दिन-ब-दिन, वर्डप्रेस सीएमएस पर एक भेद्यता या हमला सामने आता है। जाहिर है, यह इसका अंत नहीं है। पूर्ववर्ती कमजोरियों को जोड़ते हुए, वर्डप्रेस प्लगइन wp-live-chat-support पर एक और काफी गंभीर क्रॉस-साइट स्क्रिप्टिंग भेद्यता उजागर होती है। wp लाइव चैट सपोर्ट प्लगइन में यह XSS 8.0.27 से पहले के संस्करणों में है।
WP-लाइव चैट सपोर्ट प्लगइन में आधिकारिक वर्डप्रेस प्लगइन निर्देशिका के अनुसार 60,000 से अधिक इंस्टॉलेशन हैं और इसे केवल 15 घंटे पहले अपडेट किया गया था।
जोखिम की स्थिति
भेद्यता की गंभीरता का अनुमान इस तथ्य से लगाया जा सकता है कि कोई भी अनधिकृत उपयोगकर्ता (यहां तक कि बिना खाता भी) कमजोर वेबसाइटों में दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करके इस भेद्यता का दूर से फायदा उठा सकता है।
यह भेद्यता एक असुरक्षित admin_init . के कारण उत्पन्न हुई हुक।
जिसे या तो /wp-admin/admin-post.php . पर जाकर कॉल किया जा सकता है या /wp-admin/admin-ajax.php "wplc_custom_js . विकल्प को मनमाने ढंग से अपडेट करने के लिए किसी भी अनधिकृत हमलावर द्वारा .
इसके अलावा, wplc_custom_js . की सामग्री लाइव चैट दिखाई देने वाले किसी भी पृष्ठ में लोड की जाती है जिसका अर्थ है कि दुर्भावनापूर्ण जावास्क्रिप्ट एक ही पेज पर लोड हो जाएगा, और सामान्य रूप से दुर्भावनापूर्ण जावास्क्रिप्ट लोडिंग हमलावरों को आसानी से XSS प्राप्त करने में मदद करेगी।
जोखिम कम करें
नवीनतम संस्करण में अपडेट करें
इसके लिए सबसे अच्छा संभव समाधान wp-live चैट समर्थन को नवीनतम संस्करणों यानी संस्करण 8.0.27 और उसके बाद के संस्करण में अपडेट करना है। भेद्यता की सूचना के बाद डेवलपर्स को कमजोर संस्करण को पैच करने में लगभग आधा महीने लग गए। तब से, WP लाइव चैट सपोर्ट प्लगइन को दो बार पैच किया गया है। डाउनलोड के लिए उपलब्ध वर्तमान संस्करण 8.0.29 है।
वर्डप्रेस सुरक्षा सूट
आपकी वेबसाइट पर सुरक्षा गार्ड होने से हमेशा मदद मिलती है। एस्ट्रा वर्डप्रेस सुरक्षा सूट वर्डप्रेस के लिए तैयार किया गया है और इसके निरंतर और व्यापक फ़ायरवॉल के साथ पूर्ण सुरक्षा प्रदान करता है। इसके अलावा, एस्ट्रा का ऑन-डिमांड मैलवेयर स्कैनर केवल एक क्लिक पर दुर्भावनापूर्ण फ़ाइलों को स्कैन और फ़्लैग करता है। इसके अलावा, पहले स्कैन में 10 मिनट से भी कम समय लगता है और बाद के स्कैन के लिए भी कम।
अभी एस्ट्रा डेमो प्राप्त करें!