Bezpečnostní hrozby, které se týkají WordPress se často probírají v médiích. Ne proto, že by byl tento redakční systém nějak zvlášť děravý, ale protože zní dobře, když se vezme počet stažení děravého pluginu a napíše, že právě tolik instalací je ohroženo.

Na druhou stranu je pravda, že u WordPress útočníci hledají slabiny záměrně, protože pro botnet potřebujete co nejvíce zombie počítačů. Jednoduše investovat čas do napadení WordPress se útočníkům vyplatí. Ostatně poslední velké incidenty mluví za sebe. V listopadu to byl CryptoPHP, v prosinci zase SeoakSoak. Média si také smlsla na zranitelnosti v Slider Revolution.

Jaké jsou ale skutečné hrozby pro rok 2015?

Skripty nahrané přes chyby v pluginech

Jak ukázal rok 2014 velkou zranitelností redakčních systémů, tedy spíše rozšíření pro ně, je nedůsledné ošetření nahrávání souborů. Místo obrázku proklouzne PHP soubor a útočník má otevřené dveře do vaší WordPress instalace.

Jedna z největších hrozeb pro rok 2015 tak bude adresář wp-content/uploads/. Naštěstí můžete vzít ochranu do svých rukou a vybudovat vlastní obrannou linii. Jak na to jsme si pověděli v článku Poslední obranná linie WordPress. Jen doplním, že mimo souborů .php umožňují některé webhostingy i použití přípon .php5, .php4 apod. Pro rozlišení jednotlivých verzí PHP. Popřípadě další exotické koncovky, které server zpracuje. Zjistěte si u svého poskytovatele webhostingu, co vše u něj jde spustit a připravte se na to.

Přetěžování instalace roboty

Když si zapnete access.log zjistíte, že váš WordPress každý den skouší i několik robotů napadnout. Hledají slabiny, zkouší hesla a testují přítomnost různých pluginů. Tito robotu za určitých okolností dokáží nepříjemně vytěžovat systémové prostředky. V roce 2015 jich přibude. Čím menší bude mít váš web Alexa rank tím více to budou roboti zkoušet.

Důvody proč je řešit jsou v podstatě dva. Jednak váš web bude vykazovat známky lehkého DoS útoku (samozřejmě záleží, co váš poskytovatel hostingu vydrží) a také tento druh oťukávání může vést k dalších útokům. V standardní výbavě každé WordPress instalace by tak měl být bezpečnostní plugin, který má funkci fail2ban pro roboty co zkouší brute force útoky a také dobře zabezpečené adresáře, které nedovolí přístup z venku, tedy pouze skriptu z nadřazeného adresáře.

Používání šablon a pluginů z warez webů

Věděli jste, že existují weby, kde se dají stáhnout zdarma jinak placené šablony anebo pluginy? Stejně jako plný hry, tak i šablony a pluginy se nachází na warez webech. Spousta uživatelů neodolá pokušení a stáhne si je. Často přitom obsahují backdoor a následné použití vede k napadení celé instalace. Spousta uživatelů si navíc naivně myslí, že jejich antivirus dokáže odhalit pomyslný „virus“ ve zdrojovém kódu.

Vzhledem k tomu, že napadené instalace jsou nejčastěji používány k rozesílání spamu, tak bude používání infiltrovaných šablon a pluginů z warez webů určitě žhavé téma.

Phising a CSRF

Většina bezpečnostních děr vyžaduje, aby uživatel s oprávněním administrátora provedl nějakou akci nevědomky. Jedná se o takzvané Cross-Site Request Forgery (CSRF). Jedná se o komplikované zneužití chyby, často vyžadující souhru náhod. Ve většině případů útočník musí dostat administrátora na určitou stránku. Nejčastěji se k tomu používal iframe a/nebo javascript. V každém případě je nutné, aby byl administrátor přihlášený ke své instalaci. Ideální se tak jeví využít email (phising). Poslat mu zprávu, kde bude odkaz, na který musí kliknout.

Obrana proti tomuto druhu útoku je jednoduchá. Buď nebýt přihlášený k WordPress anebo pro administraci používat jiný prohlížeč. Pozor nesmíte naletět na odkaz v komentáři.

Tento článek byl byl přečten 2870 krát