Počet útoků na redakční systémy roste. Je jedno jestli používáte WordPress, Joomla! anebo Drupal, jakmile je dostatečně rozšířený stává se potenciálně zajímavým. Napadený web se totiž mění v zdroj příjmu pro útočníka, který jej na dálku může ovládat.
CryptoPHP
Nizozemská společnost Fox-IT, která se zabývá internetovou bezpečností, publikovala rozsáhlou zprávu v níž zmiňuje backdoor s názvem CryptoPHP. Ten ohrožuje několik tisíc instalací redakčních systémů WordPress, Drupal a Joomla!, jejichž administrátoři se rozhodli, že si stáhnout z warez webů plnou verzi komerčních pluginů šablon. Právě v nich byl obsažen backdoor CryptoPHP.
Průzkum dopadu DDoS útoků na firmy
Na rozdíl od různých hrozeb internetu pro firmy jsou DDoS útoky značně specifické. Jejich primárním cílen není ohrožení bezpečnosti cíle, ale snaží se jej poškodit v očích jejich zákazníků. Dlouhotrvající nedostupnost stránek anebo rovnou celé služby rozhodně nepůsobí dobře. Navíc pokud společnost potřebuje servery pro provoz služeb znamená to velký problém, který se přímo dotkne jejich podnikání.
Náhodné dlouhé načítání WordPress
Podle mnoha lidí je WordPress velice náročný redakční systém na výkon serveru. Ačkoliv by se o tom dalo samozřejmě spekulovat, většina negativních zkušeností se zakládá na nějakém problému, který často nemusí být na první pohled dohledatelný. Žádná chybová hláška, pro administrátora vše funguje jak má, problém je vidět jen při určitém sledu událostí. S tím jak narůstá počet pluginů v instalaci se může problém skrývat stále hlouběji a být těžko nejen dohledatelný, ale i pozorovatelný.
Backdoor ve WordPress
I když uděláte maximum pro zabezpečení vašeho WordPressu může se stát, že někdo objeví nějakou chybu, s kterou vývojáři pluginu anebo tvůrce vaší šablony prostě přehlédli. Následně dojde k napadení webu a problém je na světě. Vám pak nezbude nic jiného, než celou instalaci obnovit ze zálohy a změnit přístupová hesla. Ve většině případů je toto řešení nejlepší, protože minimalizuje případné bezpečnostní rizika spojená s čištěním následků. Ovšem pokud nebudete důslední, tak můžete přehlédnout jedno velké riziko, které se nazývá backdoor.
Správná přístupová práva k souborům u WordPress
Každý soubor anebo adresář v počítači může mít odlišné nastavení oprávnění. Lze tak docílit toho, že s důležitými soubory nebude moct pracovat žádný program který k tomu nemá oprávnění. Podobně to funguje i na serveru. Vhodným nastavení práv k souborům, lze poměrně slušně zvýšit šanci, že nedojde k narušení bezpečnosti instalace WordPress.
Pokračování textu Správná přístupová práva k souborům u WordPress
Facebook, Twitter a další prvky které zhoršují rychlost webu
Rychlost načtení stránky u právě nainstalovaného WordPress je úžasná. U většiny šablon se v pohodě vlezete pod půl vteřiny i na průměrném sdíleném webhostingu. Jakmile nainstalujete nějaký plugin na cachování obsahu nestačíte se divit jak se projeví na rychlosti webu. Hodnoty v desítkách milisekund nejsou nic výjimečného. No a pak začnete přidávat další věci, které jsou pro dnešní moderní web nezbytné. Měření návštěvnosti přes Google Analytics, tlačítka sociálních sítí (Facebook, Twitter, Google plus) a nějakou tu reklamu ať je na zaplacení hostingu a domény. Jenomže při následném měření už to rozhodně není pastva pro oči. Podle měření společnosti radware způsobují právě různé vložené skripty na třetí stranu přes 50% všech požadavků stránky.
Pokračování textu Facebook, Twitter a další prvky které zhoršují rychlost webu
Skrytí údajů u .cz domény
Často se řeší problém zobrazování osobních údajů u .cz domény. Pokud totiž nějakou doménu vlastníte musíte k ní pravdivě vyplnit i informace o vás jako vlastníkovi. Tyto údaje se ukládají do kontaktu. Kontakt je navenek známí pod identifikátorem, což je libovolná změť čísel a písmen. Většinou vám jej automaticky vytvoří váš registrátor, u kterého je také veden a pak jej spravuje. Samozřejmě na vás je, aby jste dohlédli na správnost údajů. Oficiálně totiž platí, že pokud budou údaje smyšlené, tak o doménu přijdete.
Nebezpečí v Robots.txt
Soubor robots.txt se používá k instruování robotů. Standardní verze slouží pouze pro vkládání instrukcí čemu se mají roboti na webu vyhnout. Můžete přikázat jen konkrétnímu robotovi co má a co nemá procházet, anebo zakázat všem vstup do určitého adresáře. A tady můžeme narazit na bezpečnostní problém.
WordPress šablony využívajících zastaralý plugin Slider Revolution jsou v ohrožení
Útočníci začali aktivně zneužívají kritické zranitelnosti WordPress pluginu Slider Revolution, který využívá poměrně velký počet šblon. Jedná se převážně o automatické útoky robotů, kteří prochází instalace WordPress, hledají konkrétní šablony a testují u nich plugin Slider Revolution. Hrozba se stala velice aktuální, když někdo zveřejnil na fóru konkrétní důkaz zranitelnosti a seznam ohrožených šablon.
Podle provozovatelů honeypotů Trustwave bylo zaznamenáno až 64 aktivních IP adres z kterých směřují útoky.
Pokračování textu WordPress šablony využívajících zastaralý plugin Slider Revolution jsou v ohrožení