Zautomatyzowany haking
W 2017 roku WordPress wypuścił aktualizację i poinformował, że załatano w niej niewielką lukę bezpieczeństwa w API. W ciągu kilku godzin hakerzy przejęli 1,500,000 WordPressów dzięki tej jednej luce. Tylko i wyłącznie dlatego, że zautomatyzowali proces hakowania i zdążyli dopaść strony, zanim zostały uaktualnione.
WordPress to oprogramowanie oparte na open source – czyli otwartym kodzie źródłowym. Dlatego wyspecjalizowane grupy hakerów mogą bez przeszkód wyszukiwać słabe strony, luki bezpieczeństwa, backdoory i użyć ich do przejęcia kontroli nad stronami.
Aż 74% właścicieli stron myśli, że ich WordPressy i pluginy są aktualne. Niestety tylko co czwarty z nich ma rację. Co więcej, większość jest przekonana, że ryzyko włamania na stronę jest bardzo niskie. Niby dlaczego haker miałby się włamać na moją stronę? Jest kompletnie dla niego nieinteresująca. Nie ma na niej nic cennego. Niestety… takie myślenie szybko okazuje się błędne.
Zautomatyzowany haking – jak to się odbywa?
Nikt raczej nie włamie się na Twoją stronę w taki sposób, jak pokazywane jest to na filmach. Czyli celowo i osobiście. W dzisiejszych czasach haking jest automatyczny. Po internecie chodzą sobie (a właściwie czołgają, z angielskiego: crawl) się małe skrypty, podobne do botów Googla. Wyszukują luki bezpieczeństwa w starych wersjach WordPressa i pluginów a następnie włamują się, często – niepostrzeżenie.
Zautomatyzowany haking – przykłady
Oto kilka przykładów tego, co mogą zrobić Ci atakujący:
- Atakujący przejmą Twój przydział transferu danych. Tak, ten, który masz w ramach swojego pakietu hostingowego. Używają go, żeby przesyłać torrenty, dane VoIP i tak dalej. Mówiąc wprost: Kradną Twój transfer i sprzedają go dalej, tak samo jak złodzieje kradną radio z Twojego samochodu i sprzedają je na lokalnej giełdzie elektronicznej. Jest to niestety możliwe.
- Mogą wykorzystać przestrzeń dyskową, jaką wykupiłeś. Mogą tam przechowywać nielegalne pliki, włączając w to nawet (dziecięcą) pornografię. A Ty nawet się nie zorientujesz, co jest na koncie, podpisanym Twoim imieniem i nazwiskiem!
- Mogą przejąć kontrolę nad formularzami kontaktowymi i kontem mailowym. Dzięki temu mają więcej metod rozsyłania spamu. A rozsyłanie spamu to ich biznes model. W efekcie umożliwiasz wysyłanie takich nielegalnych i wulgarnych wiadomości.
- Umieszczą na Twojej stronie wirusa (malware) wyświetlającego się na przykład jako super atrakcyjna oferta dla Twoich gości. Jeśli klikną na link umieszczony przez hakerów, Twoja strona zainfekuje wirusem ich urządzenie.
- Przejmą ruch (gości) Twojej strony, wysyłając ich na ułamek sekundy na stronę dla dorosłych, stronę z nielegalnym hazardem albo zakazanymi środkami. Spokojnie, po tym ułamku sekundy wrócą na Twoją witrynę… Ale tego, co zobaczą już nie zapomną i będą zawsze kojarzyć z Twoją stroną (firmą, marką, usługą, nazwiskiem…). Atakujący może wówczas zarobić np. na wyświetlonej reklamie.
- Jeśli masz sklep albo bazę danych klientów na swoim koncie hostingowym, hakerzy ukradną również i to. Użyją tych danych do oszustw, pogróżek, kradzieży środków z konta bankowych i kart kredytowych i tak dalej… (A jeśli ktoś się zorientuje, to Ty poniesiesz konsekwencje niezabezpieczenia tych danych zgodnie z wymogami RODO.)
