Plug-Ins, die Tausende von Käufern auf WordPress-Sites am Black Friday und Cyber ​​Monday anfällig machten

Tausende von Amerikanern bereiteten sich auf riesige Shopping-Events in der ganzen Dotcom-Welt vor, als Thanksgiving zu Ende ging. Sie wussten nicht, dass ihre Bankdaten und privaten Informationen von den Sicherheits-Plug-ins offengelegt wurden, die von Hunderten von E-Commerce-Plattformen verwendet werden? An Thanksgiving Day, Black Friday und Cyber ​​Monday haben Tausende von Käufern buchstäblich ihre Konto- und Kartendaten an Hacker weitergegeben über das Internet.

Nein, das ist nicht der Prolog einer Horrorgeschichte. Dies ist ein sehr aktuelles Ereignis, das die Tech-Welt mit dem Schrecken mehrerer Datenschutzverletzungen auf vertrauenswürdigen WordPress-basierten E-Commerce-Websites heimgesucht hat. Die genauen Namen der Websites oder die Namen (Versionen) der von ihnen verwendeten Plug-Ins wurden nicht genannt, aber der jüngste Bericht zeigt uns, dass über 100.000 Websites schutzlos gelassen wurden.

Was ist die bekannteste Schwachstelle?

Wir könnten uns dafür entscheiden, die Fehler unserer bevorzugten CMS-Plattform und Website-Vorlagen zu ignorieren, aber WordPress-Plug-Ins haben massive Sicherheitsprobleme. Von den vielen Sicherheitslücken, die diesen November entdeckt wurden, war die schlimmste möglicherweise eine ungepatchte Version des Revolution Image Slider Plug-ins. Dies war im Wesentlichen eine veraltete Version von RevSlider, die von WordPress-Websites ausgiebig verwendet wurde. Dieses Plug-in wurde verwendet, um beim berüchtigten Leck der Panama Papers im April 2016 riesige Mengen an personenbezogenen Daten durchsickern zu lassen. Dies entsprach dem Durchsickern von über 2,6 TB an Daten und mehr als 11,5 Millionen Dokumenten in dieser Zeit.

Vor kurzem hat DynamicPress eine große Lücke im WordPress-Plug-in-Design geschlossen, die es Dritten ermöglichen könnte, bösartige Dateien hochzuladen, die auf Neosense-WordPress-Vorlagen ausgeführt werden. Dies war Anfang September und möglicherweise alle Websites, die die betreffenden Themen verwenden, und die Server, auf denen sie gehostet werden.

Die Zahlen knirschen –
Etwa 50 Prozent der Websites, die von den Cyberkriminellen angegriffen wurden, verwendeten veraltete Sicherheitsfunktionen, und keine ihrer Plug-in-Versionen wurde aktualisiert. Dies wurde später durch einen Bericht bestätigt, der von Website Hacked Report veröffentlicht wurde. Damals wurden auch WordPress-Plug-ins für schuldig erklärt, denn 78 Prozent aller gehackten Websites waren WordPress-Seiten.

Das Wort im Markt –
Checkmarx hat 12 Top-Plugins für E-Commerce-Websites für WordPress analysiert, um ihre erheblichen Sicherheitsbedrohungen aufzudecken. Von den 12 haben 4 Plug-Ins hochriskante Schwachstellen. Reflected XSS war der am häufigsten gefundene Fehler unter den fehlerhaften Plug-Ins, und in mindestens einem davon wurde eine SQL-Injection gefunden. Dateimanipulation war ein gemeinsamer Faktor in allen kompromittierten Plug-Ins, die von über 100.000 Online-Shops verwendet wurden. Als das Einkaufen am Black Friday vorbei war, befanden sich bereits Millionen von Kontodaten in den Händen von Hackern. Wenn die Schwachstellen von den Hackern voll ausgenutzt wurden, könnten die Benutzer von über 135.000 Websites ihre sensiblen Informationen in den Händen von Cyberkriminellen finden.

