WordPress jest niesamowity z wielu powodów, ale nie jest on pozbawiony wad. Dość częste problemy sprawiają jego wtyczki (plugins), które z założenia mają wspierać i rozbudowywać WP. Chyba każdy z nas natknął się kiedyś na problem związany z wtyczką, która powodowała nieprawidłowe działanie witryny. 

Tym razem problem pojawił się znowu, ale znacznie poważniejszy i na masową skalę. Odkryto poważne luki w zabezpieczeniach starszych wersji popularnych wtyczek ThemeGrill i Code Snippets, które mogą prowadzić do przejęcia niezaktualizowanych stron internetowych.

W tym artykule dowiesz się, jak zawczasu uchronić się przed niebezpieczeństwem związanym z użytkowaniem WordPressa oraz jak reagować w przypadku podejrzenia zagrożenia.

O zagrożeniu związanym ze starszą wersją wtyczki ThemeGrill Demo Importer

18 lutego została ujawniona poważna luka w działaniu wtyczki ThemeGrill. Dotyczy ona wersji od 1.3.4 do 1.6.1. Dnia 19 lutego, narażonych na przejęcie konta było co najmniej 40 tysięcy użytkowników.

Problem dotyczy użytkowników, którzy posiadają aktywną wtyczkę i którzy w momencie instalacji WordPressa na swoją nazwę konta wybrali “admin”. Atakujący może wykorzystać ten fakt, żeby wyczyścić bazę danych i przywrócić ją do stanu początkowego, a następnie przejąć kontrolę nad kontem administratora. Jest to poważny problem, ponieważ czynność ta nie wymaga żadnych dodatkowych działań, a zapora firewalla nie jest w stanie tego wykryć.

Błąd naprawisz aktualizując wtyczkę do najnowszej wersji. W związku z tym zalecamy sprawdzenie, czy masz zainstalowaną wtyczkę ThemeGrill Demo Importer w panelu administracyjnym WordPressa oraz przeprowadzenie natychmiastowego odświeżenia komponentu w przypadku starszej wersji. Możesz to zrobić w panelu WordPressa w zakładce wtyczki

O zagrożeniu związanym ze starszą wersją wtyczki Code Snippets

23 stycznia zespół analityków Wordfence odkrył słaby punkt starszych wersji wtyczek Code Snippets, który może pozwolić atakującym na przejęcie witryny, które posiadają ten plugin. Zagrożenie dotyczy osób, które nie zaktualizowały jeszcze wersji wtyczki do 2.14.0.
W chwili znalezienia luki, zagrożonych było ponad 200 tysięcy stron internetowych. 5 lutego, bazując na danych z repozytorium wtyczek WordPressa, jest ich ponad 140 tysięcy.

Code Snippets pozwala witrynom WordPressa uruchamiać pewne fragmenty kodu PHP w celu dodania funkcji bez potrzeby używania kolejnych wtyczek. Ponadto można użyć wcześniej przygotowanego kodu, aby przyspieszyć cały proces. Jest to przydatne narzędzie dla osób, które nie posiadają umiejętności programistycznych do samodzielnego pisania wtyczek. Nawet jeśli jej nie instalowałeś, to mógł to zrobić ktoś inny, np. twórca strony w celu ułatwienia sobie pracy. Z tego powodu zalecamy sprawdzenie, czy wtyczka jest zainstalowana. Możesz to zrobić w panelu WordPressa w zakładce wtyczki. 

Niestety Code Snippets ma problem z funkcją odpowiedzialną za importowanie gotowego pliku z kodem źródłowym. Zawodzi ona na samym starcie, nie sprawdzając dokładnie źródła i bezpieczeństwa kodu. Oznacza to, że ​​użytkownicy mogą nieświadomie importować i uruchamiać złośliwy kod. Może to prowadzić do otwarcia witryny na różne ataki – w tym umożliwić hakerom wykonywanie poleceń bez dostępu do panelu administratora.
Błąd możliwy jest do naprawienia poprzez aktualizację wtyczki do wersji 2.14.0. Z tego powodu zalecamy sprawdzenie, czy masz zainstalowaną wtyczkę w panelu administracyjnym WordPressa oraz przeprowadzenie natychmiastowego odświeżenia komponentu w przypadku starszej wersji. Możesz to zrobić w panelu WordPressa w zakładce wtyczki.

Najnowsza wersja rozszerzenia możliwa jest do pobrania również bezpośrednio z repozytorium wtyczek WP.

