• Strona główna
  • Artykuły
  • Temat
  • Wtyczki, które pozostawiły tysiące kupujących na stronach WordPressa podatnych na czarny piątek i cyberponiedziałek

Wtyczki, które pozostawiły tysiące kupujących na stronach WordPressa podatnych na czarny piątek i cyberponiedziałek

Opublikowany: 2018-11-30

blog-baner
Tysiące Amerykanów przygotowywało się do masowych zakupów w całym świecie dotcomów, gdy Święto Dziękczynienia dobiegło końca. Nie wiedzieli, że ich dane bankowe i prywatne informacje zostały ujawnione przez wtyczki bezpieczeństwa używane przez setki platform e-commerce? W Święto Dziękczynienia, Czarny Piątek i Cyber ​​Poniedziałek tysiące kupujących dosłownie wręczyło swoje dane konta i karty hakerom. przez internet.

Nie, to nie jest prolog opowieści grozy. To bardzo niedawne wydarzenie, które sprawiło, że świat technologii ogarnął horror wielokrotnych naruszeń prywatności w zaufanych witrynach e-commerce opartych na WordPressie. Konkretne nazwy stron internetowych nie zostały wymienione ani nazwy (wersje) używanych przez nie wtyczek, ale najnowszy raport pokazuje, że ponad 100 000 stron pozostało bezbronnych.

Jaka jest najbardziej zauważona luka?

Możemy przymknąć oko na wady naszej ulubionej platformy CMS i szablonów stron internetowych, ale wtyczki WordPress mają ogromne problemy z bezpieczeństwem. Spośród wielu luk, które zostały odkryte w listopadzie tego roku, najgorszą mogła być niezałatana wersja wtyczki Revolution Image Slider. Była to zasadniczo nieaktualna wersja RevSlidera, która była szeroko wykorzystywana przez witryny WordPress. Ta wtyczka została wykorzystana do wycieku ogromnych ilości danych osobowych w niesławnym wycieku Panama Papers w kwietniu 2016 r. Było to skorelowane z wyciekiem ponad 2,6 TB danych i ponad 11,5 miliona dokumentów w tym czasie.

Niedawno DynamicPress naprawił główną lukę w projekcie wtyczki WordPress, która umożliwiała dowolnej stronie trzeciej przesyłanie złośliwych plików działających na szablonach Neosense WordPress. Było to wcześniej we wrześniu i prawdopodobnie wszystkie witryny korzystające z danych motywów oraz serwery je hostujące.

Miażdżenie liczb –
Około 50 procent stron internetowych zaatakowanych przez cyberprzestępców używało nieaktualnych funkcji bezpieczeństwa i żadna z ich wersji wtyczek nie została zaktualizowana. Zostało to później potwierdzone w raporcie opublikowanym w serwisie WWW Hacked Report. Wtedy też uznano, że winne są wtyczki WordPress, ponieważ 78 procent wszystkich zhakowanych stron internetowych to witryny WordPress.

Słowo na rynku –
Checkmarx przeanalizował 12 najlepszych wtyczek do witryn e-commerce dla WordPressa, aby ujawnić ich poważne zagrożenia bezpieczeństwa. Spośród 12 wtyczek 4 mają luki wysokiego ryzyka. Odbity XSS był najczęściej znajdowanym błędem wśród wadliwych wtyczek, a w co najmniej jednej z nich znaleziono wstrzyknięcie SQL. Manipulacja plikami była powszechnym czynnikiem we wszystkich zhakowanych wtyczkach używanych przez ponad 100 000 sklepów internetowych. Zanim zakupy w Czarny piątek dobiegły końca, miliony danych kont były już w rękach hakerów. Jeśli luki zostałyby w pełni wykorzystane przez hakerów, użytkownicy ponad 135 000 stron internetowych mogliby znaleźć swoje poufne informacje w rękach cyberprzestępców.

