Na světě je odhadem kolem jedné miliardy různých webů. Díky novým technologiím a přístupům k tvorbě internetového obsahu toto číslo neustále roste. Příchod jednoduchých redakčních systémů (CMS), které necílí na webmastery ale přímo na uživatele s minimálními znalostmi, zapříčinil doslova webovou explozi. Když k tomu přidáme stále klesající cenu sdílených webhostingů díky novým výkonnějším serverům a automatické instalátory, tak v podstatě není co řešit. Vlastní web na WordPress může mít kdokoliv. Nemusí přitom vědět co je to HTML.
Bezpečnostní experti ze Securi, řešili incidenty na 11 tisících webech a v 78 % případů se jednalo o WordPress. Ostatní tak výrazně předběhl.
Jak je to možné? Celkem více jak 25 % z top 1 milionu webů podle Alexa Rank jede na WordPress, takže je to nejrozšířenější CMS. Útočníkům se tak vyplatí investovat větší množství prostředků a času do nástrojů na útoky proti WordPress. Dále WordPress patří k nejjednodušším CMS jaké v současnosti jsou. K vytvoření jednoduchého webu nejsou potřeba téměř žádné znalosti. Cílová skupina tedy bude zranitelnější, protože si neuvědomuje rizika. Příkladem za všechny budíš slabá hesla.
Možná teď přemýšlíte jestli tedy nebude lepší používat jiný CMS, že se třeba útokům nějak vyhnete. Není to pravda. Do několika dnů od založení webu si vás přijde oťukat první robot. Otestuje formuláře, hesla, zdali se může podívat do adresářů, jestli nemáte náhodou na webu nějakou zálohu, kterou by si stáhl apod.
Co se týká oblíbených CMS, tak tam máte alespoň výhodu, že případná díra se rychle opraví a vydá záplata. V případě problémů dokážou jednat vývojáři opravdu rychle.
Na druhou stranu WordPress má výhodu v držení zpětné kompatibility. Takže většina toho co fungovalo před dvěma roky na staré verzi WordPress, bude fungovat i dnes na nové. WordPress nemá různé vývojové verze, které se dokončí a jde se dělat nová Pořád se vylepšuje jedna a ta samá. Lidé se tak nebojí aktualizovat. Například v průzkumu Securi vyšlo najevo, že z napadených WordPress bylo 50 % neaktualizovaných, zatímco u Drupal to bylo přes 80 %.
Ještě se vrátím k průzkumu. V roce 2013 byl podíl Magento 1 %, tento rok už to bylo 5 %. Magento se používá pro eshop, je velká šance, že obsahuje osobní údaje lidí. Dělá jej pro útočníky daleko lukrativnějším cílem.
Hacknutí webu není nic osobního
Většina lidí si myslí, že jejich web nikdo nehackne, protože není zajímavý. Ostatně proč by s tím také někdo ztrácel čas, že? Pravda je taková, že jste útočníkům opravdu ukradený, ale váš web jede na nějakém webhostingu. Ten poskytuje odrazový můstek pro vydělávání peněz. Spamování, phishing, DDoS, šíření malware to jsou zdroje peněz o které jde. Cílem těch zlých je dostat se k němu co nejlevněji.
Proto mají roboty, kteří prochází jednu doménu po druhé a testují zdali se na nich nachází nějaký redakční systém. Když zjistí, že tam je, tak další roboti zkusí nejznámější zranitelnosti. Když se jim to povede tak pošlou na Command & Control server informaci o úspěšném průniku. Tím se váš webhosting přidá do botnetu. Pokud ne, tak jdou dál jen si udělají poznámku do databáze, že tam máte redakční systém. Vrátí se až když se objeví nějaká nová zranitelnost otestovat zdali jste si váš redakční systém aktualizovali ;)
Jak vidíte nic osobního. Jde jen o peníze.
Takže zůstat u WordPressu? Šel bych do něčeho jinýho, ale takovej výběr pluginů a vzhledů člověk jen tak nikde nenajde.
No, není až tak dávno, co jsem takovýto útok taky musel řešit. Sice heslo odolávalo, ale nic se nemá riskovat a tak jsem použil plugin pro schování logovací stránky a byl pokoj. Takže používání wordpressu bych se vůbec nebál, jen si holt člověk nesmí říkat to zmíněné, vždyť za tu námahu nestojím.
Jsou někde čísla o tom kolik těch průniku je opravdu přez to CMS a kolik přes ostatní cesty (umíme hesla do administrace, FTP, cokoliv jiného na serveru, …)?
Nějaké náznaky jsou v reportu https://sucuri.net/website-security/Reports/Sucuri-Website-Hacked-Report-2016Q1.pdf Obecně se špatně určuje jestli se infekce dostala přes zranitelnost anebo si někdo tipnul heslo.
Zrovna včera jsem o tomhle poslouchal rozhovor přímo s vývojářem WP – oni na toto dávají velký pozor a aktualizují velmi rychle. V drtivé většině případů jde o to, že je uživatel mamlas. Čistá instalace WP je lákavým cílem a boti se u ní objeví skoro okamžitě (vyzkoušeno na desítkách webů), ale s bezpečným heslem je dost nedobytná.
Problém nastane zhruba tady:
1) uživatel je pako a nastaví si jednoduché heslo
2) uživatel měsíce až roky neaktualizuje
3) uživatel si nainstaluje několik až několik desítek pluginů, často dlouho neaktualizovaných či vyloženě pochybných
4) uživatel si nainstaluje pochybnou či starou šablonu
5) uživatel se nenamáhá použít antispam, nastavit silná hesla, omezit práva, zabezpečit instalaci…