07.06.21
aktualizováno 15.06.23
Tobias Schüring
0 Komentáře
Obsah
Zabezpečení WordPress Malé webové stránky

Zabezpečení WordPressu: Vaše webové stránky jsou zajímavé i pro útoky

43,2 procenta všech webových stránek na světě běží na systému WordPress. Díky této vysoké rozšířenosti jsou webové stránky WordPress oblíbeným cílem útoků. Zejména u malých webových stránek si mnoho lidí myslí, že jsou v bezpečí, protože kdo by se nabourával do blogu s malým dosahem nebo bez citlivých údajů? Dnes vám ukážu, proč je to nebezpečný omyl, pokud jde o bezpečnost WordPressu.

WordPress je zajímavý zejména proto, že jej používá mnoho webových stránek. U mnoha forem útoků nezáleží na "kvalitě" napadených cílů, ale na tom, aby bylo možné automaticky infiltrovat co nejvíce webových stránek. Jak to může vypadat, když je zranitelnost systematicky zneužívána, ukázal příklad bezpečnostní chyby ve WordPressu 4.7.1. Nespočet webových stránek pak bylo na domovské stránce znehodnoceno oznámením "hacked by".

Bezpečnostní společnost Sucuri tuto zranitelnost objevila a předala ji společnosti WordPress. A přestože byl problém ve WordPressu 4.7.2 opraven, byly po zveřejnění exploitu hacknuty miliony webů v rámci tzv. defacement útoků.

Tento příklad ukazuje, že každý web WordPress je zajímavý pro útoky. Ve většině případů probíhají útoky zcela automaticky. Dnes vám ukážu, jak takový útok může vypadat, co je jeho cílem a jaké důsledky může mít pro vás a vaše webové stránky, jakmile je váš web úspěšně napaden.

Vaše webové stránky WordPress mají být uneseny

Jak jsem řekl, většinou nejde o to, jak je webová stránka velká nebo co se na ní dá získat. Velké množství webových stránek, které nemají zalepené určité bezpečnostní díry, je prostě napadeno automaticky. Jakmile je web infikován, může být zneužit například k rozesílání spamu nebo k distribuci samotného malwaru uživatelům.

Vznikne tak síť dodavatelů malwaru nebo botnet, kterou lze později zneužít k útokům DDoS nebo hrubou silou. Jednotlivé webové stránky jsou proto často zajímavé pouze jako součást většího celku. A čím více webových stránek je uneseno nebo infikováno, tím cennější se stává související malwarová mašinérie.

"*" povinný údaj

Rád bych se přihlásil k odběru newsletteru, abych byl informován o nových článcích na blogu, e-knihách, funkcích a novinkách ve WordPressu. Svůj souhlas mohu kdykoli odvolat. Více informací v našich Zásadách ochrany osobních údajů.
Toto pole slouží k ověření a nemělo by se měnit.

Počet útoků na WordPress Zvyšuje

Počet útoků na webové stránky má stoupající tendenci. Podle společnosti Google bylo v roce 2016 napadeno o 32 % více webů než v roce 2015. Jedním z nejčastějších typů útoků byl tzv. útok hrubou silou. Zjednodušeně řečeno se snaží zadat správnou kombinaci přihlašovacího jména a hesla hádáním.

To podtrhují i údaje poskytovatele zabezpečení Wordfence . Zde byl v USA zaznamenán trvalý nárůst těchto útoků na WordPress.

Útoky hackerů WordPress : Brute Force a komplexní útoky na WordPress od prosince 2016 do ledna 2017.
Na rozdíl od komplexních útoků se počet Brute Force Útoky. Ty nezávisí na existenci konkrétních chyb zabezpečení.

Reach je zde hlavním městem

Příklad botnetu je toho skvělou ilustrací. Botnet je síť unesených webových stránek (což mohou být i koncová zařízení nebo směrovače s připojením k internetu), která se používá k útokům DDoS na webové stránky nebo servery. Při něm se aktivují prvky botnetu a na povel bombardují cíl takovým množstvím požadavků, že se server zhroutí a přetíží.

Čím více webových stránek je do botnetu zapojeno, tím je silnější, a tedy i cennější. To však také znamená, že únos instalace WordPressu je často pouze prvním krokem. Druhým krokem je vytvoření něčeho, co lze zpeněžit.

Tři "I": informovat, identifikovat, infiltrovat

Jakmile je známa bezpečnostní zranitelnost, začíná skutečná práce: je třeba napsat program, který dokáže zjistit, zda zranitelnost existuje, a poté ji automaticky zneužít. Zhruba řečeno, nespecifické hackování WordPressu lze rozdělit do tří fází:

Fáze 1: Získávání informací

Prvním krokem je vyhledání informací o známých nebo neznámých zranitelnostech ve WordPressu. To je možné prostřednictvím platforem, jako je databáze zranitelností WPScan.