Dlaczego ludzie zwykle korzystają z WordPressa?
Większość sprzedawców internetowych i przedsiębiorców wybiera WordPress, ponieważ są one łatwe do skonfigurowania i opublikowania. Lwią część pracy nad stroną wykonują wtyczki. Głównym obowiązkiem administratora jest sprawdzanie, czy wszystkie aktualizacje odbywają się na czas. W najnowszym trendzie wydarzeń nawet fizjoterapeuci, dentyści i lekarze zwracają się do WordPressa w celu tworzenia swoich profili online. Jednak trend jest silniejszy wśród klinik i organizacji opieki zdrowotnej, które zlecają ich usługi.

WordPress jest ich głównym wyborem, ponieważ szablony są gotowe do użycia i przyjazne dla urządzeń mobilnych, możesz monitorować ruch w czasie rzeczywistym i możesz łatwo dostosować swoją witrynę związaną z opieką zdrowotną do SEO. Każdy szablon i motyw z WordPressa zawiera funkcje SEO. Niezależnie od tego, czy jest to SEO medyczne, SEO fizjoterapeutyczne, SEO neurologiczne czy SEO marketing dentystyczny, wybrany przez Ciebie motyw WordPress jest prawdopodobnie wystarczająco wyposażony, aby sobie z tym poradzić! Dzięki temu wybierając WordPress, możesz automatycznie wyprzedzić konkurencję.

Dlaczego incydent z WordPressem nie był niepoprawnym bałaganem?
Teraz, przy najnowszych zagrożeniach doświadczanych przez użytkowników witryny WordPress, może być normalne, że zauważysz spadek odwiedzalności. Ale na szczęście większość odwiedzających Twoją witrynę nie jest wystarczająco ekspertami, aby powiedzieć, z jakiej platformy CMS korzystasz. Z drugiej strony miał miejsce niedawny skandal dotyczący bezpieczeństwa, w który zaangażował się Joomla! strony internetowe. Stało się to po zdiagnozowaniu w WordPressie poważnych luk w zabezpieczeniach. Joomla! Komunikaty dotyczące bezpieczeństwa zostały ogłoszone 26 października 2016 r. To nie tylko odwróciło uwagę bardziej wykształconych odbiorców, ale także udowodniło, że tego rodzaju zagrożenia się zdarzają.

Ten dodatkowy element, aby zwiększyć sprzedaż –
Ale możesz zrobić dodatkowy krok i wysłać maile do wszystkich swoich klientów i publikować spersonalizowane posty za pośrednictwem swoich kont w mediach społecznościowych na temat środków podjętych w celu ochrony swoich klientów. Najważniejsze rzeczy, które musisz tutaj wyjaśnić, powinny obejmować – wersję silnika, którego możesz używać, zaktualizowaną wersję wtyczek bezpieczeństwa oraz dodatkowe środki bezpieczeństwa, które zastosowałeś po incydencie, który miał miejsce pod koniec listopada.

Słowo do właścicieli witryn WordPress –
Nie da się przez cały czas omijać wszystkich problemów związanych z bezpieczeństwem. wraz z rozwojem bezpieczeństwa rozwija się technologia hakerska. W wyścigu o przetrwanie Czerwonej Królowej nikt nie może definitywnie pokonać drugiego. Jeśli jesteś dziś bezpieczny, to tylko chwilowa ulga. Musisz stale aktualizować wtyczki i zabezpieczenia za pomocą najnowszych poprawek zabezpieczeń, aby utrzymać silne zapory. Kontynuuj przeprowadzanie testów podatności na swoje witryny i prowizj pomoc od agencji, które się w tym specjalizują. Zawsze lepiej jest znaleźć przeoczone wejście do backendu, niż pokazać ci to zespół hakerów.

Biografia autora: Anthony Perez jest dobrze znanym nazwiskiem w dziedzinie cyberbezpieczeństwa i marketingu cyfrowego. Jest ekspertem SEO i od 6 lat doskonali swoje umiejętności. Od niedawna zajmuje się cyberbezpieczeństwem. Jeśli masz jakiekolwiek pytania dotyczące strategii marketingowych, takich jak – strategie SEO dla zdrowia, marketing dentystyczny SEO i opcje SEO dla lekarzy, skontaktuj się z Perez ze swoimi pytaniami.