Czy Twoja witryna WordPress jest bezpieczna? Czy strony internetowe WordPress są podatne na ataki?
Opublikowany: 2017-03-09Dwie lub trzy dekady temu rabunek ograniczał się do włamań i włamań w celu kradzieży czyjejś gotówki lub kosztowności. Dzisiejsi złodzieje i psotnicy przybierają postać hakerów. Każdy, kto znajduje i wykorzystuje luki w oprogramowaniu w celach osobistych lub politycznych.
Zanim zacznę, powinieneś wiedzieć, że ten artykuł nie wchodzi w sedno bezpieczeństwa WP, ale raczej omawia przyczyny luk w WordPressie. Jeśli to nie jest to, czego szukasz, sugeruję przeczytanie – „Wzmocnienie zabezpieczeń WordPress – kompletny przewodnik po zabezpieczaniu witryn WordPress”. Chociaż muszę stwierdzić, że zrozumienie natury luk w zabezpieczeniach WP w przeszłości zapewnia doskonały wgląd w to, w jaki sposób można upewnić się, że protokoły bezpieczeństwa Twojej witryny są bezpieczne.
Dlaczego ludzie włamują się do stron internetowych i centrów danych? Włamywanie się na strony internetowe zawierające informacje o klientach, identyfikatory e-mail, numery kart kredytowych itp. jest bardziej opłacalne niż napad na bank. Jeśli prowadzisz całkiem udaną witrynę internetową, z pewnością podjęto już setki, jeśli nie tysiące prób uzyskania dostępu do informacji o Twojej witrynie.
Ostatnio włamano się na stronę AshleyMadison.com i skradziono dane 37 milionów użytkowników. Hakerzy zażądali zamknięcia strony internetowej, w przeciwnym razie ujawnią szczegóły skradzionych informacji, w tym fantazje seksualne. Daje to przedsmak zniszczenia, jakie może spowodować haker, po prostu uzyskując dostęp do informacji.
Bezpieczeństwo sieci to bardzo ważny temat i staje się coraz bardziej istotny, biorąc pod uwagę liczbę stron internetowych, które zbierają dane osobowe użytkowników.
Aż 65% sieci działa z WordPressem jako systemem zarządzania treścią, więc dzisiaj omówię bezpieczeństwo WordPressa i sposób, w jaki witryny WP były atakowane lub hakowane w przeszłości.
Dlaczego warto inwestować w dobre praktyki bezpieczeństwa?
- Jesteś to winien swoim klientom i klientom, którzy powierzają Ci poufne dane osobowe, aby zapewnić im bezpieczeństwo.
- Twoja witryna została zhakowana – tracisz pieniądze.
- Twoja witryna została zhakowana – Twoje rankingi w wyszukiwarkach zabierają prawie jedną drogę do piekła.
Witryny WordPress są hakowane przez tysiące, jeśli nie setki tysięcy. Nie każda strona internetowa zgłasza fakt, że została w przeszłości zhakowana. Jak można się domyślić, nie jest to świetna reklama dla ich marki.
Chciałbym rzucić nieco światła na konieczność publikacji tego artykułu na temat bezpieczeństwa WordPressa.
Według badań udostępnionych przez Sandro Gucci (założyciela Enable Security).
- 73,2% najpopularniejszych instalacji WordPressa jest podatnych na luki, które można wykryć za pomocą bezpłatnych zautomatyzowanych narzędzi.
- Tylko 7814 stron internetowych (18,55%) zostało zaktualizowanych do WordPress 3.6.1, była to najnowsza wersja WP w momencie przeprowadzania testu.
- 13 034 stron internetowych (30,95%) nadal korzystało z podatnej na ataki wersji WordPressa w wersji 3.6. WordPress 3.6 miał w tym czasie 5 znanych luk w zabezpieczeniach.
