06.05.22
aktualizováno 15.06.23
Tobias Schüring
0 Komentáře
Obsah
Jak bezpečný je WordPress

Zabezpečení WordPressu: Jeho největší síla je zároveň jeho největší slabinou

Jak je na tom WordPress se zabezpečením? Ne příliš dobře, protože obsahuje řadu závažných zranitelností. A protože na WordPressu v současnosti běží více než 40 procent internetu, je oblíbeným cílem útoků. Dobrá zpráva: nejzávažnější zranitelnosti lze snadno odstranit.

Krása WordPressu spočívá v tom, že jej může používat kdokoli. Jediné, co opravdu potřebujete, je připojení k internetu a můžete začít. Bezpečnost WordPressu je zcela jiná věc. Možná proto, že je jeho používání tak snadné, ne každý se zabývá tím, jak bezpečný je WordPress ve skutečnosti z hlediska designu.

V každém případě je WordPress kvůli svým velkým přednostem - neuvěřitelné škále funkcí a rozmanitému designu - velmi nejistý. Modulární struktura nabízí obrovské množství bodů útoku. A těch samozřejmě využívají i hackeři. A činí tak automaticky, nepřetržitě, 365 dní v roce.

Ale nebojte se: tyto vestavěné slabiny WordPressu lze velmi snadno odstranit. A to především zcela bez dodatečného bezpečnostního pluginu.

Samozřejmě vám nechci rozmlouvat váš bezpečnostní modul plug-in. Může být dokonce velmi užitečný. Jeho instalací však zabezpečení vašeho webu WordPress nekončí. A než se pustíte do stínových boxerských zápasů s pseudohrozbami, je rozumnější kompenzovat základní slabiny WordPressu.

Dnešním tématem je:

  • oblast správy a proč je tak zranitelná
  • slabiny modulární struktury WordPressu
  • úloha hostingu WordPress v základním zabezpečení vašich webových stránek

"Ale moje webové stránky nejsou dostatečně zajímavé."

Nenechte se mýlit: tento předpoklad je prostě chybný. Každá webová stránka WordPressu je cenná jako cíl. Například jako šiřitel spamu, součást botnetu nebo reklamní platforma pro phishingové weby.

A v případě pochybností nezáleží na tom, jak malé, nové nebo málo navštěvované jsou vaše webové stránky. Protože v konečném důsledku tím trpíte vy a vaše firma. Může se stát, že váš newsletter bude klasifikován jako spam, uživatelé budou varováni před návštěvou vašich webových stránek a utrpí vaše hodnocení v Googlu, protože se vaše webové stránky ocitnou na černé listině.

Mám tím na mysli, že jednoduše kvůli popularitě a rozšíření WordPressu jsou webové stránky WordPressu vděčným cílem útoků. Bez ohledu na jejich obsah a účel.

"*" povinný údaj

Rád bych se přihlásil k odběru newsletteru, abych byl informován o nových článcích na blogu, e-knihách, funkcích a novinkách ve WordPressu. Svůj souhlas mohu kdykoli odvolat. Více informací v našich Zásadách ochrany osobních údajů.
Toto pole slouží k ověření a nemělo by se měnit.

Administrativní oblast WP je obzvláště zranitelná

Přihlašovací stránka je ve výchozím nastavení přístupná přes příponu "wp-admin". Proto je obzvláště častým cílem útoků - zejména tzv. útoků hrubou silou. Tyto útoky patří k nejčastějším útokům na webové stránky WordPress, protože je lze snadno automatizovat. Útok hrubou silou se snaží uhodnout správnou kombinaci jména a hesla. Pokud je tedy heslo slabé nebo přihlašovací oblast není chráněná, může útok hrubou silou buď uspět a do vašeho WordPressu se úspěšně přihlásí někdo jiný, nebo může masivní množství pokusů o přihlášení ochromit váš web.

Wordfenceznámý výrobce stejnojmenného bezpečnostního pluginu, zaznamenal jen v březnu 2017 v průměru 34 milionů útoků hrubou silou - každý den. Pro srovnání, takzvané "komplexní útoky", tedy ty, které využívají konkrétní bezpečnostní chyby, jsou na úrovni 3,8 milionu útoků denně.

Statistiky o Wordfence počet útoků hrubou silou v březnu 2017
Březnová zpráva Wordfence Ukazuje: Výrobce pluginů byl schopen zaznamenat v průměru asi 34 milionů útoků hrubou silou denně. Zvláště v polovině měsíce jich bylo mnoho.

Tam Wordfence ale samozřejmě se počítají pouze útoky, které byly odraženy vaším vlastním softwarem, počet nenahlášených případů je ještě vyšší.