Zautomatyzowany haking – konsekwencje
Było o powodach, dla których Twoja strona zostanie automatycznie zhakowana, jeśli nie jest aktualna. Teraz kilka słów o konsekwencjach.
- Strona może zostać zablokowana.
- Konieczne będzie znalezienie i usunięcie wirusa (malware).
- Tak czy inaczej, konieczne będzie uaktualnienie strony.
- Trzeba będzie przywrócić poprzednią wersję strony z backupu, o ile będzie dostępny.
- Możesz ponieść koszty zwiększonego transferu danych.
- Reputacja Twoja i Twojej firmy ucierpi.
- Możesz stracić dostęp do swojego maila.
- Jest możliwe, że Twoja strona zainfekuje inne, będące na tym samym serwerze.
- Operator hostingu może po prostu zablokować Twoje konto hostingowe.
- Dalszymi konsekwencjami rozesłania spamu z Twojego konta będzie to, że Twój adres IP lub nazwa domenowa trafią na tzw. czarne listy i jeszcze długo po usunięciu infekcji na stronie możesz mieć problemy z wysyłaniem maili… a w zasadzie nie tyle z wysyłaniem, co z tym, że serwery odbiorców po prostu będą je odrzucać.
- Problemy z Urzędem Ochrony Danych Osobowych i organami ścigania w razie np. wycieku danych osobowych, wykorzystywania ich do szantażu etc.
Aktualizacja WordPress – czy to jest obrona?
Jeśli wiesz, jak zaktualizować swojego WordPressa, wtyczki i szablony, to zrób to jak najszybciej, automatyczne skrypty hakujące nie będą czekać. Pamiętaj, że wtyczki i szablony – zwłaszcza darmowe – mają najwięcej znanych powszechnie luk bezpieczeństwa.
Jeśli nie wiesz, jak dbać o aktualizację swojej strony i chronić się przed automatycznym hakingiem, przejrzyj ten wpis, w którym przedstawiamy zalety i wady różnych metod aktualizacji.
[apla ikona=”info-circle” tytul=”Aktualizacja WordPress – to wszystko?”]
Utrzymywanie aktualnej wersji strony, wtyczek, motywów i innych komponentów, bez względu na „silnik” strony, stanowi element konieczny, ale nie jest jest elementem wystarczającym.
Na nic jednak nie zdadzą się zaawansowane mechanizmy, jak autentykacja dwuczynnikowa, ochrona strony logowania, odpowiednie uprawnienia w .htaccess, dopóki nie zapewnisz stronie aktualności. Dlatego pamiętaj – aktualność to pierwsza linia obrony przez zautomatyzowanym hackingiem.
[/apla]
[imie before=”No dobra, ” after=”, jak” alter=”Jak „] bardzo jest to dla Ciebie interesujące? Przyda Ci się ta wiedza? W jaki sposób zapewniasz aktualizacje Twojego WordPress’a? Podziel się tym artykułem ze znajomymi, zapraszam Cię także do dyskusji w komentarzu!
Genialny wpis. Podałeś masę przydatnych informacji 🙂
1,5 bańki WordPressów… ładnie się chłopaki bawią…
Dziękuję. Bardzo ciekawe i przydatne informacje.
Prosto i na temat. SUPER
Ciekawy artykuł
Krótko, prosto i na temat. Jako agencja miewamy duży problem, aby wytłumaczyć klientowi, że dbanie o oprogramowanie i jego zabezpieczanie jest potrzebne, a w zasadzie niezbędne. Szczególnie ciężko rozmawia się z klientem, który zrobił stronę na WP 5 lat temu, od tego czasu nie zmienił hasła (które ma 5 znaków i kończy się na znakach: 123) i nic się do tej pory złego nie stało!!. Macie jakieś dodatkowe pomysły jak przekonać taką osobę do zmiany myślenia?