A gdybyś się zastanawiał, cóż, to tylko niesprawiedliwa uogólniona charakterystyka małych nieznanych stron internetowych gdzieś w ciemnej sieci, byłbyś w błędzie. Statystyki zostały opracowane na podstawie badania około 42 000 witryn WordPress na stronach internetowych Alexa Top One Million. Jest to ogromna liczba podatnych na ataki stron internetowych dla rzekomo najczęściej odwiedzanych witryn w sieci. Te strony internetowe gromadzą ogromne ilości informacji o swoich odwiedzających i subskrybentach.
Statystyki były prawdziwe, tak jak we wrześniu 2013 r., nie sądzę, aby od tego czasu znacznie się zmieniły, a nawet jeśli tak, statystyki wyświetlane tutaj pokazują skalę problemów z bezpieczeństwem, które nękają WordPress.
Jeśli potrzebujesz więcej dowodów na to, że WordPress może być zagrożony. odsyłam do badania przeprowadzonego przez Netcraft,
- W lutym 2014 r. istniało 12 000 blogów WordPress, które służyły jako platformy dla stron phishingowych.
- Ponad 8% wszystkich adresów URL złośliwego oprogramowania blokowanych przez firmę Netcraft za rozpowszechnianie złośliwego oprogramowania hostowanego w sieci to blogi WordPress.
Powinienem zaznaczyć, że żaden z tych blogów nie był prowadzony na Automattic wordpress.com. Powinno to dość wyraźnie zilustrować, że nawet WordPress, jeśli nie jest używany z ostrożnością i pewną wiedzą na temat bezpieczeństwa WP, może być podatny na ataki. Innym powodem tego może być fakt, że wszystkie blogi hostowane na wordpress.com są aktualizowane niemal natychmiast po wydaniu aktualizacji WordPress. Należy zauważyć, że od tego czasu w wersji WP 3.7 wprowadzono automatyczne aktualizacje WordPressa, aby chronić strony internetowe przed exploitami zero-day.
A nawet po tym pojawiło się wiele problemów z bezpieczeństwem, które nękają WordPressa. Sprawdź tę listę luk WordPress w różnych wersjach platformy.
Teraz nie możesz nic zrobić, aby temu zapobiec, nowe luki w zabezpieczeniach będą prawie zawsze wykrywane. Oczywiście główny zespół WP bardzo poważnie potraktował bezpieczeństwo i sprawił, że WordPress jest znacznie bezpieczniejszy.
Ale tak jak w przypadku każdego innego popularnego oprogramowania, wykorzystywanie luk w zabezpieczeniach staje się bardziej opłacalne, gdy więcej osób zaczyna z nich korzystać.
Nie ufasz mi? Jeśli uważasz, że WordPress nagle stanie się wolny od wszelkich luk, sprawdź ten wykres!
Chociaż liczba luk w zabezpieczeniach z czasem spadła ze szczytów z lat 2007 i 2014, motywacja do odkrywania nowych luk i exploitów stale rośnie, biorąc pod uwagę rosnącą rentowność wynikającą z rosnącej popularności WordPressa.
WordPress może być bezpieczny po wyjęciu z pudełka, ale po dodaniu tylu wtyczek/motywów i niestandardowego kodu liczba luk w zabezpieczeniach zaczyna rosnąć z wielkim pośpiechem.
Biorąc to pod uwagę, możemy wprowadzić niewielkie zmiany w Twoim WordPressie, aby był o wiele bezpieczniejszy. Najpierw musimy dokładnie zrozumieć bezpieczeństwo WordPressa, co jest bardzo pomocne w ustaleniu przyczyn niepowodzeń w zabezpieczeniach.
Możesz być zaskoczony, gdy dowiesz się, że bardzo rzadko zdarza się, że podstawowa platforma WP jest winna w przypadku naruszenia bezpieczeństwa. Jest o wiele bardziej prawdopodobne, że coś, co dodałeś do swojego WP, tworzy lukę, którą mogą wykorzystać hakerzy.
W jaki sposób zagrożone są witryny WordPress?
Trudność z zapewnieniem pełnego bezpieczeństwa polega na tym, że czegoś takiego nie ma.