Dobrou zprávou však je, že ačkoli je útok na oblast administrace WP velmi snadný a lze jej rychle automatizovat, ochranná opatření proti němu jsou velmi jednoduchá. Chcete-li zabezpečit oblast administrace WP, můžete postavit ochranné zdi na třech místech:

  1. Na úrovni systému WordPress pomocí silných hesel
  2. Při samotném přihlášení omezením pokusů o přihlášení
  3. Před přihlášením prostřednictvím černé listiny

1) Stará lyra: Silná hesla

Útoky hrubou silou jsou velmi bezmyšlenkovité. V zásadě pouze hádají. Proto může ve skutečnosti stačit silné heslo, aby útoky vyšly naprázdno. Takže to zkrátíme: silné heslo je povinné. Patří sem např: Písmena, číslice, speciální znaky a velká a malá písmena. A smysl má samozřejmě také dvoufaktorové ověřování.

TIP: Správci hesel umožňují nejen snadno vytvářet bezpečná hesla, ale také je spravovat. Například počítače Apple nabízejí pohodlný způsob správy hesel offline pomocí programu "Správa klíčenky". Stačí si zapamatovat hlavní heslo (které by samozřejmě mělo být co nejsložitější). Stejným způsobem fungují i cloudové programy pro správu hesel, jako je 1Password, LastPass nebo X-Key Pass.

2) Omezte počet přihlášení

Působivě je to vidět na číslech z Wordfence : Útoky hrubou silou jsou nejčastějšími útoky na webové stránky WordPress. Pravděpodobnost, že se váš web stane obětí takového útoku, je tedy velmi vysoká. A aby vysoký počet pokusů o přihlášení zbytečně nezatěžoval váš web, existuje možnost jejich omezení.

Po třech neúspěšných pokusech je například IP adresa na určitou dobu zablokována. Pokud pak IP adresa opět dosáhne limitu, doba blokování se postupně prodlužuje. Tímto způsobem velmi rychle omezíte počet možných pokusů do té míry, že se útok stane zbytečným.

V závislosti na tom, jak nízký je nastaven práh blokování, může tento postup chránit také před útokem s měnícími se IP adresami. Nejjednodušším způsobem ochrany přihlašovací oblasti je použití zásuvných modulů. Můžete například použít WP Limit Login Attempts, Login Lockdown nebo některý z velkých bezpečnostních pluginů, jako je Sucuri, Wordfence nebo All in One WP Security. Webové stránky hostované na adrese Raidboxes jsou již na serveru vybaveny ochranou proti hrubé síle. Další zásuvný modul zde proto není nutný.

3) Černá listina

V bezpečnostních společnostech, jako je Sucuri nebo Wordfence , tráví velkou část pracovní doby analýzou útoků. Tyto analýzy také v pravidelných intervalech zveřejňují. Jedním z nejdůležitějších aspektů v těchto zprávách je pravidelně původ IP adresy. Servery se totiž nacházejí v určitých zemích, které jsou k útokům obzvláště náchylné.

Zařazení příslušných IP na černou listinu proto dává smysl. Zejména pokud se daná oblast netýká vaší cílové skupiny. Tímto způsobem se můžete účinně bránit útokům dříve, než se dostanou na vaše webové stránky.

Takové černé listiny můžete vytvořit buď sami implementací na úrovni serveru, nebo můžete použít zásuvný modul zabezpečení s odpovídající funkcí.

Zastaralý WordPress

WordPress je modulární systém. Skládá se z jádra, tj. základního softwaru, zásuvných modulů a témat. Jedno z největších nebezpečí pro instalace WordPressu vyplývá ze skutečnosti, že mnoho webů WordPress nedostává pravidelné aktualizace.

Existuje pro to mnoho různých důvodů. Ty se pohybují od nekompatibility s pluginy a tématy až po neznalost nebo nedostatek času na aktualizaci.

Kam mohou vést opožděné aktualizace jádra, se působivě ukázalo v únoru 2017: vyšla najevo bezpečnostní chyba ve WordPressu verze 4.7.1 a objevily se výzvy k co nejrychlejší aktualizaci na verzi 4.7.2.

Během velmi krátké doby toto oznámení vyvolalo hromadné útoky na webové stránky WordPress (protože zranitelnost nebyla před oficiálním oznámením ještě známa). Výrobci příslušného bezpečnostního softwaru opět poskytli čísla: během několika málo dní bylo napadeno celkem jeden a půl až dva miliony webových stránek. Již dříve objevil bezpečnostní zranitelnost zaměstnanec společnosti Wordfence .

Pokud si uvědomíte, že více než 43 procent celého internetu je v současné době založeno na systému WordPress, můžete si udělat docela dobrou představu o tom, co by se mohlo stát, kdyby taková zranitelnost zůstala bez povšimnutí. Proto je vhodné aktualizace jádra WordPressu automatizovat nebo si je nechat automatizovat.

To se týká především tzv. minoritních aktualizací, tj. trojmístných čísel verzí, např. 4.7.4. Jedná se o tzv. "bezpečnostní a údržbové verze", které by měly být vždy nainstalovány co nejdříve. Při větších skocích ve verzích, např. z verze 4.7 na 4.8, je situace poněkud odlišná: Zde se aktualizace zaměřují na funkce a obecná vylepšení.

