Aktualizacja WordPress

Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.


Zautomatyzowany haking. Dlaczego dotyczy Ciebie?


Najprostsza odpowiedź brzmi: Bo Twoja strona www istnieje i jest podatna. Serio, atakujący Twoją stronę nie potrzebują więcej argumentów…


Zautomatyzowany haking

W 2017 roku WordPress wypuścił aktualizację i poinformował, że załatano w niej niewielką lukę bezpieczeństwa w API. W ciągu kilku godzin hakerzy przejęli 1,500,000 WordPressów dzięki tej jednej luce. Tylko i wyłącznie dlatego, że zautomatyzowali proces hakowania i zdążyli dopaść strony, zanim zostały uaktualnione.

WordPress to oprogramowanie oparte na open source – czyli otwartym kodzie źródłowym. Dlatego wyspecjalizowane grupy hakerów mogą bez przeszkód wyszukiwać słabe strony, luki bezpieczeństwa, backdoory i użyć ich do przejęcia kontroli nad stronami.

Aż 74% właścicieli stron myśli, że ich WordPressy i pluginy są aktualne. Niestety tylko co czwarty z nich ma rację. Co więcej, większość jest przekonana, że ryzyko włamania na stronę jest bardzo niskie. Niby dlaczego haker miałby się włamać na moją stronę? Jest kompletnie dla niego nieinteresująca. Nie ma na niej nic cennego. Niestety… takie myślenie szybko okazuje się błędne.

Zautomatyzowany haking – jak to się odbywa?

Nikt raczej nie włamie się na Twoją stronę w taki sposób, jak pokazywane jest to na filmach. Czyli celowo i osobiście. W dzisiejszych czasach haking jest automatyczny. Po internecie chodzą sobie (a właściwie czołgają, z angielskiego: crawl) się małe skrypty, podobne do botów Googla. Wyszukują luki bezpieczeństwa w starych wersjach WordPressa i pluginów a następnie włamują się, często – niepostrzeżenie.

Zautomatyzowany haking – przykłady

Oto kilka przykładów tego, co mogą zrobić Ci atakujący:

  • Atakujący przejmą Twój przydział transferu danych. Tak, ten, który masz w ramach swojego pakietu hostingowego. Używają go, żeby przesyłać torrenty, dane VoIP i tak dalej. Mówiąc wprost: Kradną Twój transfer i sprzedają go dalej, tak samo jak złodzieje kradną radio z Twojego samochodu i sprzedają je na lokalnej giełdzie elektronicznej. Jest to niestety możliwe.
  • Mogą wykorzystać przestrzeń dyskową, jaką wykupiłeś. Mogą tam przechowywać nielegalne pliki, włączając w to nawet (dziecięcą) pornografię. A Ty nawet się nie zorientujesz, co jest na koncie, podpisanym Twoim imieniem i nazwiskiem!
  • Mogą przejąć kontrolę nad formularzami kontaktowymi i kontem mailowym. Dzięki temu mają więcej metod rozsyłania spamu. A rozsyłanie spamu to ich biznes model. W efekcie umożliwiasz wysyłanie takich nielegalnych i wulgarnych wiadomości.
  • Umieszczą na Twojej stronie wirusa (malware) wyświetlającego się na przykład jako super atrakcyjna oferta dla Twoich gości. Jeśli klikną na link umieszczony przez hakerów, Twoja strona zainfekuje wirusem ich urządzenie.
  • Przejmą ruch (gości) Twojej strony, wysyłając ich na ułamek sekundy na stronę dla dorosłych, stronę z nielegalnym hazardem albo zakazanymi środkami. Spokojnie, po tym ułamku sekundy wrócą na Twoją witrynę… Ale tego, co zobaczą już nie zapomną i będą zawsze kojarzyć z Twoją stroną (firmą, marką, usługą, nazwiskiem…). Atakujący może wówczas zarobić np. na wyświetlonej reklamie.
  • Jeśli masz sklep albo bazę danych klientów na swoim koncie hostingowym, hakerzy ukradną również i to. Użyją tych danych do oszustw, pogróżek, kradzieży środków z konta bankowych i kart kredytowych i tak dalej… (A jeśli ktoś się zorientuje, to Ty poniesiesz konsekwencje niezabezpieczenia tych danych zgodnie z wymogami RODO.)

Zautomatyzowany haking – konsekwencje

Było o powodach, dla których Twoja strona zostanie automatycznie zhakowana, jeśli nie jest aktualna. Teraz kilka słów o konsekwencjach.

