ผู้ใช้ Elementor Pro? คุณต้องอ่านสิ่งนี้!

เผยแพร่แล้ว: 2020-05-20

WordPress ได้ขับเคลื่อนธุรกิจออนไลน์ของฉันในช่วงเจ็ดปีที่ผ่านมา และถือเป็นเครื่องมือที่สำคัญที่สุดในคลังแสงของ SEO

ด้วยจำนวนการติดตั้งโดยประมาณที่มากกว่า 455,000,000 ครั้ง เห็นได้ชัดว่าเจ้าของเว็บไซต์ 35% เห็นด้วย

ปลั๊กอินและชุดรูปแบบจำนวนนับไม่ถ้วนทำให้เป็นแพลตฟอร์มที่สมบูรณ์แบบสำหรับ "ผู้ที่ไม่ค่อยเข้าใจเทคโนโลยี" ในการทำให้แนวคิดของพวกเขาเป็นจริงและนำเสนอต่อผู้ชมออนไลน์

น่าเศร้าที่สิ่งนี้ทำให้ WordPress เป็นเป้าหมายสำหรับนักการตลาด "หมวกดำ" ที่ไร้ยางอายที่แฮ็คเข้าสู่ไซต์ของคุณเพื่อทำสิ่งที่ไม่ควรทำ ซึ่งเป็นงานที่พวกเขาเพิ่งประสบความสำเร็จในวงกว้าง

ในฐานะผู้ใช้ Elementor Pro มีโอกาสที่คุณถูกกัดแล้ว...

และคุณคงไม่มีใครฉลาดกว่าใคร

ช่องโหว่ Elementor Pro

เมื่อวันที่ 6 พฤษภาคม Wordfence ได้เผยแพร่บทความนี้โดยอธิบายว่าไซต์ 1 ล้านแห่งมีความเสี่ยงจากการโจมตีที่ใช้งานอยู่ได้อย่างไร

ผู้โจมตีใช้จุดอ่อนในความปลอดภัยของ Elementor Pro เพื่อเปลี่ยนเส้นทางผู้เยี่ยมชมของคุณไปยังไซต์ของตนเองอย่างมุ่งร้ายหรือแม้แต่ควบคุมเว็บไซต์ของคุณทั้งหมด

ทีม Elementor ได้แก้ไขข้อบกพร่องอย่างรวดเร็ว และขอแนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

การอัปเดตนี้สร้างความอุ่นใจให้กับหลาย ๆ คน รวมถึงตัวฉันเองด้วย จนกระทั่งฉันค้นพบว่าผู้โจมตีได้เข้าถึงไซต์จำนวนมากที่ฉันจัดการอยู่แล้ว และการอัปเดตจะไม่สร้างความแตกต่างแม้แต่น้อย

หากไซต์ของคุณถูกบุกรุกแล้ว การอัปเดตจะไม่แก้ไข

แฮ็กเกอร์สามารถทำอะไรกับไซต์ของฉันได้บ้าง

เมื่อดำเนินการสำเร็จ การโจมตีเฉพาะนี้จะติดตั้งเว็บเชลล์ที่เรียกว่า “wp-xmlrpc.php” (ตั้งชื่อตามนี้เพื่อให้กลมกลืนกับไฟล์ระบบของคุณ)

WebShell ช่วยให้ผู้โจมตีเข้าถึงไซต์ของคุณได้อย่างเต็มที่และบ่อยครั้งที่เซิร์ฟเวอร์ของคุณ ซึ่งหมายความว่าพวกเขาสามารถ:

  • เพิ่ม เปลี่ยนแปลง หรือลบเนื้อหา
  • แทรกลิงค์สำหรับค่า SEO
  • เปลี่ยนเส้นทางการเข้าชมของคุณไปยังไซต์ของตนเอง
  • ลบทุกอย่าง!
  • …มีอะไรอีกมากที่คุณคิดได้

ไม่ต้องพูดถึง หากคุณใช้ WooCommerce ผู้โจมตีอาจเข้าถึงข้อมูลลูกค้าบางส่วนของคุณได้

ฉันจะรู้ได้อย่างไรว่าฉันถูกแฮ็ก?

คุณไม่จำเป็นต้องเป็นวิซาร์ดทางเทคนิคเพื่อค้นหาว่าไซต์ของคุณได้รับผลกระทบหรือไม่

เพียงทำตามขั้นตอนเหล่านี้:

1. ตรวจสอบผู้ใช้ WordPress

ผู้ใช้ใหม่ในไซต์ของคุณมักจะเป็นสัญญาณแรกที่แสดงว่ามีคนพยายามใช้ประโยชน์จากช่องโหว่ของ Elementor Pro

ของแถมที่ตายแล้วคือถ้าคุณได้รับอีเมลจากไซต์ WordPress ของคุณเพื่อแจ้งให้คุณทราบว่ามีการสร้างผู้ใช้ใหม่ประมาณสัปดาห์แรกหรือสองเดือนพฤษภาคม

