thực sự là bạn?
Bất cứ khi nào bạn tải xuống các plugin từ các nguồn không đáng tin cậy, bạn cũng chấp nhận nguy cơ chúng bị nhiễm phần mềm độc hại hoặc vi rút. Mặc dù bạn có thể tiết kiệm một vài đô la trên plugin cao cấp đó, nhưng cuối cùng bạn có thể phải chi hàng nghìn đô la để cố gắng khôi phục trang web của mình, nếu điều đó là có thể. Do đó, hãy luôn cài đặt các plugin từ các nguồn đáng tin cậy, tốt nhất là từ công ty đã xác thực và kiểm tra xem chúng đã được các chuyên gia và thành viên cộng đồng kiểm tra mã độc chưa.
Các plugin WordPress market place đáng tin cậy:
- WordPress
- CodeCanyon
- PickPlug-in
- Mojo Marketplace
- MyThemeshop
- Themeisle
- ThemeForest
Bước 2:Nhận một plugin bảo mật đáng tin cậy
WordPress có một hệ thống bảo mật khá hiệu quả cho tất cả các trang web của nó. Tuy nhiên, một lỗ hổng như đã đề cập ở trên có thể vượt qua tất cả các bước kiểm tra bảo mật và gây ra mối đe dọa cho trang web của bạn. Do đó, một plugin bảo mật là rất quan trọng.
Khi nói đến các plugin bảo mật, bạn nên chọn một plugin không chỉ quét trang web của bạn để tìm lỗ hổng bảo mật sau một cuộc tấn công đáng ngờ, mà là một plugin tích cực đảm bảo trang web của bạn luôn an toàn và bảo mật. Bạn cần một plugin cung cấp khả năng bảo vệ 24/7 với tính năng quét phần mềm độc hại, loại bỏ phần mềm độc hại cùng với tường lửa WordPress và quản lý trang web… tất cả trong một, với giá cả phải chăng!
MalCare là một plugin được phát triển với chính xác những điều này và nó đảm bảo khả năng bảo vệ trang web của bạn luôn được duy trì.
Đây là những gì MalCare cung cấp…
Quét phần mềm độc hại:
MalCare quét trang web của bạn với hơn 100 tín hiệu và vượt ra ngoài xác minh chữ ký. Điều này cho phép nó xác định phần mềm độc hại tốt hơn bất kỳ plugin nào khác hiện có trên thị trường. Nó có thể xác định ngay cả phần mềm độc hại không xác định có chữ ký không có trong bất kỳ cơ sở dữ liệu nào.
MalCare đồng bộ hóa với toàn bộ trang web của bạn và theo dõi mọi thay đổi 24/7 . Mọi thay đổi trái phép đều được theo dõi đến vị trí chính xác của nó và điều này giúp xác định nguồn gốc của phần mềm độc hại. Ngay cả sau khi theo dõi trang web của bạn 24/7, vẫn có không tải trên máy chủ của bạn như MalCare quét tất cả các tệp trên máy chủ của chính nó. Trang web của bạn sẽ không bao giờ chậm lại với chúng tôi!
Bạn có thể thiết lập MalCare để thực hiện quét tự động hàng ngày bằng cách chỉ định lịch trình trong cài đặt. Bạn cũng có tùy chọn để thực hiện quét theo yêu cầu không giới hạn bất cứ khi nào bạn muốn và nhận được thông báo ngay lập tức nếu phần mềm độc hại được tìm thấy.
Chúng tôi cũng hiểu mức độ đáng sợ và khó chịu khi nhận được thông báo cho biết trang web của bạn bị nhiễm virus chỉ để phát hiện ra rằng đó không phải là sự thật. MalCare cũng lo việc này. Nó có số lượng dương tính giả ít nhất trong ngành … Có nghĩa là chúng tôi chỉ thông báo cho bạn sau khi kiểm tra kỹ lưỡng.
Loại bỏ phần mềm độc hại:
Với loại bỏ phần mềm độc hại chỉ bằng một cú nhấp chuột của MalCare , trang web của bạn sẽ không có phần mềm độc hại trong vòng chưa đầy 60 giây !
MalCare không ảnh hưởng đến trang web của bạn khi nó làm sạch nó khỏi phần mềm độc hại. Nếu một tệp đã bị nhiễm, MalCare sẽ chỉ loại bỏ phần bị nhiễm một cách thông minh và giữ nguyên dữ liệu của bạn . Trang web của bạn sẽ không bao giờ bị hỏng ngay cả khi MalCare đang làm việc tích cực trong chương trình phụ trợ để loại bỏ phần mềm độc hại.
