Plug-in che hanno reso vulnerabili migliaia di acquirenti sui siti WordPress durante il Black Friday e il Cyber ​​Monday

Migliaia di americani si sono preparati per enormi eventi di shopping in tutto il mondo delle dotcom mentre il Ringraziamento volgeva al termine. Non sapevano che i loro dati bancari e le loro informazioni private erano stati messi a nudo dai plug-in di sicurezza utilizzati da centinaia di piattaforme di e-commerce? Il giorno del Ringraziamento, il Black Friday e il Cyber ​​Monday hanno visto migliaia di acquirenti distribuire letteralmente i dettagli del proprio account e della carta a tutti gli hacker su internet.

No, questo non è il prologo di una storia dell'orrore. Questo è un evento molto recente che ha lasciato il mondo tecnologico colpito dall'orrore di molteplici violazioni della privacy su siti Web di e-commerce affidabili basati su WordPress. Non sono stati menzionati i nomi specifici dei siti Web né i nomi (versioni) dei plug-in da essi utilizzati, ma il rapporto più recente mostra che oltre 100.000 siti Web sono rimasti indifesi.

Qual è la vulnerabilità più nota?

Potremmo scegliere di chiudere un occhio sui difetti della nostra piattaforma CMS preferita e dei modelli di siti Web, ma i plug-in di WordPress hanno enormi problemi di sicurezza. Tra le molte vulnerabilità scoperte a novembre, la peggiore potrebbe essere stata una versione senza patch del plug-in Revolution Image Slider. Si trattava essenzialmente di una versione obsoleta di RevSlider ampiamente utilizzata dai siti Web WordPress. Questo plug-in è stato utilizzato per divulgare enormi quantità di dati personali nella famigerata fuga di notizie sui Panama Papers nell'aprile 2016. Ciò è correlato alla fuga di oltre 2,6 TB di dati e oltre 11,5 milioni di documenti durante quel periodo.

Molto recentemente, DynamicPress ha risolto una grave lacuna nel design del plug-in di WordPress che poteva consentire a qualsiasi terza parte di caricare file dannosi in esecuzione sui modelli di Neosense WordPress. Questo è stato all'inizio di settembre, e forse anche tutti i siti Web che utilizzavano i temi interessati e anche i server che li ospitavano.

Sgranocchiare i numeri –
Circa il 50% dei siti Web attaccati dai criminali informatici utilizzava funzionalità di sicurezza obsolete e nessuna delle versioni dei plug-in è stata aggiornata. Ciò è stato successivamente confermato da un rapporto pubblicato da Website Hacked Report. È stato anche il momento in cui i plug-in di WordPress sono stati dichiarati colpevoli, dal momento che il 78% di tutti i siti Web violati erano siti WordPress.

La parola nel mercato –
Checkmarx ha analizzato i 12 migliori plug-in di siti Web di e-commerce per WordPress per svelare le loro significative minacce alla sicurezza. Dei 12, 4 plug-in presentano vulnerabilità ad alto rischio. L'XSS riflesso è stato l'errore più comunemente riscontrato tra i plug-in difettosi e in almeno uno di essi è stata rilevata un'iniezione SQL. La manipolazione dei file era un fattore comune in tutti i plug-in compromessi utilizzati da oltre 100.000 negozi online. Al termine dello shopping del Black Friday, milioni di dettagli dell'account erano già nelle mani degli hacker. Se le vulnerabilità sono state sfruttate dagli hacker al massimo delle loro potenzialità, gli utenti di oltre 135.000 siti Web potrebbero trovare le loro informazioni sensibili nelle mani dei criminali informatici.

Perché le persone di solito usano WordPress?
La maggior parte dei rivenditori e degli imprenditori online scelgono WordPress poiché sono facili da configurare e pubblicare. La parte del leone del lavoro sul sito Web viene svolta dai plug-in. La responsabilità principale dell'amministratore è verificare se tutti gli aggiornamenti vengono eseguiti in tempo. Nel trend più recente degli eventi, anche fisioterapisti, dentisti e medici si rivolgono a WordPress per creare i loro profili online. Ma la tendenza è più forte tra le cliniche e le organizzazioni sanitarie che commissionano i loro servizi.

WordPress è la loro scelta principale semplicemente perché i modelli sono pronti per l'uso e ottimizzati per i dispositivi mobili, puoi monitorare il traffico in tempo reale e puoi facilmente rendere SEO friendly il tuo sito Web relativo alla salute. Ogni modello e tema di WordPress include funzionalità SEO. Che si tratti di SEO medico, SEO di fisioterapia, SEO di neurologia o marketing di SEO dentale, il tema WordPress che hai scelto è probabilmente abbastanza attrezzato per gestirlo! Pertanto, scegliendo WordPress puoi automaticamente stare al passo con la concorrenza.

Perché l'incidente di WordPress non è stato un pasticcio incorreggibile?
Ora, con le minacce più recenti sperimentate dagli utenti del sito Web WordPress, potrebbe essere normale riscontrare un calo dei visitatori. Ma per fortuna, la maggior parte dei visitatori del tuo sito Web non è abbastanza esperta per dire quale piattaforma CMS stai utilizzando. D'altra parte, c'è stato un recentissimo scandalo sulla sicurezza che ha coinvolto Joomla! anche i siti web. Questo è successo dopo che a WordPress sono state diagnosticate gravi vulnerabilità. Joomla! annunci di sicurezza sono stati fatti il ​​26 ottobre 2016. Ciò non solo ha distratto il pubblico più istruito, ma ha anche dimostrato che questo tipo di minacce si verifica.

Quel tocco in più per aumentare le tue vendite -
Ma puoi fare il passo in più e inviare mailer a tutti i tuoi clienti e pubblicare post personalizzati attraverso i tuoi account sui social media sulle misure che hai adottato per proteggere i tuoi clienti. Le cose più importanti che devi chiarire qui dovrebbero includere: la versione del motore che potresti utilizzare, la versione aggiornata dei plug-in di sicurezza e le misure di sicurezza aggiuntive che hai adottato dopo l'incidente verificatosi a fine novembre.

Una parola ai proprietari di siti Web WordPress:
Non è impossibile evitare sempre tutti i problemi di sicurezza. man mano che la tua sicurezza si evolve, anche la tecnologia dell'hacking si evolve. Nella corsa alla sopravvivenza di una Regina Rossa, nessuno può battere definitivamente l'altro. Se sei al sicuro oggi, è solo un sollievo temporaneo. È necessario aggiornare costantemente i plug-in e la sicurezza con le patch di sicurezza più recenti per mantenere forti i firewall. Continua a eseguire test di vulnerabilità sui tuoi siti Web e chiedi aiuto alle agenzie specializzate in questo. È sempre meglio trovare un ingresso di back-end trascurato piuttosto che un team di hacker te lo mostri.

Biografia dell'autore: Anthony Perez è un nome ben noto nel campo della sicurezza informatica e del marketing digitale. È stato un esperto SEO e ha affinato le sue capacità negli ultimi 6 anni. Si è dilettato con la sicurezza informatica solo di recente. Se hai domande sulle strategie di marketing, come: strategie SEO per la salute, marketing SEO dentale e opzioni SEO per medici, contatta Perez con le tue domande.