Zastaralé pluginy a motivy vzhledu

To, co platí pro jádro WordPressu, platí i pro zásuvné moduly a témata: zastaralé verze zásuvných modulů téměř vždy skrývají bezpečnostní chyby - a to takové, kterým se lze vyhnout.

Podle bezpečnostní studie o systémech pro správu obsahu zastává podobný názor i Spolkový úřad pro bezpečnost informací (BSI). Údaje BSI se vztahují k období od roku 2010 do roku 2012. 80 procent oficiálně oznámených zranitelností lze vysledovat zpět k rozšířením - ve většině případů k pluginům.

Hledání exploitů pomocí ExploitsDatabase odhalilo více než 250 exploitů pro WordPress. To je místo, kde byla zadána většina exploitů pro pluginy WordPress.

- BSI (2013): "Bezpečnostní studie systémů pro správu obsahu (CMS)".

V praxi jsou oblíbeným místem útoku zásuvné moduly. A s více než 50 000 rozšířeními v oficiálním adresáři pluginů WordPressu je také velmi produktivní. Výchozím bodem pro takové útoky jsou pak mezery v kódu zásuvných modulů.

Je důležité si uvědomit, že: Tyto mezery budou existovat vždy. Stoprocentně bezpečný systém neexistuje. A dále: Nedostatek aktualizací pro zásuvný modul nebo téma automaticky neznamená, že je nezabezpečený. I když frekvence aktualizací je dobrým ukazatelem kvality podpory výrobce. Stejně tak ale může být, že zatím nebyly objeveny žádné bezpečnostní mezery.

Pokud se však nějaké objeví, poskytovatel zásuvného modulu (doufejme) poskytne také aktualizaci, která tuto mezeru odstraní. Pokud tak neučiní, je možné provést útoky, jako je SQL injection nebo cross site scripting (XSS). V prvním případě dochází k manipulaci s databází vašeho webu. Tímto způsobem mohou být vytvořeny nové administrátorské účty a vaše webové stránky pak mohou být infikovány škodlivým kódem nebo přeměněny ve spamovou skládku.

Útoky XSS spočívají v podstatě v umístění JavaScriptu na vaše webové stránky. Mimo jiné mohou být na vaše webové stránky vloženy formuláře, které kradou data uživatele. Zcela nenápadně, šifrovaně pomocí SSL a v důvěryhodném prostředí.

A protože pluginy a motivy nabízejí tak rozmanité body útoku, měli byste vždy věnovat pozornost počtu pluginů a nenechávat je v zakázaném stavu, ale skutečně je odinstalovat, když je již nepotřebujete.

Sdílený hosting

Tyto nevýhody jsou vlastní systému WordPress. Protože však vaše webové stránky musí být nějakým způsobem online, je hosting WordPressu také důležitým bezpečnostním aspektem. Vzhledem k tomu, že bezpečnost WordPressu a hosting WordPressu je velmi složité a mnohostranné téma, rád bych na tomto místě hovořil pouze o hlavní nevýhodě sdíleného hostingu. Opět to neznamená, že bych vám chtěl sdílený hosting rozmlouvat. Má velký smysl, zejména z cenového hlediska. Sdílený hosting však přináší rozhodující nevýhodu, kterou byste si měli uvědomit.

U sdíleného hostingu je na jednom serveru umístěno několik webových stránek. Webové stránky také sdílejí IP adresu. To znamená, že stav a chování jedné webové stránky může negativně ovlivnit i všechny ostatní webové stránky na serveru. Tento efekt se nazývá efekt špatného souseda a týká se například rozesílání spamu. Pokud webová stránka na serveru způsobí, že se IP adresa dostane na černou listinu, může to mít vliv i na vaši nabídku.

Kromě toho může dojít k nadměrnému využívání zdrojů, například pokud se některá z webových stránek na serveru stane terčem útoku DDoS nebo je zasažena masivním útokem. Stabilita vaší vlastní nabídky je tedy vždy do jisté míry závislá na bezpečnosti ostatních webových stránek na serveru.

Pro profesionálně provozované webové stránky WordPress má smysl virtuální nebo dedikovaný server. Mezi bezpečnostní koncepty hostitelů samozřejmě patří také zálohovací řešení, firewally a skenery škodlivého softwaru, ale těm se budeme podrobně věnovat na jiném místě.

Závěr

WordPress je nezabezpečený. A to kvůli jeho modulární struktuře. Jeho největší síla se tak může stát jeho největší slabinou. Dobrou zprávou je, že tuto přirozenou slabinu můžete snadno obejít. V zásadě nepotřebujete nic víc než námahu spojenou se správou účtů, vytvářením hesel a aktualizacemi.

Tato opatření samozřejmě neznamenají, že se vaše webové stránky stanou pevností Fort Knox. Jsou však základním kamenem vaší bezpečnostní koncepce. Pokud je nebudete brát v úvahu, mohou podkopat všechna ostatní bezpečnostní opatření. A tyto aspekty můžete ovlivnit sami. Proto je tak důležité, abyste o nich vždy věděli.

Líbil se vám tento článek?

Svou recenzí nám pomůžete zlepšit náš obsah.

Tobias Schüring

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.