WordPress Bezpieczeństwo: Twoja strona jest również interesująca dla hakerów

Tobias Schüring Ostatnia aktualizacja 23.01.2020
.
. 5 Min.
Ataki hakerów na WordPress : Twoja strona jest również interesująca dla hakerów

28,4 procent największych stron internetowych na świecie działa pod adresem WordPress . Ta wysoka dystrybucja sprawia, że strony WP są popularnym celem dla hakerów. Szczególnie operatorzy małych stron często myślą, że są bezpieczni, bo kto włamałby się na bloga o małym zasięgu lub bez wrażliwych danych? Dzisiaj pokażę Ci, dlaczego jest to niebezpieczny błąd, jeśli chodzi o bezpieczeństwo WordPress .

StronaWordPress jest szczególnie interesująca dla atakujących, ponieważ korzysta z niej tak wiele witryn. W przypadku wielu form ataków nie liczy się "jakość" zhakowanych celów, ale po prostu możliwość automatycznej infiltracji jak największej liczby witryn. Jak może wyglądać sytuacja, gdy luka jest systematycznie wykorzystywana, pokazuje przykład dziura w zabezpieczeniach w WordPress 4.7.1. Niezliczona ilość stron została następnie zniekształcona na stronie startowej z informacją "hacked by".

Firma ochroniarska Sucuri znalazła lukę i zgłosiła ją do WordPress . I chociaż problem został naprawiony w WordPress 4.7.2, miliony stron zostały zhakowane w tzw. atakach defacement po tym, jak exploit stał się znany. miliony stron internetowych zostały zhakowane w ramach tzw. ataków typu defacement..

Przykład ten pokazuje, że każda strona WordPress jest interesująca dla napastników. W większości przypadków ataki przeprowadzane są całkowicie automatycznie. Dziś pokażę Ci jak taki atak może wyglądać, co jest celem hakerów i jakie konsekwencje może mieć dla Ciebie i Twoich stron, gdy już Twoja strona zostanie skutecznie zhakowana.

Hakerzy chcą porwać Twoje strony WordPress

Jak już powiedziałem, w większości przypadków nie chodzi o to, jak duża jest strona lub co można na niej uzyskać. Jest to po prostu zautomatyzowany atak na dużą liczbę stron internetowych, które nie załatały pewnych luk w zabezpieczeniach. Po zainfekowaniu strony można ją wykorzystać na przykład do rozsyłania spamu, a nawet do rozpowszechniania złośliwego oprogramowania wśród odwiedzających ją osób.

W ten sposób hakerzy tworzą sieć dostawców złośliwego oprogramowania lub botnet, który mogą później wykorzystać do atakóBrute Force w DDoS lub . Pojedyncza strona jest więc często interesująca tylko jako część większej całości. A im więcej stron atakujący porwie lub zainfekuje, tym cenniejsza staje się jego machina złośliwego oprogramowania.

Rośnie liczba ataków na WordPress

Liczba ataków na strony internetowe obecnie wzrasta. Jak podaje Google, w 2016 r. 32 procent więcej stron zostało zhakowanych Jednym z najczęstszych typów ataków były tzw. atakiBrute Force . Tutaj ludzie próbują wprowadzić poprawną kombinację loginu i hasła poprzez zwykłe zgadywanie. Albo napastnicy mają już listy haseł, które wypróbowują.

Podkreślają to również dane dostawcy usług bezpieczeństwa Wordfence. Przez wiele miesięcy Amerykanie z USA zaobserwowano stały wzrost liczby takich ataków na stronie WordPress .

Ataki hakerów WordPress : Brute Force oraz Ataki kompleksowe na strony WordPress  od grudnia 2016 do stycznia 2017.
W przeciwieństwie do ataków złożonych, liczba ataków typu Brute Force stale rośnie. Wynika to z faktu, że te ostatnie nie są zależne od istnienia konkretnych luk w zabezpieczeniach.

Reach jest stolicą hakerów

Można to bardzo dobrze zobrazować na przykładzie botnetu. Botnet to sieć porwanych stron internetowych (mogą to być również podłączone do Internetu urządzenia końcowe lub routery), która jest wykorzystywana np. do przeprowadzania ataków DDoS na strony internetowe lub serwery. Elementy botnetu są aktywowane i na polecenie bombardują cel tak dużą ilością żądań, że strona upada lub serwer jest przeciążony.

Im więcej stron internetowych haker może włączyć do swojego botnetu, tym bardziej staje się on potężny i tym samym wartościowy. Oznacza to jednak również, że porwanie instalacji WordPress jest często dopiero pierwszym krokiem dla hakerów. Drugim krokiem jest stworzenie czegoś, co można spieniężyć.

Trzy jest: Informować, identyfikować, infiltrować

Z grubsza rzecz biorąc, niespecyficzne WordPress hacki można podzielić na trzy fazy:

Hakerzy atakują WordPress : 3 fazy prototypowego ataku na WP
Kiedy atakujący wie już o luce, zaczyna się prawdziwa praca: musi napisać program, który potrafi dowiedzieć się, czy luka istnieje, a następnie automatycznie ją wykorzystać.

Etap 1: Uzyskanie informacji

W pierwszym kroku atakujący poszukuje wiedzy o znanych lub nieznanych podatnościach w WordPress . Można to zrobić np. za pośrednictwem platform takich jak Baza danych luk w zabezpieczeniach WPScan jest możliwe.