Zagrożenia związane z wtyczkami WordPressa

Należy mieć świadomość, że instalacja wtyczek, zawsze niesie za sobą ryzyko związane z ich niepożądanym działaniem. Spowodowane jest ono zazwyczaj błędami w kodzie lub konfliktem kilku wtyczek, zazwyczaj o podobnym działaniu. Do uciążliwych następstw można zaliczyć obniżenie prędkości ładowania strony lub nawet jej wyłączenie. W sieci istnieje wiele zagrożeń związanych z nieoczekiwanym działaniem wtyczek, z których największe to:

  • nielegalne pozyskiwanie danych,
  • wyłudzenie i oszustwo internetowe,
  • włamanie sieciowe,
  • infekcja wirusowa,
  • spam.

Przykłady problemów ze znanymi wtyczkami

Code Snippets nie jest jedyną wtyczką, w której znaleziono problem z bezpieczeństwem. Przedstawiamy inne znane pluginy wraz z krótkim opisem, które w swojej przeszłości posiadały luki i szkodziły stronom internetowym. Wiele z nich zostało pobranych tysiące razy.

Rodzaj wtyczkiOpis problemu
WP Super Cache i W3TC (wtyczki cache, które mają za zadanie skrócić czas ładowania strony WP)Wtyczki mogły przekazywać dowolne polecenia na serwer i je wykonywać. Omijały różne formy kontroli uwierzytelniania.
Duplicator(wtyczka pozwalająca przenieść WP pomiędzy serwerami)Haker za pomocą pliku installer.php/installer-backup.php miał możliwość wgrania konia trojańskiego i uzyskać dostęp do plików na serwerze oraz bazy danych.
Revolution Slider(wtyczka oferująca rozbudowaną funkcję slidera)Po zainstalowaniu wtyczki strona była podatna na nieuwierzytelnione zdalne przesyłanie plików.
WP MultiLingual(wtyczka WP do tłumaczenia i udostępniania stron WP w wielu językach)
Poprzez lukę w zabezpieczeniach, osoby trzecie  mogły tworzyć nowe konta administratorów.
TimThumb (skrypt służący do skalowania obrazków)Atakujący mógł określić adres URL i podszyć się pod dowolną stronę, która użyła TT. Tym samym przesłać do katalogu cache złośliwy skrypt, który był wykonywany na serwerze.

To tylko przykłady problemów związanych z najbardziej znanymi rozszerzeniami WordPressa. Istnieją jeszcze dziesiątki innych problemów związanych z mniej znanymi wtyczkami. Lista z ich nazwami i rodzajem zagrożenia dostępna jest tutaj.

Inne problemy z wtyczkami

Warto też wspomnieć o pluginach, które są powszechnie znane, ale czasami mogą bardziej zaszkodzić, aniżeli pomóc. Należą do nich wtyczki:

  • Zabezpieczające, np. Wordfence Security, iThemes Security,
  • Mierzące statystyki, np. WP Statistics, WP PostViews,
  • Mailingowe, np. MailPoet, Email Subscribers,
  • Odpowiadające za zapasową kopię danych, np. BackWPup,
  • Odpowiadające za wygląd strony, np. wp-tab-widget.

Wtyczki te w różnym stopniu powodują obciążenie strony internetowej, szczególnie jeśli są nieprawidłowo skonfigurowane. Z czasem zajmują coraz więcej miejsca na serwerze. W rezultacie mogą powodować problemy wydajnościowe witryny. 

Jak zapewnić sobie bezpieczeństwo w WordPressie

Bezpieczeństwo w WordPressie od zawsze było kluczową kwestią, zwłaszcza gdy strona internetowa ciągle powiększa się o nowe treści i chcesz zapewnić ochronę sobie oraz użytkownikom. 

Jednym z niekorzystnych przypadków, do którego może dojść w wyniku umieszczenia niepożądanego kodu, to włamanie na Twoją stronę internetową i wyciek danych. Dodatkowo, nawet jeśli odzyskasz dostęp do konta i pozbędziesz się intruza, Google może usunąć ze swojej bazy witrynę, na którą się włamano.

Obawiasz się, że Twoja strona może być zawirusowana? 

Utrwalmy i uzupełnijmy wiedzę, o której już pisaliśmy na naszym blogu:

  • Wszystkim użytkownikom WP przypominamy o bieżącym przeprowadzaniu aktualizacji. Dotyczą one samego systemu WP, jak i wtyczek oraz motywów. Przy czym zalecamy ostrożne wykonywanie głównych aktualizacji WordPressa zmieniających sposób funkcjonowania podstawowych funkcji. Twoje obecne wtyczki i motywy muszą zostać odpowiednio przetestowane i dostosowane do najnowszej wersji. Zmiana z reguły poprzedzona jest zauważalnym komunikatem od serwisu. Możesz ją poznać po pierwszym numerze wersji. Przykład: aktualne wydanie to 5.3.2, natomiast następnym będzie 6.0.1. Wersję WP możesz sprawdzić w kokpicie, klikając na “Aktualizacje”. 

