Популарни CMS систем WordPress покреће готово 20% свих веб сајтова на интернету. Екипа из Automaticc-a може да се похвали овом импресивном бројком пре свега захваљујући великим могућностима проширења, једноставности коришћења и одличној подршци заједнице.
Али тако масовно коришћен систем је често мета напада. Свакодневно се дешавају „обарања“ WP сајтова, дифејсовања (замена почетне или свих страна сајта страном нападача), убацивања малициозног кода, преусмеравања на малициозне сајтове и многе друге врсте напада које могу озбиљно да поремете или прекину нормално функционисање сајта, као и да донесу губитке (информација, новца, пословне репутације) власнику.
На прву лопту, рекли би да WP није веома сигуран систем. Као и сваки други CMS, и WordPress има сигурносне пропусте, али развојни тим их уочи још у бета верзији и на време их санирају. У чему је онда проблем? Један од проблема се налази управо у томе за шта смо рекли да је највећа предност WordPressа: могућности проширења. Под проширењем подразумевамо додавање нових функционалности путем додатака (плугинс) и тема. Како додатке и теме може било ко (са одговарајућим знањем) да креира и објави, долазимо до сазнања шта је један од главних извора сигурносних пропуста у WordPress-у (али не и једини).
Лоше написани, застарели или неажурни додаци и теме
Велики број додатака и тема за WP који су присутни, подразумевају и то да су људи различитих способности креирали исте, што значи да је одређен број њих „шупаљ“ (додаци и теме, не људи). Наравно, као и сваки софтвер, неке теме и додаци ће временом бити напуштени од својих креатора, тако да ће се временом, са застарелим кодом, појавити и сигурносне рупе које неће имати ко да закрпи. Пре него што се одлучите да инсталирате нешто, проверите када је девелопер избацио последњу верзију, коментаре других корисника, оцене. Преузимање додатка и тема са WordPress.org није гарант да ће они радити без проблема и бити поптуно безбедни. Тај репозиторијум је огроман и није могуће константно контролисати све додатке. Наравно, далеко је вероватније да ћете на проблематичан додатак налетети уколико исти преузимате са неповереног места.
Вреди поменути и колико је битно редовно ажурирање додатака и тема. Поред нових могућности и оптимизација које могу да донесу, нове верзије доносе и исправке сигурносних пропуста, што значајно доприноси сигурности сајта и може вас спасити од новооткривених сигурносних рупа. Уколико имате већи број WP сајтова, ажурирање може да вам одузме добар део времена. Ту вам од користи могу бити системи попут ManageWP (домаћег аутора) или InfiniteWP, уз помоћ којих можете ажурирати додатке, теме а и сам WordPress на великом броју сајтова за веома кратко време.
Нуловани додаци и теме
Уколико не знате шта ово значи, можда ће вам следећи термини бити јаснији: украдени, крековани, нелегално преузети додаци и теме, који се иначе плаћају (премијум). Додаци и теме које се налазе на WordPress.org репозиторијуму су бесплатни и слободни за преузимање и углавном су под GPL2 лиценцом. Постоје опречни ставови о томе да ли WP додаци и теме могу уопште да се продају: креатори WordPressа тврде да продавање тема и додатака није легално ни у складу са слободном природом тог система, људи који креирају „премиум“ теме/додатке и продају их тврде супротно.
Како год, чињеница је да су „пиратске“ копије премијум тема и додатака веома привлачне за кориснике са плићим џепом и великим захтевима. Оне се углавном могу наћи на филе схаринг сајтовима и сличним местима. Проблем је што у великој већини случајева оне садрже убачен малициозни код, уз помоћ ког нападач може да преузме контролу над сајтом. Дакле, уколико нисте довољно стручни да проверите код теме/додатка и утврдите да ли садржи малцииозни код – држите се бесплатних алтернатива или платите за оригиналну премиум верзију.
Слабе лозинке
Сложеност лозинке је један од битних фактора безбедности било ког система. Када говоримо о WordPress-у, слаба лозинка је такође један од начина да нападач добије приступ сајту. Извођењем brute force и других врста напада могу се релативно лако „провалити“ једноставније лозинке, као и оне најучесталије. Неколико примера таквих лозинки (које апсолутно никада не би требало да употребљавате): 12345, password, pass, lozinka…
Најбоље је користити сложене лозинке које поред слова и бројева, укључују и специјалне знакове (&, #, ?, * итд.). Поред овога, увек је препоручљиво променити подразумевано корисничко име администратора. Након инсталације WordPressа, подразумевано корисничко име администратора је „admin“. Да би се приступило администраторском делу, потребна је комбинација корисничког имена и лозинке. Како се име „admin“ налази на огромном броју сајтова, то нападачу знатно олакшава посао. Корисничко име администратора није могуће променити без чепркања по мyсqл бази сајта или без инсталације додатка за ту намену.