ขั้นแรก ลงชื่อเข้าใช้พื้นที่ผู้ดูแลระบบ WordPress โดยใช้บัญชีผู้ดูแลระบบ แล้วไปที่ "ผู้ใช้"

ตรวจสอบชื่อผู้ใช้ที่น่าสงสัยหรือไม่รู้จัก

การรักษาความปลอดภัย WebARX ได้เผยแพร่รายชื่อชื่อผู้ใช้ที่รู้จักทั้งหมดที่ใช้ในการโจมตีจนถึงขณะนี้

หากคุณเห็นชื่อผู้ใช้ใดชื่อหนึ่งในแผงควบคุมของคุณ ให้ข้ามไปที่ หากคุณเคยถูกแฮ็ก

สำคัญ : เพียงเพราะไม่มีชื่อผู้ใช้ที่น่าสงสัยไม่ได้หมายความว่าไซต์ของคุณปลอดภัย

2. ตรวจสอบไฟล์ของคุณ

คุณสามารถตรวจสอบไฟล์ WordPress ของคุณได้โดยใช้ FTP / SFTP / File Manager

ในโฟลเดอร์รากของ WordPress (โดยปกติคือโฟลเดอร์แรกที่คุณเห็นเมื่อเข้าสู่ระบบ) ให้มองหาไฟล์ชื่อ wp-xmlrpc.php

หากมีไฟล์นี้อยู่ แสดงว่าผู้โจมตีเข้าถึงได้สำเร็จแล้ว การลบไฟล์ ณ จุดนี้ไม่น่าจะเป็นประโยชน์

คุณควรตรวจสอบ /wp-content/uploads/elementor/custom-icons/

ไฟล์ใดๆ ในนี้ที่คุณไม่รู้จักว่าเป็นสิ่งที่คุณอัปโหลด อาจมีผู้โจมตีฝังไว้ที่นั่น

โดยเฉพาะ ให้มองหา:

  • wpstaff.php
  • demo.html
  • อ่าน Mw.txt
  • config.json
  • icons-reference.html
  • Selection.json
  • fonts.php

3. เรียกใช้การสแกนความปลอดภัย

หากคุณใช้โฮสต์ WordPress ที่มีการจัดการ เช่น WPEngine, WPX Hosting, SiteGround ฯลฯ พวกเขามักจะทำสิ่งนี้ให้คุณได้

วิธีนี้มักจะดีกว่าการเรียกใช้การสแกนของคุณเองโดยใช้ Wordfence หรือ Sucuri เนื่องจากโฮสต์ของคุณอาจมีสิทธิ์เข้าถึงเพื่อสแกนไฟล์ระบบที่ปลั๊กอินเหล่านี้อาจพลาดไป

ปลั๊กอินความปลอดภัย WordPress ฟรียอดนิยมมักจะสามารถตรวจจับการเปลี่ยนแปลงในไฟล์หลักของ WordPress ได้ แต่อย่าตีความผลการสแกนที่สะอาดเพื่อรับประกันว่าเว็บไซต์ของคุณจะปลอดภัย

ไฟร์วอลล์มักจะปกป้องสมาชิกแบบชำระเงินของเครื่องมือดังกล่าว และมีโอกาสสูงที่การโจมตีจะล้มเหลว

5. เยี่ยมชมเว็บไซต์ของคุณ

คุณเคยเยี่ยมชมไซต์ของคุณเองเมื่อเร็ว ๆ นี้และถูกเปลี่ยนเส้นทางไปยังไซต์อื่นหรือไม่?

วิธีการทำงานของการเปลี่ยนเส้นทางที่เป็นอันตรายนี้ยังคงไม่ทราบแน่ชัด

เยี่ยมชมไซต์ของคุณโดยใช้วิธีการเหล่านี้:

  • ใช้เบราว์เซอร์อื่นในโหมดส่วนตัว / ไม่ระบุตัวตน
  • เยี่ยมชมไซต์ของคุณโดยใช้ proxy
  • คลิกผ่านไปยังเว็บไซต์ของคุณจาก Google หรือ Social Media

หากสิ่งเหล่านี้ส่งผลให้มีการเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นที่ไม่ใช่เว็บไซต์ของคุณ แสดงว่าคุณอาจถูกแฮ็ก

หากคุณถูกแฮ็กหรือคุณไม่แน่ใจ

ย้อนกลับไปยังเวอร์ชันก่อนหน้า

โฮสต์เว็บจำนวนมากเสนอการสำรองข้อมูล 14-30 วัน หวังว่าบทความนี้จะพบคุณทันเวลาหากคุณได้รับผลกระทบ ซึ่งจะทำให้คุณสามารถย้อนกลับไปยังวันที่ก่อนหน้าก่อนการโจมตีได้

