Na tisuće neažururanih WordPress stranica je ovaj mjesec hakirano i kompromitirano malicioznim kodom.
Svi napadi na stranice slijede sličan urozak – upload malicioznog koda od strane hakera na web stranice koje nisu adekvatno ažurirane.
Vjeruje se da hakeri do pristupa stranici dolaze iskorištavanjem ranjivosti neažurnih i zastarjelih tema i pluginova.
Jednom kad ostvare pristup, kreiraju put za ponovljene ulaske u stranice kako bi dodatno modificirali kod web stranica.
U većini slučajeva se radi o modifikaciji PHP ili JavaScript datoteka putem kojih uploadaju maliciozni kod. Od strane nekih korisnika, međutim prijavljene su i modifikacije baza podataka.
Maliciozni kodovi preusmjeravaju korisnike ovih stranica na neke od mnogobrojnih stranica s online prijevarama.
Obzirom na obrazac kojim je izveden ovaj napad, sumnja se na već otprije poznatog hakera na čijoj su meti na tisuće takvih zastarjelih stranica.
Zašto WordPress kao meta napada?
WordPress sustav za upravaljanje sadržajem (CMS) je u pozadini otprilike 40% web stranica na internetu što mu udjelno daje najveću tržišnu poziciju.
Ovakva popularnost jamči veliku količinu podrške od strane internih, ali i eksternih developera ali čini WordPress web stranice atraktivnom metom za prevarante i hakere.
Prije nego kao vlasnik zabrinete oko razine sigurnosti WordPressa, imajte na umu da je CMS sam po sebi siguran.
On doduše, zahtijeva personalizaciju i kvalitetno upravljanje kako bi se smanjile ranjivosti do kojih može doći zahvaljujući open-source prirodi ove platforme.
Važnost sigurnosnih operacija na WordPressu
Korištenje najboljih praksi za osiguranje WordPressa pomaže spriječiti neautorizirani pristup hakiranim web stranicama.
Ovaj open-source CMS pruža korisnicima i developerima transparentnost u vidu pristupa kodu, ali minuse u vidu potencijalnog iskorištavanja ranjivosti od strane malicioznih pojedinaca.
Uobičajene WordPress ranjivosti i rizici
WordPress sigunosni problemi prisutni su u nekoliko ključnih kategorija, od kojih svaka ima karakterističnu ranjivost putem koje hakeri mogu ostvariti pristup WordPress stranicama.
Pozitivno je to za svaku od tih ranjivosti postoji jednostavan način popravka iste.
Zastarjeli WordPress pluginovi ili teme
Neke od uobičajenih WordPress ranjivosti su zastarjeli pluginovi ili teme.
Kad dođe do problema, WordPress sigurnosni timovi i developeri koji se bave pluginovima i temama tipično puštaju ažuriranja i zakrpe kojima se to ispravlja.
Problem može nastati u tome da upravo takvo ažuriranje indicira i o kojim se ranjivostima radi i onima koji nemaju dobre namjere, poput hakera prevaranata.
Iz ovog razloga je važno pratiti i što prije ažurirati zastarjele pluginove i teme, ali i voditi računa o tome da je i pozadinski software ažuran.
DdoS napadi
Još jedna uobičajena WordPress sigurnosna boljka su ostavljanje WordPress login stranice na defaultnom URL-u nakon instalacije.
Ovim putem hakeri mogu preuzeti kontrolu nad vašom stranicom.
Tipičan način da ovo realiziraju je metoda pokušaja i pogreški uz pomoć koje unose razne kombinacije korisničkih imena i lozinki, dok se ne uspiju uspješno ulogirati na stranicu.
Čak i ako su ovi napadi budu neuspješni, oni mogu rezultirati opterećenjem servera i značajno usporiti rad stranice.
Snažne lozinke su one koje sadrže velika i mala slova u kombinaciji s brojevima i simbolima, a korištenje istih u kombinaciji sa sakrivanjem WordPress login stranice smanjit će mogućnosti ovakvih proboja.
Kako bi se sigurnosne prijetnje dodatno smanjile, potrebno je ograničiti broj pokušaja logina i omogućiti dvofaktorsku autentifikaciju.
DdoS (Distributed denial of service ) napadi se događaju kad hakeri usmjere veliki broj zahtjeva prema web serveru, radi kojeg on usporava ili se sruši.
U ovakvim napadima se tipično koriste inficirana računala dijem svijeta, a ako su usmjerena prema web stranicama putem kojih se odvija poslovanje, potencijalno mogu biti i vrlo skupi.
Loše osiguranje i autorizacija pristupa web stranici
Još jedan način putem kojeg hakeri mogu neautorizirano pristupiti web stranici je kroz loše osiguranje i pogrešno postavljene vjerodajnice.
Kad postavljate svoju web stranicu, WordPress dashboard pruža mogućnost odabira i kreiranja 5 korisničkih rola, svake sa svojom razinom pristupa stranici – administrator, urednik, autor, suradnik i pretplatnik.
Administratorska rola ima i najveća prava te dolazi s neograničenim pristupom cijeloj web stranici što u prijevodu znači da pristupom ovoj roli, haker može izmijeniti apsolutno sve postojeće podatke stranice.
Jedan od načina sprečavanja ove situacije je biti posebno pažljiv s načinom ja koji se dodijeljuju ove vjerodajnice te one trebaju biti dodijeljene isključivo osobama u koje imate povjerenja.
Eliminacija WordPress sigurnosnih ranjivosti i rizika
Uz nabrojane sigurnosne rizike, ne treba zanemariti niti ostale prijetnje poput malwarea i direktnih phishing napada.
Uz adekvatnu IT podršku i cybersigurnosne protokole, prepuštate brigu o sigurnosti profesionalcima. Kvalitetan dnevni backupi stranica jamče i brz povrat izgubljenog sadržaja u slučaju da ipak dođe do hakerskog napada na vašu web stranicu.
Nije potrebno dodatno isticati zašto je ovakva sigurnost važna, osobito ako se radi o stranicama putem kojih polujete i o kojima ovise prihodi vaše organizacije.
Kako biste saznali više i profesionalnoj IT podršci i cyber sigurnosti, kontaktirajte nas još danas.
Naši IT stručnjaci će vam nakon temeljite snimke vaših resursa predložiti i implementirati najbolje rješenje za vaše poslovanje.