Vladimír Smitka je dobře známý odborník na bezpečnost WordPress v české WP komunitě. Pravidelně přednáší jak na velkých tak i malých konferencích o tom jak si nenechat hacknout WordPress. Také jako první zmapoval používání WordPress v Česku pomocí robotů, kteří prošli český internet. Nedávno své roboty opět poslal zjistit jak jsou na tom české WordPressi s aktualizacemi.
Výsledek rozhodně není zrovna příznivý. Z 88.313 nalezených instalací nemá bezpečnou aktualizaci hned 21.827. Tedy 24,71 %.
12.251 instalací využívá verzi starší 3.7, která už je nepodporovaná a nevychází k ní bezpečnostní aktualizace.
Dalších 9.576 si používá major verzi, ke které stále vychází bezpečnostní aktualizace, ale nemá je nainstalované.
Celkem 848 nalezených instalací má verzi 4.7 anebo 4.7.1, kde se nachází závažná chyba v REST API. Pokud tyto WordPressi nejsou nijak dále chráněny, tak jim útočník může bez jejich vědomí měnit obsah na stránce. Dá se předpokládat, že dříve anebo později někdo toto i udělá. Jak chyba tak i postup je na internetu velmi dobře zdokumentován.
Ostatní opravené chyby jsou víceméně náročnější na zneužití a je vyžadováno speciálních okolností. Na druhou stranu pokud máte opravdu starou verzi, kde je možné využít více bezpečnostních chyb naráz tak to není nereálné. Dále se dá předpokládat, že neaktualizované WordPressi nemají ani aktuální verzi pluginů a šablon, kde bývají daleko vážnější chyby.
Závěr
Popravdě by asi stálo za to nějak chytře upozornit všechny majitele neaktualizovaných webů. Třeba přes oficiální email z wordpress.org, popřípadě rovnou napsat na hosting, kam domény směřují. Věříme že by bylo i v zájmu hostingů své zákazníky upozornit na možná bezpečnostní rizika. Přeci jen napadené weby jsou přítěží a ohrožují ostatní zákazníky. Mohou rozesílat spam a tím dostanou IP adresu na blacklist, popřípadě provádět DoS útoky.
Tento článek byl byl přečten 2915 krát