Zakładając, że twój WordPress jest w pełni bezpieczny, nadal masz swojego Apache, klienta FTP, MySQL i wszelkie oprogramowanie działające na twoim serwerze, o które musisz się martwić. Twoja strona jest tak bezpieczna, jak jej najsłabszy link. Obejmuje to jakość oprogramowania hosta, motywy i wtyczki, na których działają Twoje witryny.
Żałuję, że nie mam bardziej aktualnych statystyk, na które również mogę ci wskazać, ale to badanie przedstawione jako infografika na blogu WpWhiteSecurity zapewnia duży wgląd w to, w jaki sposób witryny WordPress są hackowane i co sprawia, że są podatne na ataki.
Badanie zostało przeprowadzone na podstawie informacji o 170 000 stron internetowych, które zostały zhakowane w 2012 roku. 18% wzrost liczby włamań z poprzedniego roku (2012), zabawne jest to, że liczba luk nie wzrosła o taki sam procent. Jednak nawet niewielki wzrost podatności dotyczy znacznie większej liczby stron internetowych, ze względu na zwiększone wykorzystanie WordPressa i produktów opartych na WordPressie.
- 41% zhakowanych WordPress zostało zhakowanych przez lukę w zabezpieczeniach ich platformy hostingowej.
- 29% zostało zhakowanych przez problem bezpieczeństwa w używanym przez nich motywie WordPress.
- 22% zostało zhakowanych przez problem bezpieczeństwa we wtyczkach WordPress, z których korzystali.
- 8% zostało zhakowanych, ponieważ mieli słabe hasło.
- Z powyższego możemy wywnioskować, że ponad 51% zhakowanych witryn WordPress zostało zhakowanych przez lukę w używanych przez nich motywach WordPress lub wtyczkach.
Przytłaczająca większość włamań pojawiła się w wyniku instalacji oprogramowania w postaci wtyczek, motywów oraz dlatego, że dostawcy usług hostingowych nie odpowiednio wzmocnili zabezpieczenia po stronie serwera.
Nie ma sensu dyskutować o środkach ochrony witryny, zanim zajmiemy się dobrymi opcjami w zakresie bezpieczeństwa, jeśli chodzi o hosting, motywy i wtyczki. I na pewno omówię, jak znaleźć dobre oprogramowanie stron trzecich i bezpieczny hosting dla swojej witryny, zanim zacznę zalecać określone środki bezpieczeństwa w celu wzmocnienia bezpieczeństwa WP.
Wniosek
Witryny WordPress rzadko są podatne na ataki z powodu błędów w podstawowym kodzie systemu zarządzania treścią. Ale strona internetowa nie działa wyłącznie w oparciu o system zarządzania treścią, wymaga hosta internetowego do hostowania CMS w sieci, motywów, aby była fantazyjna, i wtyczek, aby dodać niezbędne funkcje. Teraz dodanie wielu warstw oprogramowania innych firm do instalacji WordPressa zaczyna sprawiać, że Twoje bezpieczeństwo staje się nieco porowate, jeśli nie zostanie wykonane prawidłowo.
Twój rdzeń WordPress, wtyczki i motywy oraz hosting muszą się komunikować, aby Twoja witryna WordPress działała. Ta interakcja ma czasami wady i sprawia, że strony internetowe są podatne na ataki.
Z pewnością 8% stron internetowych może zostać przejętych z powodu słabych haseł, ale istnieje przytłaczająca liczba dowodów sugerujących, że dodanie źle napisanych wtyczek/motywów lub hosta internetowego działającego na przestarzałym oprogramowaniu jest główną przyczyną znacznego odsetka wszystkich witryn WordPress zhakowany lub zamknięty.
Teraz, gdy ustaliliśmy już pewne przyczyny luk w zabezpieczeniach WordPress, w ramach następnego postu z serii WP Security omówię kroki, które należy podjąć, aby wzmocnić zabezpieczenia WordPress.
Jeśli kiedykolwiek zdarzyło Ci się włamać na swoją witrynę WordPress lub paść ofiarą ataku DDOS, udostępnij nam szczegóły. Albo Aigars, albo ja spróbujemy rozwiązać problem, jeśli jest to w naszych możliwościach. Pozdrawiam