หมายเหตุ : หากข้อมูลสำรองของคุณถูกจัดเก็บไว้ในเซิร์ฟเวอร์ของคุณโดยใช้บางอย่าง เช่น Updraft ก็มีโอกาสที่ข้อมูลสำรองจะติดไวรัสเช่นกัน

ค้นหาเมื่อคุณถูกโจมตี

ตามค่าเริ่มต้น WordPress จะไม่แสดงวันที่และเวลาที่ลงทะเบียนผู้ใช้

ติดตั้งปลั๊กอินที่เรียกว่าคอลัมน์ผู้ดูแลระบบ

ในการตั้งค่าปลั๊กอิน เปิดใช้งานคอลัมน์ 'การลงทะเบียน' สำหรับ 'ผู้ใช้'

ตอนนี้เมื่อคุณไปที่หน้า "ผู้ใช้" ของ WordPress คอลัมน์ใหม่จะแสดงวันที่ที่สร้างผู้ใช้ที่เป็นอันตราย

หรือถ้าคุณมีบันทึกการเข้าถึงเซิร์ฟเวอร์ คุณสามารถค้นหารายการสำหรับ “wpstaff.php”

ย้อนกลับไซต์ของคุณเป็นข้อมูลสำรองที่สร้างขึ้นก่อนวันที่และเวลาของการโจมตี

เมื่อกู้คืนข้อมูลสำรองแล้ว ให้อัปเดตปลั๊กอินโดยเร็วที่สุดเพื่อป้องกันการโจมตีอีก

จากนั้น ตรวจสอบผู้ใช้และไฟล์ที่เป็นอันตรายอีกครั้ง

รองรับการจัดการโฮสติ้ง

หากคุณมีโฮสต์ที่ได้รับการจัดการดังที่ระบุไว้ข้างต้น ให้พูดคุยกับฝ่ายสนับสนุนเกี่ยวกับมาตรการรักษาความปลอดภัยและดูว่าโฮสต์เหล่านั้นเสนอการทำความสะอาดมัลแวร์หรือไม่

โฮสต์เช่น WPX Hosting และ WPEngine รวมสิ่งนี้ไว้ฟรีกับแพ็คเกจทั้งหมด

บริการทำความสะอาด

บริการกำจัดมัลแวร์ที่ "ทำเพื่อคุณ" จำนวนมากได้รายงานเกี่ยวกับปัญหา Elementor Pro ล่าสุดแล้ว

บางส่วนระบุไว้ที่นี่ โปรดทำวิจัยของคุณเองเนื่องจากฉันไม่ได้ทดสอบพวกเขาเป็นการส่วนตัว และไม่เกี่ยวข้อง:

  • https://www.wordfence.com/wordfence-site-cleanings/
  • https://www.getastra.com/website-cleanup-malware-removal
  • https://sucuri.net/website-security-platform/help-now/

สร้างใหม่

ดูเหมือนเป็นมาตรการที่รุนแรง แต่ถ้าคุณคิดที่จะสร้างไซต์ของคุณขึ้นมาใหม่ ตอนนี้เป็นโอกาสที่ดีที่จะเริ่มต้นจากศูนย์

ด้วยวิธีนี้ คุณจะรู้แน่นอนว่าคุณไม่มีไฟล์ที่เป็นอันตรายแอบแฝงอยู่ในเบื้องหลัง

เพียงตรวจสอบให้แน่ใจว่าใช้บัญชีการติดตั้งหรือบัญชีโฮสติ้งอื่น

ป้องกันการแฮก

เป็นการยากที่จะป้องกันการแฮ็กเมื่อคุณไม่ทราบล่วงหน้าว่าปลั๊กอินใดมีช่องโหว่

เคล็ดลับพื้นฐานในการป้องกันการแฮ็กในอนาคต:

  • ใช้โฮสต์ WordPress ที่มีการจัดการ – โดยทั่วไปแล้วจะมีการสแกนและกำจัดมัลแวร์ และทำให้การติดตั้ง WP ของพวกเขาแข็งแกร่งขึ้นตามค่าเริ่มต้น (โดยป้องกันการดำเนินการของไฟล์ PHP ในโฟลเดอร์อัปโหลด)
  • อัปเดตปลั๊กอิน ธีม และ WordPress Core อยู่เสมอ
  • ใช้ปลั๊กอินความปลอดภัย อย่างน้อยที่สุด ให้เปิดใช้งาน Firewall และ WordPress hardening WordFence Premium, Sucuri และ WebARX เป็นโซลูชันที่ดีทั้งหมด
  • เรียกใช้ WPScan หรือตรวจสอบ WPVulnDB สำหรับปลั๊กอินและธีมที่มีช่องโหว่ที่คุณอาจใช้อยู่

ไซต์ WordPress ของคุณถูกแฮ็กหรือไม่?

คุณจัดการกับปัญหาอย่างไร?

แจ้งให้เราทราบในความคิดเห็น.

ติดตาม

ฉันได้อ่านและยอมรับข้อกำหนดและเงื่อนไข*