Neažurirani pluginovi – Bezbednosni rizik za Vaš sajt

U jednom od naših prethodnih članaka smo razbili mit o tome da iako imate mali i jednostavan sajt to ne znači da on ne može biti napadnut. Mi svaki dan vredno radimo na tome da zaštitimo vaše sajtove (a samim tim i vaš biznis), ali kao i kod svake opasnosti od “zaraze”: prevencija je pola zdravlja.

U ovom članku ćemo vam opisati koje su to posledice po vaš WordPress sajt ukoliko ne vodite računa o ažuriranju dodataka/plugin-ova i tema, kako biste izbegli rizik od kompromitovanja vašeg sajta ili njegovog usporavanja.

Neažurirani dodaci stvaraju dva bitna problema:

  1. Predstavljaju ozbiljan rizik za bezbednost sajta zbog ranjivosti u zastarelom kodu;
  2. Predstavljaju prepreku za ubrzanje stranice zbog nemogućnosti korišćenja najnovijih verzija PHP-a.

Iako se u 90% slučajeva hakovanja radi o WordPress CMS platformi, neažurirani dodaci i moduli takođe su problematični kod Joomla!, Magento i drugih.

Ranjivost neažuriranog dodatka

Sa svakom novom verzijom dodatka ili teme se poboljšava njegov kod, otkrivaju se i otklanjaju bezbednosni propusti iz prethodne verzije i unapređuju performanse. Najveći broj hakovanja se dešava baš zbog toga što se ciljaju propusti ili „rupe“ u neažuriranom kodu.

Kada se za aktivni dodatak otkrije ranjivost ili bezbednosni propust, njegovi programeri reaguju i pravovremeno vrše ispravke u njegovom kodu. Ova ispravka se sadrži u novoj verziji dodatka koju korisnici primenjuju ažuriranjem. Ako korisnici ne ažuriraju dodatak, on ostaje zastareo i na veb-sajtu je otvoren sigurnosni jaz.

Dodaci koji su izostavljeni iz ovakvih prerada u kodu predstavljaju ogroman bezbednosni rizik. Njihovi bezbednosni propusti postaju naširoko poznati i zlonamerni pojedinci ih koriste za masovna hakovanja veb-sajtova. Ovakvi napadi su automatizovani i najbolji način da se spreče je brisanje ovakvog dodatka.

Neažurirani dodaci (aktivni ili neaktivni) nemaju zlonamerni kod koji se može otkriti prilikom skeniranja ili provere datoteka. Ranjivosti u kodu ovih dodataka rezultat su softverskih propusta u njegovoj zaštiti (na primer: ne primenjuju se ispravne provere privilegija prilikom obavljanja određenih funkcija dodataka). Zbog toga se propuštaju spoljni neprovereni zahtevi za izmenu baze podataka, kao da ih podnosi zakoniti administrator veb-sajta. Preventivna zaštita u ovim slučajevima je teška jer upiti ne sadrže zlonamerni kod i koriste legitimne funkcije i naredbe sistema.

Zlonamerni kod se dodaje u bazu podataka i/ili veb-sajt nakon što se iskoristi ranjivost u neažuriranom dodatku.

Nedavno smo bili svedoci ranjivosti WordPress plugin-a Brizy i OneTone teme. Naš tim je zaštitio sve sajtove koji su bili korisnici ovog plugin-a, odnosno teme. Plugin Brizy je bio u fazi aktivnog razvoja, pa je samim tim bilo moguće ažurirati ga na verziju sa otklonjenim sigurnosnim propustima.

Nemogućnost korišćenja nove PHP verzije

Svaka nova verzija PHP-a je sigurnija i brža od prethodne verzije. Na primer – verzija PHP 7.3 je mnogo brža i sigurnija od verzije 5.6 i starijih.

