Плагины, которые сделали уязвимыми тысячи покупателей на сайтах WordPress в Черную пятницу и Киберпонедельник

Тысячи американцев приготовились к массовым покупкам по всему миру доткомов, когда День Благодарения подошел к концу. Мало ли они знали, что их банковские реквизиты и личная информация были раскрыты плагинами безопасности, используемыми сотнями платформ электронной коммерции? по Интернету.

Нет, это не пролог страшилки. Это совсем недавнее событие, которое потрясло мир технологий ужасом многочисленных нарушений конфиденциальности на надежных веб-сайтах электронной коммерции на основе WordPress. Конкретные названия веб-сайтов или названия (версии) плагинов, используемых ими, не упоминаются, но самый последний отчет показывает нам, что более 100 000 веб-сайтов остались беззащитными.

Какая самая известная уязвимость?

Мы могли бы закрыть глаза на недостатки нашей любимой платформы CMS и шаблонов веб-сайтов, но плагины WordPress имеют серьезные проблемы с безопасностью. Из множества уязвимостей, обнаруженных в ноябре этого года, самой серьезной, возможно, была неисправленная версия плагина Revolution Image Slider. По сути, это была устаревшая версия RevSlider, которая широко использовалась веб-сайтами WordPress. Этот подключаемый модуль использовался для утечки огромных объемов личных данных во время печально известной утечки «Панамских документов» в апреле 2016 года. Это коррелирует с утечкой более 2,6 ТБ данных и более 11,5 миллионов документов за это время.

Совсем недавно DynamicPress исправила серьезную лазейку в дизайне подключаемого модуля WordPress, которая могла позволить любому третьему лицу загружать вредоносные файлы, работающие в шаблонах Neosense WordPress. Это было ранее в сентябре, и, возможно, все веб-сайты, использующие соответствующие темы, а также серверы, на которых они размещены.

Сверление цифр —
Около 50 процентов веб-сайтов, подвергшихся атаке киберпреступников, использовали устаревшие функции безопасности, и ни одна из их версий плагинов не была обновлена. Позже это было подтверждено отчетом, опубликованным Website Hacked Report. Это также произошло, когда плагины WordPress были признаны виновными, поскольку 78 процентов всех взломанных веб-сайтов были сайтами WordPress.

Слово на рынке –
Компания Checkmarx проанализировала 12 лучших плагинов для веб-сайтов электронной коммерции для WordPress, чтобы выявить их серьезные угрозы безопасности. Из 12 плагинов 4 имеют уязвимости высокого риска. Отраженный XSS был наиболее часто обнаруживаемой ошибкой среди неисправных плагинов, и по крайней мере в одном из них была обнаружена SQL-инъекция. Манипуляции с файлами были общим фактором для всех скомпрометированных плагинов, которые использовались более чем в 100 000 интернет-магазинов. К тому времени, когда покупки в Черную пятницу закончились, миллионы учетных записей уже были в руках хакеров. Если хакеры используют уязвимости в полной мере, то пользователи более 135 000 веб-сайтов могут найти свою конфиденциальную информацию в руках киберпреступников.

Почему люди обычно выбирают WordPress?
Большинство интернет-магазинов и предпринимателей выбирают WordPress, поскольку их легко настроить и опубликовать. Львиную долю работы над сайтом выполняют плагины. Основная обязанность администратора — следить за тем, чтобы все обновления происходили вовремя. В последнее время даже физиотерапевты, стоматологи и врачи обращаются к WordPress для создания своих онлайн-профилей. Но тенденция сильнее среди клиник и организаций здравоохранения, которые заказывают свои услуги.

WordPress является их основным выбором просто потому, что шаблоны готовы к использованию и удобны для мобильных устройств, вы можете отслеживать трафик в режиме реального времени и легко сделать свой веб-сайт, связанный со здравоохранением, оптимизированным для SEO. Каждый шаблон и тема WordPress имеет функции SEO. Будь то SEO для медицины, физиотерапии, неврологии или стоматологического SEO-маркетинга, выбранная вами тема WordPress, вероятно, достаточно оснащена, чтобы справиться с этим! Таким образом, выбрав WordPress, вы автоматически опередите своих конкурентов.

Почему инцидент с WordPress не был непоправимым беспорядком?
Теперь, когда пользователи веб-сайта WordPress столкнулись с самыми последними угрозами, снижение посещаемости может быть нормальным явлением. Но, к счастью, большинство посетителей вашего сайта недостаточно опытны, чтобы сказать, какую платформу CMS вы используете. С другой стороны, совсем недавно произошел скандал, связанный с безопасностью Joomla! веб-сайты, а также. Это произошло после того, как WordPress был диагностирован с серьезными уязвимостями. Джумла! объявления о безопасности были сделаны 26 октября 2016 года. Это не только отвлекло более образованную аудиторию, но и доказало, что такие угрозы действительно случаются.

Этот дополнительный бит для увеличения ваших продаж -
Но вы можете сделать дополнительный шаг и рассылать почтовые рассылки всем своим клиентам, а также публиковать в своих учетных записях в социальных сетях персонализированные сообщения о мерах, которые вы предприняли для защиты своих клиентов. Наиболее важные вещи, которые вам нужно здесь уточнить, должны включать в себя версию используемого вами движка, обновленную версию подключаемых модулей безопасности и дополнительные меры безопасности, которые вы приняли после инцидента, произошедшего в конце ноября.

Слово владельцам веб-сайтов WordPress —
Невозможно постоянно избегать всех проблем с безопасностью. по мере развития вашей безопасности развиваются и технологии взлома. В гонке на выживание Красной Королевы никто не может однозначно превзойти другого. Если сегодня вы в безопасности, это лишь временное облегчение. Вам необходимо постоянно обновлять подключаемые модули и систему безопасности с помощью последних исправлений безопасности, чтобы ваши брандмауэры оставались надежными. Продолжайте проводить тесты на уязвимости на своих веб-сайтах и ​​обращайтесь за помощью к агентствам, которые специализируются на этом. Всегда лучше, если вы найдете незамеченный вход в серверную часть, чем команда хакеров покажет вам его.

Биография автора: Энтони Перес — широко известное имя в области кибербезопасности и цифрового маркетинга. Он был экспертом по SEO и оттачивал свои навыки в течение последних 6 лет. Он только недавно начал заниматься кибербезопасностью. Если у вас есть какие-либо вопросы о маркетинговых стратегиях, таких как SEO-стратегии для здоровья, стоматологический SEO-маркетинг и варианты SEO для врачей, обратитесь к Пересу со своими вопросами.