Рањив хостинг сервер
Чак и да је ваша WP инсталација добро осигурана, опет постоји начин да сајт буде успешно нападнут. Али овог пута је то на „вишем“ нивоу.
На тржишту постоји велики број хостинг компанија које нуде услуге различитог нивоа квалитета. Поред добрих компанија које се брину о безбедности својих клијената и нуде квалитетну услугу, ту су и оне лоше. Њима се догађају разноврсни сигурносни пропусти:
• Неажуран и рањив софтвер на серверу, преко ког је могуће извести нападе на било који сајт који се налази на том серверу, а обично се налази велики број, поготово када говоримо о дељеном (shared) хостингу.
• Лоше конфигурисан хостинг сервер
• Један сајт са озбиљним сигурносним пропустима може да угрози све сајтове на вашем хостинг налогу или чак читав хостинг сервер (поготово ако је овај лоше конфигурисан). Ово се често дешава хостинг компанијама које не обављају редовне сигурносне провере фајлова.
Зато је потребно добро се информисати приликом избора хостинг компаније. Цена не треба да буде пресудан фактор при одлучивању. Добро се информишите о искуствима других, и држите се познатијих компанија са добром репутацијом.
Важно је поменути и да је највећи број напада на сајтове – аутоматизован, делимично или потпуно. Масовни напади на мање и средње сајтове базиране на популарним CMS платформама попут WordPressа, Joomle и других су честа појава, а још чешћа када се открије рањивост у неком од наведених система. Недавно је рањивост у „Slider Revolution“ (revslider) додатку за WordPress довела до тога да је око 100 000 сајтова (а вероватно и више) заражено малициозним кодом, који је добио назив СоакСоак по истоименом сајту на .ру домену на који је малициозни код преусмеравао посетиоце (а ту је било и другачијих напада који су омогућени безбедносним пропустом у поменутом додатку).
И поред свих сигурносних мера, увек постоји одређени ниво ризика по ваш сајт и он никада не може бити у потпуности неутрализован (100% безбедан сајт), али на вама је да ризик сведете на минимум, и да увек, али увек поседујете резервну копију (бекап) фајлова и базе података[:en]Популарни CMS систем WordPress покреће готово 20% свих веб сајтова на интернету. Екипа из Automaticc-a може да се похвали овом импресивном бројком пре свега захваљујући великим могућностима проширења, једноставности коришћења и одличној подршци заједнице.
Али тако масовно коришћен систем је често мета напада. Свакодневно се дешавају „обарања“ WP сајтова, дифејсовања (замена почетне или свих страна сајта страном нападача), убацивања малициозног кода, преусмеравања на малициозне сајтове и многе друге врсте напада које могу озбиљно да поремете или прекину нормално функционисање сајта, као и да донесу губитке (информација, новца, пословне репутације) власнику.
На прву лопту, рекли би да WP није веома сигуран систем. Као и сваки други CMS, и WordPress има сигурносне пропусте, али развојни тим их уочи још у бета верзији и на време их санирају. У чему је онда проблем? Један од проблема се налази управо у томе за шта смо рекли да је највећа предност WordPressа: могућности проширења. Под проширењем подразумевамо додавање нових функционалности путем додатака (плугинс) и тема. Како додатке и теме може било ко (са одговарајућим знањем) да креира и објави, долазимо до сазнања шта је један од главних извора сигурносних пропуста у WordPress-у (али не и једини).
Лоше написани, застарели или неажурни додаци и теме
Велики број додатака и тема за WP који су присутни, подразумевају и то да су људи различитих способности креирали исте, што значи да је одређен број њих „шупаљ“ (додаци и теме, не људи). Наравно, као и сваки софтвер, неке теме и додаци ће временом бити напуштени од својих креатора, тако да ће се временом, са застарелим кодом, појавити и сигурносне рупе које неће имати ко да закрпи. Пре него што се одлучите да инсталирате нешто, проверите када је девелопер избацио последњу верзију, коментаре других корисника, оцене. Преузимање додатка и тема са WordPress.org није гарант да ће они радити без проблема и бити поптуно безбедни. Тај репозиторијум је огроман и није могуће константно контролисати све додатке. Наравно, далеко је вероватније да ћете на проблематичан додатак налетети уколико исти преузимате са неповереног места.
Вреди поменути и колико је битно редовно ажурирање додатака и тема. Поред нових могућности и оптимизација које могу да донесу, нове верзије доносе и исправке сигурносних пропуста, што значајно доприноси сигурности сајта и може вас спасити од новооткривених сигурносних рупа. Уколико имате већи број WP сајтова, ажурирање може да вам одузме добар део времена. Ту вам од користи могу бити системи попут ManageWP (домаћег аутора) или InfiniteWP, уз помоћ којих можете ажурирати додатке, теме а и сам WordPress на великом броју сајтова за веома кратко време.