Zalecamy również rezygnację z niewspieranych komponentów przez Twoją wersję WordPressa. Rozpoznasz je po tym, że programista odpowiedzialny za obsługę danej wtyczki, przestał już to robić. Wskazywać może na to informacja, do której wersji WordPressa wtyczka była testowana, odległa data ostatniej aktualizacji wtyczki oraz zgłoszone problemy związane z jej działaniem, na które nie ma odpowiedzi. Informacje te, możesz sprawdzić w repozytorium wtyczek WP. W przypadku niewspieranych i nieaktualnych pluginów należy rozważyć ich dezinstalację oraz zamianę na inne, podobne w działaniu i aktualne komponenty.

Informacje o wszystkich usprawnieniach i stanie witryny znajdziesz w panelu WP w zakładce “Narzędzia”

Chcesz, żeby ktoś wykonał aktualizacje za Ciebie?

  • Zawsze staraj się używać wtyczek i szablonów pochodzących od zaufanych dostawców. Najpopularniejszą bazę dostarcza WordPress. Unikaj pobierania dodatków ze źródeł takich jak fora dyskusyjne lub torrenty. To właśnie w tych miejscach najprościej dostać wtyczkę, w której kod źródłowy został już wcześniej zmodyfikowany przez hakera i tylko czeka na swoje ofiary.
  • Zmień sposób, w jaki się logujesz. Zalecamy wdrożenie dwuetapowej weryfikacji – do wyboru masz potwierdzenie mailowe lub mobilne. Możesz wykorzystać do tego odpowiednią wtyczkę, jedną z nich jest Google Authenticator. W szczególności nakłaniamy do tego osoby, które w procesie zakładania konta, na swoją nazwę użytkownika wybrały “admin”. Ułatwia to pracę hakera, skracając czas potrzebny mu na uzyskanie niepożądanego dostępu.
  • Utwórz skomplikowane hasło. Jeśli nie chce ci się zapamiętywać i ciągle wklepywać skomplikowanych znaków, z pomocą przychodzi program taki jak Password Safe. Pozwoli ci on w prosty i bezpieczny sposób zapisywać dowolną ilość haseł dla wybranych źródeł bez tracenia czasu.
  • Rób samodzielną kopię zapasową danych. Przyda ci się ona w szczególności do przywrócenia funkcjonalności systemu w razie niepożądanych awarii. Backupy przechowywane są na oddzielnych nośnikach i umożliwiają natychmiastowe odzyskanie skopiowanych wcześniej plików oraz baz danych.
  • Aktualizuj wersję PHP do najnowszej. Jeśli strona używa starszych wersji PHP, narażona jest na problemy techniczne i ataki hakerskie.
  • Wybierz profesjonalnego dostawcę hostingu. Najważniejsze jest, żeby dostawca hostingu działał na solidnych i wydajnych serwerach. Jeśli Twojej stronie internetowej przydarzy się coś złego, profesjonalny dostawca hostingu powinien pomóc Ci zmniejszyć szkody oraz wesprzeć w tym stresującym okresie, znajdując najlepsze rozwiązania.
  • Upewnij się, że strona posiada aktywny certyfikat SSL. Ma to szczególne znaczenie dla użytkowników witryny. Dane klientów niezabezpieczone protokołem HTTPS, mogą zostać przejęte przez osoby trzecie podczas operacji zakupowych.

Bezpieczeństwo w WordPressie. Podsumowanie.

Najważniejsza zasada, której powinieneś przestrzegać, to rutynowe aktualizowanie wtyczek oraz wszystkich innych elementów. Jeśli pojawi się taka możliwość, może to oznaczać, że zostały poprawione błędy. Wtyczki należy zawsze pobierać z zaufanych źródeł. Należy patrzeć na ich oceny i sugerować się opiniami użytkowników. Hasło do panelu administracyjnego powinno być trudne do odgadnięcia, W przypadku jeśli posiadasz na swojej stronie coś wartościowego, np. bazy danych klientów, zakupione wtyczki, powinieneś rozważyć logowanie dwuetapowe. Zawsze wykonuj samodzielne kopie zapasowe i aktualizuj wersję PHP do najnowszej.

Dodatkowo zalecamy cykliczne usuwanie nieużywanych komponentów oraz wykonywanie dokładnego skanowania antywirusowego.

Twoja strona działa wolno i obawiasz się poważniejszych problemów?

Komentarze