200 000 WordPress vietnes, kurās draud uzbrukums

Pagājušajā nedēļā vairāk nekā 200 000 WordPress vietņu tika paziņots, ka tām varētu būt uzbrukuma risks spraudņa kļūdas dēļ, kas ļauj hakeriem ātri apsteigt vietnes.


Attiecīgais spraudnis bija koda fragments – WordPress spraudnis, kas tīrāk palaiž PHP koda fragmentus. Tas nozīmē, ka jums kā vietnes izstrādātājam vairs nav jāveido pielāgoti fragmenti jūsu vietnes tēmai’s funkcijas .php fails. Izmantojot šo mini spraudni, tiek paplašināta jūsu WordPress vietnes funkcionalitāte, jo jūsu vietnei ir mazāk slodzes. Koda fragmenti uztur tīru jūsu .php failu un efektīvāk tos darbina jūsu vietnē.

Tomēr spraudni ir atklājusi drošības firma Wordfence. Kļūda ļautu hakeriem ievadīt PHP kodu no attāluma bez administratora atļaujas. Kad uzbrucēji bija iefiltrējušies vietnē, viņi varēja izpildīt ļaunprātīgus kodus no jebkuras vietas. Viņi pat varētu izveidot papildu administratora kontus, inficēt vietnes lietotājus un iegūt privātus datus.

Wordfence pētnieki atklāja, ka izstrādātāji ir izveidojuši galvenokārt drošu spraudni un ievērojuši visas pareizās procedūras, taču importēšanas funkcijā joprojām bija ievainojamība, kas nozīmēja, ka spraudni var viegli apdraudēt.

Par laimi spraudņu veidotāji ievainojamību novērsa 25. janvārī, dienu laikā pēc drošības trūkuma atklāšanas. Ikvienam, kurš ir spraudņa Code Snippet lietotājs, jāpārliecinās, ka viņš izmanto versiju 2.14.0. Ja jūs izmantojat vecāku spraudņa versiju, jūs, jūsu vietne un pat jūsu vietnes apmeklētāji var būt neaizsargāti pret uzbrukumiem. Nekavējoties atjauniniet uz ielāpoto versiju, lai pārliecinātos, ka jūsu vietne ir droša.

Saskaņā ar jaunākā atjauninājuma lejupielādētajiem datiem aptuveni 58 000 spraudņu lietotāju ir atjauninājuši spraudni, bet 140 000 administratori joprojām izmanto veco versiju, kas nozīmē, ka viņu vietne joprojām ir viegli uzbrūkoša..

Nesenai kļūdai sekoja vēl viens uzbrukums tūkstošiem WordPress vietņu, kuras bija inficējušas sliktā JavaScript. Ļaunprātīgais JavaScript tika ieviests, lai mēģinātu reklamēt surogātpastu vietnes.

Izmantojot šos JavaScript ievainojamības, hakeri spēja ieviest JavaScript, kas sāka cilpu un vairākas novirzīšanas uz “aptauja dāvanām” vietnēs. Lietotāji, kas nenojauš, var tikt piekrāpti, ka viņi atsakās no personīgās informācijas vai pat nejauši datoros instalē ļaunprātīgu programmatūru.

Vietņu drošības un vietņu ļaunprātīgas programmatūras noņemšanas uzņēmums Sucuri bija pirmais, kurš pamanīja šos sliktos dalībniekus. Sukurijs izplatīja paziņojumu, sakot, “Diemžēl vietņu īpašniekiem šī ļaunprātīgā JavaScripts var veikt turpmākas modifikācijas esošajos WordPress motīvu failos, izmantojot failu /wp-admin/theme-editor.php. Tas viņiem ļauj injicēt papildu ļaunprogrammatūru, piemēram, PHP aizmugurējās durvis un hakeru rīkus, citiem motīvu failiem, lai viņi varētu turpināt neatļautu piekļuvi inficētajai vietnei.,”

Tā kā šie hakeri ir ļaunprātīgi izmantojuši administratora funkcijas, lai izveidotu viltotus direktorijus, viņi, zip saspiežot failus, var radīt vēl lielāku ļaunprātīgu programmatūru. Sucuri ziņoja, ka ir inficētas 2000 vietas. Lai apturētu problēmu, Sucuri “mudina vietņu īpašniekus atspējot primāro mapju modifikāciju, bloķējot hakeriem ļaunprātīgu failu ievietošanu, vai arī kā daļu no WordPress drošības sacietēšanas un drošības paraugprakses.”

WordPress vietņu īpašniekiem jābūt īpaši rūpīgiem, lai viņu vietne būtu pasargāta no hakeriem. Pēc Sucuri teiktā, WordPress veido 90% no kompromitētajām vietnēm. Magento un Joomla vietnes veido attiecīgi tikai 4,6% un 4,3% no apdraudētajām vietnēm.

Iemesls, kāpēc WordPress ir tik neaizsargāts pret uzbrukumiem, ir saistīts ar milzīgo satura pārvaldības sistēmas (CMS) popularitāti. Tā kā WordPress darbojas tik daudz vietņu un ir atvērts avots, tas nozīmē, ka hakeri var atrast vairāk iespēju izmantot nenojaušus lietotājus.

Viens no vienkāršākajiem veidiem, kā saglabāt savu WordPress vietni, ir regulāri atjaunināt WordPress. Ar katru jaunu tēmu, spraudņu utt. Izlaidumu tiek uzlabota WordPress un tā drošība, kā arī ievainojamības.

Tāpēc daži iesācēji un pat pieredzējuši WordPress izstrādātāji izvēlas pārvaldīt WordPress mitināšanu. Tas atvieglo visu vietnes spraudņu atjaunināšanu, jo jūsu mitināšanas pakalpojumu sniedzējs parūpēsies par visu spraudņu atjaunināšanu jūsu vietā. Ja jūs don’Lai zinātu, kas nepieciešams, lai jūsu vietne tiktu atjaunināta, ir laba ideja ieguldīt šāda veida mitināšanā.

Ja jūs don’t ir pārvaldījuši WordPress mitināšanu, jums regulāri būs jāatjaunina sava WordPress vietne. Atklājot ļaunprātīgu kļūdu vai ievainojamību, WordPress atbalsta komanda parasti jums nosūta paziņojumu, lai piespiestu jūs atjaunināt vietni.

Vietnes WordPress atjaunināšana ir ļoti vienkārša. Atliek tikai noklikšķināt “Atjaunināt” informācijas panelī, un parasti būs nepieciešamas tikai dažas sekundes, lai pārliecinātos, ka vietne ir droša. Jums, iespējams, vajadzēs arī doties uz “Instalētie spraudņi” un “Izskati / motīvi” lai pārliecinātos, ka izmantojat katra spraudņa un motīva jaunāko versiju. Jūs’Jūs varēsit viegli redzēt, kurš no tiem ir novecojis. Dažas minūtes, lai to izdarītu ik pēc pāris nedēļām, ir ļoti svarīgas vietnes drošībai.

Drošas WordPress vietnes nodrošināšana to nedara’t jābūt neiespējamam. Pārliecinieties, ka jūsu vietne tiek atjaunināta, lai tā būtu aizsargāta no hakeriem.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me