Tysiące witryn WordPress potencjalnie korzysta z podatnej wtyczki: oto jak zapewnić bezpieczeństwo swojej witryny

Opublikowany: 2024-05-06

W marcu 2024 roku we wtyczce WordPress WordPress Automatic odkryto krytyczną lukę. Dostępny na rynku Code Canyon, WordPress Automatic to automatyczny skrobak treści, który pobiera artykuły, filmy, produkty, obrazy i inne typy treści ze źródeł zewnętrznych i automatycznie publikuje je ponownie w Twojej witrynie.

Firma badawcza Patchstack odkryła tę lukę, która umożliwiła złośliwym podmiotom wykorzystanie ataków polegających na wstrzykiwaniu kodu SQL w celu przejęcia pełnej kontroli nad podatnymi stronami internetowymi. Wszystkie typy stron internetowych – od sklepów z vape po blogi osobiste – były podatne na atak, jeśli korzystały z niezałatanej wersji wtyczki.

Mimo że wtyczka została szybko załatana, niektórzy właściciele witryn nie zainstalowali łatki, ponieważ nie zdawali sobie sprawy z powagi problemu. Ostatnie recenzje użytkowników dotyczące wtyczki WordPress Automatic sugerują, że co najmniej kilka witryn internetowych zostało całkowicie utraconych z powodu tej luki.

Żadna witryna internetowa nie jest całkowicie odporna na ataki hakerskie, a WordPress – który obsługuje około 43 procent wszystkich witryn internetowych na świecie – jest priorytetowym celem złośliwych aktorów.

Mamy jednak dobrą wiadomość: jeśli witryna internetowa zostanie zaatakowana, zwykle nie dzieje się tak dlatego, że haker obrał za cel właśnie tę witrynę. Częściej zdarza się, że strony internetowe ulegają atakom hakerów, ponieważ zawierają podatne na ataki motywy lub wtyczki WordPress, które zostały wykryte za pomocą automatycznych skanerów.

Innymi słowy, jeśli w Twojej witrynie nie ma znanej luki, którą można łatwo znaleźć za pomocą skanera i wykorzystać w sposób zautomatyzowany, hakerzy zwykle pójdą dalej.

Mając to na uwadze, możesz zapewnić bezpieczeństwo swojej witryny WordPress, po prostu przestrzegając kilku zdroworozsądkowych praktyk bezpieczeństwa. W tym przewodniku wyjaśnimy dokładnie, co musisz zrobić, aby zminimalizować ryzyko, że niezabezpieczona wtyczka spowoduje przedwczesne zamknięcie Twojej witryny.

Natychmiast zaktualizuj swój motyw i wtyczki

Gdy zalogujesz się do WordPressa, na pasku bocznym zawsze zobaczysz powiadomienie, jeśli będą dostępne aktualizacje motywu lub wtyczek Twojej witryny. W niektórych przypadkach wtyczka z oczekującą aktualizacją wyświetli nawet komunikat na górze strony. Jeśli Twoja witryna zawiera dużą liczbę wtyczek, powiadomienia o aktualizacjach mogą pojawiać się niemal przy każdym logowaniu, a czasem możesz mieć tendencję do zwlekania z pobraniem i zainstalowaniem tych aktualizacji. Robisz to jednak na własne ryzyko, ponieważ nigdy nie wiesz, kiedy aktualizacja może zawierać poprawkę krytycznego problemu bezpieczeństwa.

Wtyczka WordPress Automatic została zaktualizowana natychmiast po powiadomieniu jej twórcy o luce w zabezpieczeniach. Jednak podobno umowa o zachowaniu poufności uniemożliwiła twórcy wtyczki omawianie wady do czasu upublicznienia jej przez Patchstack. Z tego powodu niektórzy użytkownicy zignorowali aktualizację.