Warum entscheiden sich die Leute normalerweise für WordPress?
Die meisten Online-Händler und -Unternehmer entscheiden sich für WordPress, da sie einfach einzurichten und zu veröffentlichen sind. Der Löwenanteil der Arbeit auf der Website wird von den Plug-Ins erledigt. Die Hauptaufgabe des Administrators besteht darin, zu überprüfen, ob alle Aktualisierungen rechtzeitig erfolgen. Im neuesten Trend setzen sogar Physiotherapeuten, Zahnärzte und Mediziner auf WordPress, um ihre Online-Profile zu erstellen. Aber der Trend ist stärker bei den Kliniken und Gesundheitsorganisationen, die ihre Dienstleistungen in Auftrag geben.

WordPress ist ihre erste Wahl, einfach weil die Vorlagen gebrauchsfertig und mobilfreundlich sind, Sie den Verkehr in Echtzeit überwachen können und Sie Ihre gesundheitsbezogene Website einfach SEO-freundlich gestalten können. Jede einzelne Vorlage und jedes Thema von WordPress enthält SEO-Funktionen. Sei es medizinisches SEO, Physiotherapie-SEO, Neurologie-SEO oder zahnmedizinisches SEO-Marketing, Ihr gewähltes WordPress-Theme ist wahrscheinlich gerüstet genug, um damit umzugehen! Wenn Sie sich also für WordPress entscheiden, bleiben Sie Ihrer Konkurrenz automatisch einen Schritt voraus.

Warum war der WordPress-Vorfall kein unverbesserliches Durcheinander?
Angesichts der jüngsten Bedrohungen, denen Benutzer von WordPress-Websites ausgesetzt sind, ist es möglicherweise normal, dass die Besucherzahlen zurückgehen. Aber zum Glück sind die meisten Ihrer Website-Besucher nicht sachkundig genug, um zu sagen, welche CMS-Plattform Sie verwenden. Andererseits gab es vor kurzem einen Sicherheitsskandal, in den Joomla! auch Webseiten. Dies geschah, nachdem bei WordPress schwerwiegende Sicherheitslücken diagnostiziert wurden. Die Joomla! Sicherheitsankündigungen wurden am 26. Oktober 2016 veröffentlicht. Dies lenkte nicht nur das gelehrtere Publikum ab, sondern bewies auch, dass diese Art von Bedrohungen vorkommen.

Das Extra für Ihren Umsatz –
Sie können jedoch den zusätzlichen Schritt unternehmen und Mailer an alle Ihre Kunden versenden und über Ihre Social-Media-Konten angepasste Posts über die Maßnahmen veröffentlichen, die Sie zum Schutz Ihrer Kunden ergriffen haben. Die wichtigsten Dinge, die Sie hier klären müssen, sollten Folgendes umfassen: die Version der Engine, die Sie möglicherweise verwenden, die aktualisierte Version der Sicherheits-Plugins und die zusätzlichen Sicherheitsmaßnahmen, die Sie nach dem Vorfall Ende November ergriffen haben.

Ein Wort an die Besitzer der WordPress-Website –
Es ist nicht unmöglich, allen Sicherheitsproblemen jederzeit aus dem Weg zu gehen. Mit der Weiterentwicklung Ihrer Sicherheit entwickelt sich auch die Technologie des Hackens. Im Überlebensrennen einer Roten Königin kann niemand den anderen endgültig besiegen. Wenn Sie heute sicher sind, ist das nur eine vorübergehende Erleichterung. Sie müssen Ihre Plug-Ins und Sicherheit ständig mit den neuesten Sicherheitspatches aktualisieren, um Ihre Firewalls stark zu halten. Führen Sie weiterhin Schwachstellentests auf Ihren Websites durch und beauftragen Sie Agenturen, die darauf spezialisiert sind. Es ist immer besser, dass Sie einen übersehenen Backend-Eingang finden, als dass ein Team von Hackern ihn Ihnen zeigt.

Biografie des Autors: Anthony Perez ist ein bekannter Name in den Bereichen Cybersicherheit und digitales Marketing. Er ist ein SEO-Experte und hat seine Fähigkeiten in den letzten 6 Jahren verfeinert. Er beschäftigt sich erst seit Kurzem mit Cybersicherheit. Wenn Sie Fragen zu Marketingstrategien haben, z. B. SEO-Strategien für die Gesundheit, SEO-Marketing für Zahnärzte und SEO-Optionen für Ärzte, wenden Sie sich mit Ihren Fragen an Perez.