Нуловани додаци и теме
Уколико не знате шта ово значи, можда ће вам следећи термини бити јаснији: украдени, крековани, нелегално преузети додаци и теме, који се иначе плаћају (премијум). Додаци и теме које се налазе на WordPress.org репозиторијуму су бесплатни и слободни за преузимање и углавном су под GPL2 лиценцом. Постоје опречни ставови о томе да ли WP додаци и теме могу уопште да се продају: креатори WordPressа тврде да продавање тема и додатака није легално ни у складу са слободном природом тог система, људи који креирају „премиум“ теме/додатке и продају их тврде супротно.
Како год, чињеница је да су „пиратске“ копије премијум тема и додатака веома привлачне за кориснике са плићим џепом и великим захтевима. Оне се углавном могу наћи на филе схаринг сајтовима и сличним местима. Проблем је што у великој већини случајева оне садрже убачен малициозни код, уз помоћ ког нападач може да преузме контролу над сајтом. Дакле, уколико нисте довољно стручни да проверите код теме/додатка и утврдите да ли садржи малцииозни код – држите се бесплатних алтернатива или платите за оригиналну премиум верзију.
Слабе лозинке
Сложеност лозинке је један од битних фактора безбедности било ког система. Када говоримо о WordPress-у, слаба лозинка је такође један од начина да нападач добије приступ сајту. Извођењем brute force и других врста напада могу се релативно лако „провалити“ једноставније лозинке, као и оне најучесталије. Неколико примера таквих лозинки (које апсолутно никада не би требало да употребљавате): 12345, password, pass, lozinka…
Најбоље је користити сложене лозинке које поред слова и бројева, укључују и специјалне знакове (&, #, ?, * итд.). Поред овога, увек је препоручљиво променити подразумевано корисничко име администратора. Након инсталације WordPressа, подразумевано корисничко име администратора је „admin“. Да би се приступило администраторском делу, потребна је комбинација корисничког имена и лозинке. Како се име „admin“ налази на огромном броју сајтова, то нападачу знатно олакшава посао. Корисничко име администратора није могуће променити без чепркања по мyсqл бази сајта или без инсталације додатка за ту намену.
Рањив хостинг сервер
Чак и да је ваша WP инсталација добро осигурана, опет постоји начин да сајт буде успешно нападнут. Али овог пута је то на „вишем“ нивоу.
На тржишту постоји велики број хостинг компанија које нуде услуге различитог нивоа квалитета. Поред добрих компанија које се брину о безбедности својих клијената и нуде квалитетну услугу, ту су и оне лоше. Њима се догађају разноврсни сигурносни пропусти:
• Неажуран и рањив софтвер на серверу, преко ког је могуће извести нападе на било који сајт који се налази на том серверу, а обично се налази велики број, поготово када говоримо о дељеном (shared) хостингу.
• Лоше конфигурисан хостинг сервер
• Један сајт са озбиљним сигурносним пропустима може да угрози све сајтове на вашем хостинг налогу или чак читав хостинг сервер (поготово ако је овај лоше конфигурисан). Ово се често дешава хостинг компанијама које не обављају редовне сигурносне провере фајлова.
Зато је потребно добро се информисати приликом избора хостинг компаније. Цена не треба да буде пресудан фактор при одлучивању. Добро се информишите о искуствима других, и држите се познатијих компанија са добром репутацијом.
Важно је поменути и да је највећи број напада на сајтове – аутоматизован, делимично или потпуно. Масовни напади на мање и средње сајтове базиране на популарним CMS платформама попут WordPressа, Joomle и других су честа појава, а још чешћа када се открије рањивост у неком од наведених система. Недавно је рањивост у „Slider Revolution“ (revslider) додатку за WordPress довела до тога да је око 100 000 сајтова (а вероватно и више) заражено малициозним кодом, који је добио назив СоакСоак по истоименом сајту на .ру домену на који је малициозни код преусмеравао посетиоце (а ту је било и другачијих напада који су омогућени безбедносним пропустом у поменутом додатку).
И поред свих сигурносних мера, увек постоји одређени ниво ризика по ваш сајт и он никада не може бити у потпуности неутрализован (100% безбедан сајт), али на вама је да ризик сведете на минимум, и да увек, али увек поседујете резервну копију (бекап) фајлова и базе података.
WordPress je danas najpopularniji CMS. Lako se instalira, podešava i koristi, ali ima određene probleme sa bezbednošću, baš kao što ste ovde i napisali.
Ja sam se bavio ovom temom na malo drugačiji način, pa Vas pozivam da posetite i naš blog i pogledate o čemu sve treba razmišljati kada je reč o zaštiti WordPressa.
http://mindstorming.ws/zastita-wordpress-sajta/