Utrzymuj pełne kopie zapasowe witryny i bazy danych

Hostingi coraz częściej oferują w pełni automatyczne kopie zapasowe witryn i baz danych, co ma ogromne znaczenie ze względu na bezpieczeństwo. Jeśli Twoja witryna zostanie zhakowana, posiadanie kopii zapasowej oznacza, że ​​możesz przywrócić witrynę do poprzedniego stanu – czasami jednym kliknięciem. Jeśli Twój host nie oferuje tej usługi, kilka wtyczek WordPress może wykonać to zadanie za Ciebie. Ważne jest jednak utrzymywanie biblioteki kopii zapasowych z kilku różnych punktów w czasie. Jeśli Twoja witryna została zhakowana, może minąć trochę czasu, zanim to zauważysz.

Rozważ uruchomienie wtyczki zabezpieczającej

Jeśli Twoja witryna internetowa jest Twoją firmą, nie ma wymówki, aby nie mieć jakiegoś rozwiązania zabezpieczającego. Wtyczka bezpieczeństwa może automatycznie monitorować próby dostępu i blokować użytkowników, którzy wydają się złośliwi. Niektóre sieci dostarczania treści również oferują tę usługę. Wtyczka bezpieczeństwa może także monitorować pliki i surowy kod Twojej witryny oraz powiadamiać Cię, jeśli coś nieoczekiwanie się zmieni. Jeśli na Twoim serwerze nagle zaczną pojawiać się nowe pliki, prawdopodobnie doszło do ataku hakerskiego na Twoją witrynę.

Pobieraj motywy i wtyczki z zaufanego źródła

Repozytorium WordPress jest zawsze najbardziej niezawodnym miejscem do wyszukiwania motywów i wtyczek dla Twojej witryny. Ponieważ wszystko na stronie WordPress.org jest bezpłatne i ma otwarte oprogramowanie, wszystkie wtyczki i motywy są monitorowane przez bardzo dużą społeczność wolontariuszy WordPress. Jednak w wielu przypadkach możesz potrzebować funkcji, które nie są dostępne w darmowym motywie lub wtyczce – i w tym przypadku będziesz musiał zapłacić za oprogramowanie premium. Upewnij się, że ktoś dokonał audytu kodu i stwierdził, że jest on bezpieczny.

Usuń nieużywane motywy i wtyczki

Każdy motyw i każdą wtyczkę zainstalowaną na Twojej witrynie WordPress należy traktować jako potencjalną lukę w zabezpieczeniach, ponieważ dokładnie to robią hakerzy – stale analizują każdy istniejący fragment kodu WordPress i szukają luk w zabezpieczeniach, które można wykorzystać. Za każdym razem, gdy usuwasz motyw lub wtyczkę ze swojej witryny, eliminujesz potencjalny punkt wejścia. Przejrzyj wtyczki i motywy swojej witryny i usuń wszystko, czego nie używasz. Dobrym pomysłem jest także przejrzenie aktywnych wtyczek i upewnienie się, że na pewno ich wszystkich potrzebujesz.

Znajdź zamienniki porzuconych wtyczek

Czy minęło trochę czasu, odkąd ostatni raz widziałeś powiadomienie o aktualizacji konkretnej wtyczki? Jeśli tak, możesz sprawdzić dziennik zmian wtyczki, aby ustalić, kiedy była ona ostatnio aktualizowana. O ile funkcjonalność wtyczki nie jest wyjątkowo prosta, należy uznać ją za porzuconą przez autora, jeśli nie była aktualizowana od ponad roku. W takim przypadku powinieneś poszukać wtyczki, która zapewnia tę samą funkcjonalność i jest nadal aktywnie aktualizowana. Luki w zabezpieczeniach mogą czaić się w starych wtyczkach przez długi czas, zanim zostaną wykryte – a jeśli autor nie będzie już aktualizował wtyczki zawierającej lukę, luka nigdy nie zostanie naprawiona.

Zatrudnij programistę do audytu starych wtyczek i motywów

Załóżmy, że Twoja witryna internetowa zawiera wtyczkę o znaczeniu krytycznym, która została porzucona przez programistę i nie jest już aktualizowana. W takim przypadku musisz sam zadbać o to, aby wtyczka była bezpieczna i pozbawiona luk. W takim przypadku bardzo dobrym pomysłem byłoby zatrudnienie programisty i zlecenie mu audytu wtyczki. Utrzymanie wtyczki może stać się ciągłym wydatkiem, dopóki nie znajdziesz jej zamiennika.

Saasland