Největší hrozby nejen pro WordPress v roce 2016

Rok 2015 je téměř za námi a WordPress z něj vyvázl celkem dobře. Automatické aktualizace jádra rozhodně snížily šance, že někdo zneužije právě objevený zero day exploit. Ovšem i tak byla spousta WordPress zneužita kvůli chybám v pluginech. Bude tomu stejně i v roce 2016?

Uživatelská blbost na prvním místě

Největší slabinou jsou samotní uživatelé. WordPress se dá instalovat na jedno kliknutí a v podstatě se stal takovou běžnou aplikací, jaké si stahujete do mobilu. Nízké znalosti běžných uživatelů, tak bude největší problém i pro rok 2016.

  • Slabá hesla – není co dodat, pokud váš hosting nemá IPS/IDS ochranu anebo si neplatíte drahou službu navíc, tak váš WordPress bude procházet pravidelnými brute force útoky. Ochrana? V první řadě používat silná hesla a vyplatí se i omezit možnost přihlášení.
  • Neaktualizované pluginy – většina lidí dodnes nepochopila, že pluginy se neaktualizují, aby vám rozbily redakční systém, ale kvůli záplatám.
  • Warez pluginy/šablony – ano opravdu exitují warez weby s pluginy a šablonami, které jsou jinak placené. Většinou si však s nimi zanesete do WordPress i nějaký ten backdoor anebo rovnou malware.

XSS a CSRF

Ať si říká kdo chce co chce, tak WordPress je velice dobře opevněný a většina bezpečnostních děr není natolik vážných, aby se útočník dostal přímo do WordPress. Potřebuje k tomu uživatele, ideálně administrátora. Takže se opět budeme setkávat s komentáři nacpanými podivným kódem. Hlavně na nic neklikat a pro jistotu ani nepřejíždět myší. Výhodu budou mít ti, kteří preferují preventivní opatřené proti spamu (captcha, neviditelné políčko) oproti třídění (AKISMET).

Samozřejmě nejlépe uděláme, pokud na WordPress budeme přistupovat přes vybraný prohlížeč a zabezpečíme si instalaci nějakým bezpečnostním pluginem.

DDoS

Ačkoliv se o DDoS psalo celkem hodně, tak krom XMLRPC k nějakým velkým incidentům nedocházelo. DDoS je spíše takovou tichou záležitostí. Nedělá se masově proti všem. Místo toho se vybere oběť a po té požaduje výkupné. Když nezaplatí, tak jí shodí útočníci web. Prozatím se útočilo pouze na větší weby a výpalné bylo několik bitcoin.

Na druhou stranu občas se objeví nějaká ta zpráva o shazování webů konkurence. Ostatně sdílený webhosting toho zas tak moc nevydrží. S DoS si ještě poradíte, ale jakmile útočí armáda IP adres? S tím jak roste počet zombie počítačů v různých botnet klesají i ceny útoků. Místo toho, aby s vámi někdo bojoval ve vyhledávačích o první místo, prostě si raději zaplatí pár dolarů a pro velkou nedostupnost vás z něj pak vyhledávače sami vyřadí.

České republice se tento trend vyhnul anebo se o tom bojí lidé mluvit? V roce 2016 se počet a intenzita DDoS útoků bude zvyšovat. Vzroste i poptávka po placené DDoS ochraně. Bohužel tady není moc co dělat. Nějaké menší DoS útoky ještě zvládnete, DDoS už jedině ve spolupráci s dodavatelem služeb, ovšem ten na něco většího nemusí být připraven. Pak už leda pořídit si nějakou tu službu, která se postará o pročištění.

Vyplatí se problematice věnovat a vědět, na koho se obrátit a kde si takovou službu zřídit. Většinou je nutné přehodit DNS záznamy, takže jejich cachování byste možná měli snížit.

Share Button

Tento článek byl byl přečten 2545 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *