Plug-in-uri care au lăsat mii de cumpărători de pe site-urile WordPress vulnerabili în Black Friday și Cyber ​​Monday

Mii de americani s-au pregătit pentru evenimente masive de cumpărături în toată lumea dotcom, când Ziua Recunoștinței se încheia. Nu știau ei că detaliile bancare și informațiile lor private erau scoase la iveală de plug-in-urile de securitate utilizate de sute de platforme de comerț electronic? Ziua Recunoștinței, Vinerea Neagră și Lunia cibernetică au văzut mii de cumpărători să-și înmâneze literalmente detaliile contului și cardului hackerilor. pe internet.

Nu, acesta nu este prologul unei povești de groază. Acesta este un eveniment foarte recent care a lăsat lumea tehnologiei lovită de oroarea multiplelor încălcări ale confidențialității pe site-urile de comerț electronic de încredere bazate pe WordPress. Nu au fost menționate numele specifice ale site-urilor web și nici numele (versiunile) plug-in-urilor folosite de acestea, dar cel mai recent raport ne arată că peste 100.000 de site-uri web au rămas fără apărare.

Care este cea mai remarcată vulnerabilitate?

Am putea alege să închidem ochii la defectele platformei noastre CMS preferate și ale șabloanelor de site-uri web, dar pluginurile WordPress au probleme de securitate masive. Dintre numeroasele vulnerabilități care au fost descoperite în luna noiembrie, cea mai gravă ar fi fost o versiune nepatchată a pluginului Revolution Image Slider. Aceasta a fost în esență o versiune învechită a RevSlider, care a fost utilizată pe scară largă de site-urile WordPress. Acest plug-in a fost folosit pentru a scurge cantități masive de date cu caracter personal în faimoasa scurgere Panama Papers în aprilie 2016. Acest lucru s-a corelat cu scurgerea a peste 2,6 TB de date și a peste 11,5 milioane de documente în acea perioadă.

Foarte recent, DynamicPress a remediat o lacună majoră în designul pluginului WordPress care putea permite oricărei terțe părți să încarce fișiere rău intenționate care rulează pe șabloanele WordPress Neosense. Acest lucru a fost mai devreme în septembrie și, posibil, toate site-urile web care folosesc temele în cauză și serverele care le găzduiesc, de asemenea.

Strângerea numerelor -
Aproximativ 50 la sută dintre site-urile web care au fost atacate de infractorii cibernetici au folosit funcții de securitate depășite și niciuna dintre versiunile lor de plug-in nu a fost actualizată. Acest lucru a fost confirmat ulterior de un raport publicat de Website Hacked Report. A fost și atunci când pluginurile WordPress au fost declarate vinovate, deoarece 78% din toate site-urile web piratate erau site-uri WordPress.

Cuvântul în piață -
Checkmarx a analizat 12 pluginuri de top pentru site-uri de comerț electronic pentru WordPress pentru a-și dezvălui amenințările semnificative de securitate. Din cele 12, 4 plug-in-uri au vulnerabilități cu risc ridicat. XSS reflectat a fost cea mai frecvent întâlnită defecțiune printre plug-in-urile defecte și a fost găsită o injecție SQL în cel puțin unul dintre ele. Manipularea fișierelor a fost un factor comun în toate pluginurile compromise care erau folosite de peste 100.000 de magazine online. Până la încheierea cumpărăturilor de Black Friday, milioane de detalii de cont erau deja în mâinile hackerilor. Dacă vulnerabilitățile au fost exploatate de hackeri la întregul lor potențial, atunci utilizatorii a peste 135.000 de site-uri web și-ar putea găsi informațiile sensibile în mâinile criminalilor cibernetici.

De ce oamenii folosesc de obicei WordPress?
Majoritatea comercianților și antreprenorilor online optează pentru WordPress, deoarece sunt ușor de configurat și publicat. Cea mai mare parte a muncii pe site este realizată de plug-in-uri. Responsabilitatea principală a administratorului este să verifice dacă toate actualizările au loc la timp. În cea mai recentă tendință de evenimente, chiar și kinetoterapeuții, stomatologii și medicii apelează la WordPress pentru a-și crea profiluri online. Dar tendința este mai puternică în rândul clinicilor și organizațiilor de asistență medicală care își comandă serviciile.

WordPress este alegerea lor principală pur și simplu pentru că șabloanele sunt gata de utilizat și sunt prietenoase cu dispozitivele mobile, puteți monitoriza traficul în timp real și puteți face cu ușurință site-ul dvs. de asistență medicală prietenos SEO. Fiecare șablon și temă de la WordPress vine cu funcții SEO. Fie că este vorba de SEO medical, SEO de fizioterapie, SEO de neurologie sau marketing dentar SEO, tema WordPress aleasă de dvs. este probabil suficient de echipată pentru a se descurca! Astfel, alegând WordPress poți rămâne automat în fața concurenței tale.

De ce incidentul WordPress nu a fost o mizerie incorigibilă?
Acum, având în vedere cele mai recente amenințări cu care se confruntă utilizatorii site-ului WordPress, ar putea fi normal să se confrunte cu o scădere a traficului. Dar, din fericire, majoritatea vizitatorilor site-ului dvs. nu sunt suficient de experți pentru a spune ce platformă CMS utilizați. Pe de altă parte, a avut loc un scandal de securitate foarte recent care a implicat Joomla! de asemenea site-uri web. Aceasta a fost după ce WordPress a fost diagnosticat cu vulnerabilități grave. Joomla! anunțurile de securitate au fost făcute pe 26 octombrie 2016. Acest lucru nu numai că a distras atenția publicului mai bine învățat, dar a demonstrat și că aceste tipuri de amenințări se întâmplă.

Acea parte suplimentară pentru a vă crește vânzările -
Dar puteți face un pas suplimentar și puteți trimite e-mailuri către toți clienții dvs. și puteți publica postări personalizate prin conturile dvs. de rețele sociale despre măsurile pe care le-ați luat pentru a vă proteja clienții. Cele mai importante lucruri pe care trebuie să le clarificați aici ar trebui să includă – versiunea motorului pe care este posibil să o utilizați, versiunea actualizată a pluginurilor de securitate și măsurile de securitate adăugate pe care le-ați adoptat după incidentul care a avut loc la sfârșitul lunii noiembrie.

Un cuvânt pentru proprietarii site-ului WordPress –
Nu este imposibil să te ferești de toate problemele de securitate tot timpul. pe măsură ce securitatea dumneavoastră evoluează, la fel evoluează și tehnologia hacking-ului. Într-o cursă de supraviețuire a Reginei Roșii, nimeni nu-l poate învinge definitiv pe celălalt. Dacă ești în siguranță astăzi, aceasta este doar o ușurare temporară. Trebuie să vă actualizați în mod constant plug-in-urile și securitatea cu cele mai recente corecții de securitate pentru a vă menține firewall-urile puternice. Continuați să rulați teste de vulnerabilitate pe site-urile dvs. web și comandați ajutor de la agenții specializate în acest lucru. Întotdeauna este mai bine să găsești o intrare de backend trecută cu vederea, decât să ți-o arate o echipă de hackeri.

Biografia autorului: Anthony Perez este un nume binecunoscut în domeniile securității cibernetice și marketingului digital. A fost expert SEO și și-a perfecționat abilitățile în ultimii 6 ani. S-a interesat de securitatea cibernetică abia recent. Dacă aveți întrebări despre strategiile de marketing, cum ar fi: strategii SEO pentru sănătate, marketing SEO dentar și opțiuni SEO pentru doctor, contactați Perez cu întrebările dvs.