  • Strona może zostać zablokowana.
  • Konieczne będzie znalezienie i usunięcie wirusa (malware).
  • Tak czy inaczej, konieczne będzie uaktualnienie strony.
  • Trzeba będzie przywrócić poprzednią wersję strony z backupu, o ile będzie dostępny.
  • Możesz ponieść koszty zwiększonego transferu danych.
  • Reputacja Twoja i Twojej firmy ucierpi.
  • Możesz stracić dostęp do swojego maila.
  • Jest możliwe, że Twoja strona zainfekuje inne, będące na tym samym serwerze.
  • Operator hostingu może po prostu zablokować Twoje konto hostingowe.
  • Dalszymi konsekwencjami rozesłania spamu z Twojego konta będzie to, że Twój adres IP lub nazwa domenowa trafią na tzw. czarne listy i jeszcze długo po usunięciu infekcji na stronie możesz mieć problemy z wysyłaniem maili… a w zasadzie nie tyle z wysyłaniem, co z tym, że serwery odbiorców po prostu będą je odrzucać.
  • Problemy z Urzędem Ochrony Danych Osobowych i organami ścigania w razie np. wycieku danych osobowych, wykorzystywania ich do szantażu etc.

Aktualizacja WordPress – czy to jest obrona?

Jeśli wiesz, jak zaktualizować swojego WordPressa, wtyczki i szablony, to zrób to jak najszybciej, automatyczne skrypty hakujące nie będą czekać. Pamiętaj, że wtyczki i szablony – zwłaszcza darmowe – mają najwięcej znanych powszechnie luk bezpieczeństwa.

Jeśli nie wiesz, jak dbać o aktualizację swojej strony i chronić się przed automatycznym hakingiem, przejrzyj ten wpis, w którym przedstawiamy zalety i wady różnych metod aktualizacji.

Aktualizacja WordPress - to wszystko?

Utrzymywanie aktualnej wersji strony, wtyczek, motywów i innych komponentów, bez względu na „silnik” strony, stanowi element konieczny, ale nie jest jest elementem wystarczającym.

Na nic jednak nie zdadzą się zaawansowane mechanizmy, jak autentykacja dwuczynnikowa, ochrona strony logowania, odpowiednie uprawnienia w .htaccess, dopóki nie zapewnisz stronie aktualności. Dlatego pamiętaj – aktualność to pierwsza linia obrony przez zautomatyzowanym hackingiem.

Jak bardzo jest to dla Ciebie interesujące? Przyda Ci się ta wiedza? W jaki sposób zapewniasz aktualizacje Twojego WordPress’a? Podziel się tym artykułem ze znajomymi, zapraszam Cię także do dyskusji w komentarzu!

Hosting WordPress audytem bezpieczeństwa

Podziel się

Komentarze (9)

  1. Krótko, prosto i na temat. Jako agencja miewamy duży problem, aby wytłumaczyć klientowi, że dbanie o oprogramowanie i jego zabezpieczanie jest potrzebne, a w zasadzie niezbędne. Szczególnie ciężko rozmawia się z klientem, który zrobił stronę na WP 5 lat temu, od tego czasu nie zmienił hasła (które ma 5 znaków i kończy się na znakach: 123) i nic się do tej pory złego nie stało!!. Macie jakieś dodatkowe pomysły jak przekonać taką osobę do zmiany myślenia?

    • Z całą pewnością z naszej strony możecie liczyć na to, że jako operator hostingu będziemy mocno edukować w tym zakresie. Liczymy na to, że powoli, powoli świadomość będzie się zmieniać. Na webinarach także mamy w planie tematy, związane z bezpieczeństwem WP, na naszym blogu także są inne wpisy na ten temat. Wspólnymi siłami na pewno uda się zmienić podejście właścicieli stron 🙂

  2. Potwierdzam, na Waszym serwerze jakiś czas temu miałem poważny problem. Na szczęście pracownicy Linuxpl czuwają i szybko powiadomili mnie o problemie w plikach dwóch moich stron. Dzięki temu mogłem w porę zareagować.

  3. Cały czas czuwamy, bezpieczeństwo serwerów traktujemy jako sprawę fundamentalną. Niestety większość włamań ma miejsce w warstwie aplikacyjnej, na którą największy wpływ ma użytkownik, a firma hostingowa – mniejszy. Niedawno wdrożyliśmy nowy system do kopii zapasowych. Teraz backup danych jest dostępny do 28 dni wstecz – to powinno pomóc w odzyskaniu niezainfekowanej kopii plików, gdyby strona została zaatakowana w przyszłości.

Odpowiedz

Adres email nie będzie opublikowany.

*