U útoků na defacement, o kterých jsem se zmínil na začátku příspěvku, by stačilo se jednoduše podívat na wordpress.org by stačilo.

Fáze 2: Identifikace vektorů útoku

Teď už víme, kde začít. Ve druhé fázi je třeba napsat skript, který umožní vybrat z množství webových stránek ty, které mají zranitelnost. V případě defacementových útoků na WordPress 4.7 a 4.7.1 v roce 2017 to bylo možné snadno vyčíst z verze WordPressu.

Fáze 3: Automatizované útoky

Po nalezení lze webovou stránku (automaticky) hacknout a provést (ne)požadované změny. Některé typické příklady jsou:

  • Krádež dat: Dochází k pokusům o krádež citlivých dat z vašich webových stránek nebo od uživatelů. Může jít o e-mailové adresy nebo bankovní údaje - v zásadě je však zajímavé cokoli, co lze prodat nebo znovu použít. Na váš web lze například umístit falešný formulář, který ukradne všechny zadané údaje. A to ve zcela důvěryhodném prostředí a dokonce šifrovaném pomocí SSL.
  • Únos webových stránek: Vaše webové stránky WordPress jsou integrovány do botnetu. Tím je zajištěna kontrola nad vaším webem a je možné na něj na příkaz provádět například DoS nebo DDoS útoky.
  • Injektování škodlivého kódu: Na vaše webové stránky je umístěn škodlivý kód. Tímto způsobem může dojít ke zneužití vašeho reklamního prostoru nebo ke krádeži dat prostřednictvím falešných formulářů.

Ve většině případů stojí hacky WordPressu čas a peníze.

Nelze obecně říci, jaké náklady vznikají v důsledku hacknutí WordPressu a jaké přímé či nepřímé důsledky může útok mít. Na tyto tři důsledky však musíte být u napadených webových stránek vždy připraveni:

1) Náklady na vymáhání

Každý den dochází k milionům útoků na webové stránky WordPress. Jen výrobce zásuvných modulů Wordfence naměřil v dubnu 2017 v průměru 35 milionů útoků hrubou silou a 4,8 milionu útoků zneužitím denně. Jinými slovy: absolutní bezpečnost neexistuje. Můžete pouze udržovat pravděpodobnost napadení co nejnižší a vytvořit vhodné mechanismy, které vám umožní rychlou obnovu webu, pokud dojde k nejhoršímu.

V lepším případě máte zálohu webových stránek a můžete je jednoduše obnovit. Pokud jsou zálohy také infikované nebo obnovení není možné, je to složitější. Pak je třeba vynaložit čas a náklady na ruční odstranění škodlivého softwaru.

2) Ztráta prodeje

V závislosti na tom, jaký typ škodlivého kódu byl vložen a jak dlouho je třeba webové stránky udržovat, vám mohou vzniknout také náklady v podobě ušlých příjmů z reklamy a prodeje.

3) Ztráta důvěry

Google vidí vše: Hacknuté webové stránky často obsahují škodlivý kód, který šíří malware. Pokud to Google rozpozná - a vy s tím nic neuděláte - vaše webové stránky skončí na černé listině. Když uživatelé webovou stránku vyvolají, zobrazí se jim bezpečnostní upozornění, které je varuje před malwarem nebo phishingem. To může také vést ke zhoršení vaší pozice ve vyhledávačích (SERP) a ke ztrátě významného dosahu.

Závěr: Útoky na webové stránky WordPress jsou zcela běžné

Tento článek samozřejmě nemá za cíl vyvolávat neopodstatněnou paniku. Měl by však objasnit následující: To, že máte "malé" webové stránky, neznamená, že byste se neměli aktivně zabývat tématem bezpečnosti WordPressu.

Je například důležité vědět, že většinu zranitelností lze odstranit pravidelnými aktualizacemi. A že certifikát SSL nechrání vaše webové stránky před útoky.

Na začátku jsem se zmínil, že díky rozšíření WordPressu jako CMS je každý web potenciálním cílem. Toto rozšíření však s sebou přináší i rozhodující výhodu: celosvětová komunita nepřetržitě pracuje na tom, aby byl WordPress bezpečnější. A tak se dříve či později najde adekvátní řešení pro každou zranitelnost a pro každý problém.

Líbil se vám tento článek?

Svou recenzí nám pomůžete zlepšit náš obsah.

Tobias Schüring

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.