W przypadku ataków typu defacement, o których wspomniałem na początku wpisu, po prostu patrząc na WordPress .org wystarczyłoby.

Faza 2: Identyfikacja wektorów ataku

Teraz atakujący wie od czego zacząć i musi w fazie 2 napisać skrypt, który pozwoli mu wyłowić z masy stron te, które mają podatność. W przypadku ataków typu defacement na WordPress 4.7. i 4.7.1, było to łatwo możliwe dzięki odczytaniu wersji WordPress .

Faza 3: Ataki zautomatyzowane

Po ich znalezieniu, atakujący może - ponownie automatycznie - włamać się na stronę i dokonać (nie)pożądanych zmian. Niektóre typowe przykłady to:

  • Kradzież danych: Atakujący próbuje wykraść poufne dane z Twojej witryny lub osób ją odwiedzających. Mogą to być adresy e-mail lub dane bankowe - ale w zasadzie wszystko, co może być sprzedane lub ponownie wykorzystane jest interesujące. Na przykład, haker może umieścić fałszywy formularz na swojej stronie, który kradnie wszystkie wprowadzone dane. I to w całkowicie zaufanym środowisku, a nawet szyfrowane SSL.
  • Porwanie strony: Napastnik może włączyć Twoją stronę WordPress do botnetu. Daje to hakerowi kontrolę nad Twoją stroną i pozwala mu na przykład na przeprowadzanie ataków DoS lub DDoS na żądanie.
  • Wstrzyknięcie złośliwego kodu: Dzieje się tak, gdy złośliwy kod zostaje umieszczony na Twojej stronie. Atakujący może na przykład wykorzystać Twoją powierzchnię reklamową do własnych celów lub umieścić na Twojej stronie formularze, które wykradają dane osobowe Twoich użytkowników.

W większości przypadków, WordPress hacki kosztują czas i pieniądze.

Koszty poniesione przez WordPress hakerów oraz dokładne bezpośrednie lub pośrednie skutki ataku nie mogą być określone w sposób ogólny. Jednak operatorzy zhakowanych stron muszą być zawsze przygotowani na te trzy konsekwencje:

1) Koszty odzyskiwania należności

Każdego dnia mają miejsce miliony ataków na strony WordPress . Sam producent Plugin Wordfence zmierzył średnio 35 mln atakówBrute Force i 4,8 mln ataków exploitów za kwiecień 2017 r. codziennie. Innymi słowy: nie ma absolutnego bezpieczeństwa. Możesz jedynie utrzymywać prawdopodobieństwo bycia zhakowanym na jak najniższym poziomie i stworzyć odpowiednie mechanizmy, które pozwolą Ci na szybkie przywrócenie witryny, jeśli stanie się najgorsze.

W najlepszym przypadku masz kopię zapasową witryny i możesz ją po prostu przywrócić. Jeśli kopie zapasowe są również zainfekowane lub przywrócenie ich nie jest możliwe, sprawa staje się bardziej skomplikowana. Następnie musisz poświęcić czas i pieniądze na ręczne usunięcie złośliwego oprogramowania.

2) Utrata obrotów

W zależności od tego, jaki rodzaj złośliwego kodu został wstrzyknięty i jak długo witryna musi być utrzymywana, możesz również ponieść koszty w postaci utraconych przychodów z reklam i sprzedaży.

3) Utrata zaufania

Google widzi wszystko: Zhakowana strona często zawiera złośliwy kod, który rozprzestrzenia złośliwe oprogramowanie. Jeśli Google to wykryje - a Ty nic z tym nie zrobisz - Twoja strona trafi na czarną listę. Po wywołaniu strony internetowej odwiedzający zobaczą komunikat bezpieczeństwa ostrzegający przed złośliwym oprogramowaniem lub phishingiem. Może to również prowadzić do tego, że Twoja pozycja w wyszukiwarkach (SERP) ucierpi, a Ty stracisz znaczny zasięg.

Wniosek: Ataki na strony WordPress są całkiem normalne

Oczywiście artykuł ten nie ma na celu wzniecenia bezpodstawnej paniki. Powinno to jednak wyjaśnić sprawę: Tylko dlatego, że masz "małą" witrynę, nie oznacza, że nie powinieneś aktywnie zająć się kwestią bezpieczeństwa witryny.

Na przykład, ważne jest, aby wiedzieć, że większość podatności może być wyeliminowana poprzez regularne aktualizacje. I że certyfikat SSL nie chroni Twojej strony przed atakami hakerów.

Wspomniałem na początku, że sam rozmiar WordPress jako CMS sprawia, że każda strona jest potencjalnym celem ataku. Ale ta wielkość ma też decydującą zaletę: społeczność wolontariuszy z całego świata i pracownicy firm WordPress pracują przez całą dobę, aby uczynić WordPress bardziej bezpiecznym. I tak, prędzej czy później, znajdzie się odpowiednie rozwiązanie dla każdej podatności i każdego problemu.

Jako administrator systemu Tobiasz czuwa nad naszą infrastrukturą i znajduje każdą śrubkę, aby zoptymalizować wydajność naszych serwerów. Dzięki jego niestrudzonym wysiłkom, często można go spotkać w nocy na stronie Slack .

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.