Khi MalCare xác định và xóa một phần mềm độc hại nhất định, phần mềm đó không bao giờ có thể lây nhiễm lại trang web của bạn. Bao giờ. Chúng tôi đảm bảo điều đó. Giống như cơ thể của bạn biết cách tránh thủy đậu sau khi bạn mắc phải nó, MalCare biết cách bảo vệ trang web của bạn khỏi một cuộc tấn công tương tự và phần mềm độc hại nếu nó cố gắng quay trở lại. Bạn có khả năng miễn nhiễm khỏi các cuộc tấn công trong tương lai.
Tường lửa WordPress:
Nếu bạn có thể ngăn chặn những kẻ xấu bên ngoài và chỉ cho phép lưu lượng truy cập internet tốt vào, điều đó có tuyệt không? Tường lửa MalCare thực hiện chính xác điều này và hơn thế nữa!
Tường lửa này theo dõi lưu lượng truy cập web đến của bạn 24/7 dựa trên danh sách các địa chỉ IP độc hại đã biết trong mạng của nó và chặn các IP nguy hiểm truy cập trang web của bạn . Nếu kẻ tấn công không thể truy cập trang web của bạn, thì việc tấn công nó sẽ trở nên khó khăn. Nó thậm chí còn hỗ trợ chặn địa lý để được bảo vệ bổ sung. Với MalCare, bạn cũng nhận được bảo vệ đăng nhập dựa trên CAPTCHA bảo vệ trang web của bạn chống lại các cuộc tấn công vũ phu. Nếu MalCare phát hiện bất kỳ thông tin đăng nhập đáng ngờ nào, bạn sẽ được thông báo ngay lập tức để có thể thực hiện hành động thích hợp.
Ngoài ra, chúng tôi có xác thực hai yếu tố điều đó đảm bảo không ai có thể truy cập vào trang web của bạn nếu không có mật khẩu và mã thích hợp.
Quản lý Trang web:
Điều cần thiết là có tất cả các plugin của bạn trong phiên bản mới nhất. Như chúng ta đã thấy, giải pháp đơn giản nhất để an toàn khỏi lỗ hổng plugin Hỗ trợ trò chuyện trực tiếp của WordPress là cập nhật nó ngay sau khi các nhà phát triển phát hành bản vá. Các công cụ quản lý của MalCare sẽ cập nhật tất cả các chủ đề và plugin của bạn trên tất cả các trang web của bạn . Sử dụng trình quản lý cốt lõi của WordPress , bạn có thể cập nhật các sửa đổi cốt lõi, nâng cấp WordPress và kiểm tra phiên bản PHP trên trang web của mình.
Ngoài ra, trong trường hợp bạn muốn cấp quyền truy cập cho khách hàng nhưng không muốn họ can thiệp vào bất kỳ chức năng nào của trang web, công cụ quản lý của MalCare cho phép bạn chỉ định vai trò người dùng cụ thể và quyền truy cập để không ai có thể thực hiện bất kỳ thay đổi ngoài ý muốn nào. Bạn có thể dễ dàng thêm thành viên trong nhóm và khách hàng cho tất cả các trang web của bạn.
Hơn nữa, bạn có thể quản lý các trang web không giới hạn với MalCare.
Hơn nữa, bạn có thể theo dõi thời gian hoạt động của trang web , nhận cảnh báo thời gian chết khi chùng và cũng thực hiện kiểm tra hiệu suất cho trang web của bạn. Với báo cáo khách hàng theo lịch, theo yêu cầu và vượt trội, bạn có thể tiết kiệm thời gian bằng cách tổng hợp tất cả dữ liệu và tập trung thông tin chi tiết.
Và bạn có thể kiểm soát tất cả từ một bảng điều khiển tập trung!
Khi nói đến bảo mật web, không có gì phải thỏa hiệp. Sau tất cả, trang web của bạn là danh tính của bạn trong thế giới kỹ thuật số. Cần cẩn thận để nó không bị tổn hại theo bất kỳ cách nào bởi bất kỳ thứ gì, cho dù đó là phần mềm độc hại, vi rút hoặc hack. MalCare sẽ bảo vệ trang web của bạn chống lại tất cả các mối đe dọa hiện tại và trong tương lai. Nhận bảo mật đẳng cấp thế giới với chi phí thấp nhất $ 8,25 mỗi tháng ! Tất cả các tính năng được đề cập ở trên đều có sẵn miễn phí với bất kỳ gói nào mà không phải trả thêm phí.
MalCare giúp bạn giữ an toàn cho trang web của mình khỏi tất cả các mối đe dọa 24/7.