Z całą pewnością z naszej strony możecie liczyć na to, że jako operator hostingu będziemy mocno edukować w tym zakresie. Liczymy na to, że powoli, powoli świadomość będzie się zmieniać. Na webinarach także mamy w planie tematy, związane z bezpieczeństwem WP, na naszym blogu także są inne wpisy na ten temat. Wspólnymi siłami na pewno uda się zmienić podejście właścicieli stron 🙂
Potwierdzam, na Waszym serwerze jakiś czas temu miałem poważny problem. Na szczęście pracownicy Linuxpl czuwają i szybko powiadomili mnie o problemie w plikach dwóch moich stron. Dzięki temu mogłem w porę zareagować.
Cały czas czuwamy, bezpieczeństwo serwerów traktujemy jako sprawę fundamentalną. Niestety większość włamań ma miejsce w warstwie aplikacyjnej, na którą największy wpływ ma użytkownik, a firma hostingowa – mniejszy. Niedawno wdrożyliśmy nowy system do kopii zapasowych. Teraz backup danych jest dostępny do 28 dni wstecz – to powinno pomóc w odzyskaniu niezainfekowanej kopii plików, gdyby strona została zaatakowana w przyszłości.
Z tego powodu bardzo długo (za długo?) nie decydowałem się zmianiać Kohany na WordPressa. W efekcie tego zarządzanie treścią i wszelkiego typu zmiany w kodzie były bardzo uciążliwe i kapitałochłonne.
Ostatecznie podjąłem decyzję, by jednak przejść na WordPressa, gdy stanąłem w obliczu konieczności aktualizacji Kohany do Koseven. Zabezpieczenia robi zespół informatyków i liczę, że to wystarczy.
WordPress jest podatny na ataki podobnie jak każdy inny darmowy skrypt CMS. Dodatkowo jest podatniejszy na zalew spamem na przykład w komentarzach. Jedna nipoprawna aktualizacja, a raczej jej brak może zrujnować naszą stronę. Ważne jest aby wykonywać kopie zapasowe strony.
Często zdarza się, że podczas wystąpienia złośliwego kodu w kodzie, znajduje się on już we wszystkich stronach umieszczonych na jednym serwerze.
WordPress to świetne środowisko, ale należy mieć wiedzę aby nie uniknąć włamań i podążać z jego filozofią. Każdy to bagatelizuje, jak widać do czasu. Jako agencja interaktywna świadczymy pełną ofertę w świecie WordPress i często problemem jest właśnie przekonywanie klientów do tego jak powinno się zabezpieczać strony, na co należy zwracać szczególną uwagę. Bywa różnie 🙂 ale edukacja to podstawa.
No dobrze, ale jak ma się zabezpieczyć klient posiadający stronę opartą o joomlę i to właśnie na serwerze u Państwa w linuxpl ? Moja strona została zaatakowana w maju i mimo napraw przez informatyków (jest listopad) ciągle otrzymuję na pocztę maile z typowymi pogróżkami, że moje konto jest znów przejęte.
Hosting tu ma niewielkie znacznie. Ważniejsza jest aktualność wszystkich komponentów – rdzenia, motywów, wtyczek etc. i w ogóle stosowanie tylko takich, które są na bieżąco łatane w razie wykrycia luk. Polecam też ochronę logowania poprzez zabezpieczenia w htaccess.
Hosting także pomaga – w ten sposób, że u nas do dyspozycji są kopie nawet do 28 dni wstecz, przez co najczęściej można przywrócić niezainfekowaną wersję pliku.
Statyczne strony zwiększają bezpieczeństwo. Przy dobrym generatorze offline utworzenie takiej strony jest proste. Do stron firmowych całkowicie wystarcza. Szkoda że nie piszecie nic o prawidłowym ustawieniu serwera w htaccess – bardzo wiele hostingow jest kiepsko ustawionych w tym względzie umożliwiając ataki na strony. Sądziłem, że to priorytet i standard ale byłem w błędzie. Zatem takie bajdurzenie o automatycznym hackingu kiedy samemu pozwala się na otwarte furtki nie jest w porzadku
Super wpis, dzięki 🙂
Uważam, że artykuł jest bardzo pouczający. Świetnie, że wspominasz, że problem jest złożony, a nawet wiele witryn nie używa certyfikatu SSL…