Često se dešava da problematični dodaci ne mogu da rade sa najnovijim PHP verzijama jer njihov kod nije ažuriran. To znači da prilikom pokušaja aktiviranja nove verzije PHP-a sa dodatkom koji je neažuriran, veb-sajt može prestati da se učitava ili se pojavljuju poruke o greškama na njegovim stranicama. Kada se to dogodi, korisnici se u većini slučajeva odluče da žrtvuju sigurnost i ubrzanje veb-sajta, a umesto da uklone problematični dodatak ostaju na staroj verziji PHP-a.

Međutim, postoji rešenje i za WordPress korisnike koji se nađu u ovakvoj situaciji. Od verzije 5.2, sistem ima ugrađenu zaštitu i način da se reše problemi koji se mogu pojaviti nakon aktiviranja nove verzije PHP-a za sajt. Ako vaš sajt ima verziju WordPress-a 5.2 i više, obavezno aktivirajte verziju noviju od 5.6. U suprotnom slučaju, vaš sajt može prestati da se učitava.

Koje su posledice hakovanja preko neažuriranog dodatka?

Posledice su iste kao i hakovanje stranice na bilo koji drugi način – neprijatne.

Ranjivost u neažuriranim dodacima stvara mogućnost pristupa i ubrizgavanja zlonamernog koda u bazu podataka i fajlove veb-sajta. Jednom kada zlonamerni pojedinci dobiju pristup bazi podataka i fajlovima sajta putem dodatka imaće bezbroj mogućnosti:

  • kreiranje dodatnih administrativnih pristupa veb-sajtu tako da više ne moraju pogađati lozinku postojećeg korisnika;
  • instaliranje dodataka, menjanje postavki i korisničkih podataka;
  • postavljanje malicioznih fajlova na hosting nalog što dalje proširuje njihovu zlonamernu aktivnost, poput pokretanja masovnih napada sa pogođenog veb-sajta na druge veb-sajtove i servere;
  • menjanje sadržaja i ponašanja veb-sajta, na primer preusmeravanja na sajtu koje vode na spoljne zlonamerne/lažne veb-sajtove ili slanje zahteva posetiocima da preuzmu zlonamerne fajlove;
  • postavljanje fišing sajtova i slanje masovnih fišing i spam imejlova;
  • bilo koje druge radnje koje mogu naštetiti svim stranama – pogođenom sajtu, veb-sajtovima trećih strana, preduzećima, pojedincima i još mnogo toga;

Mere predostrožnosti:

  • Redovno ažurirajte dodatke, teme i sistem veb-sajta. Postavite sebi zadatak da najmanje jednom mesečno proveravate ažuriranja i primenjujete ih.
  • Uklonite napuštene dodatke sa veb-sajta, zamenite ih aktivnim alternativama.
  • Proverite da li svaki dodatak na veb-sajtu ima aktivnu podršku, razvoj i bezbednosna ažuriranja. Ako je dodatak iz baze podataka WordPress.org, proverite stranicu dodatka za informacije o njemu. Ako vidite da za dodatak nema ažuriranja više od godinu dana, razmislite o tome da ga uklonite i zamenite ga nekim aktivnim dodatkom.
  • Možete da napravite spisak svih dodataka na veb-sajtu: aktivnih i neaktivnih. Zapišite adrese njihovih zvaničnih sajtova i pratite spisak kada redovno proveravate da li postoje ažuriranja. Putem opcije u WordPress-u » Site Health » Info možete da kopirate gotov spisak svih aktivnih i neaktivnih dodataka na veb-sajtu.
  • Potpišite se na novosti koje se odnose na novootkrivene ranjivosti u dodacima najčešće korišćenih CMS platformi. Ako vidite da je bilo koji od dodataka na veb-sajtu proglašen ranjivim, odmah ga ažurirajte. Jedan od takvih sajtova koje možete da pratite je: https://blog.sucuri.net/

Bezbednost i zaštita sajtova kod SuperHosting.RS

Svi hosting nalozi za deljeni hosting su zaštićeni bezbednosnim sistemom SH Protect. Svi veb-sajtovi su zaštićeni od poznatih ranjivosti u dodacima i temama najčešće korišćenih CMS platformi. Sigurnosni sistem se danonoćno skenira kako bi se nove ranjivosti, ukoliko ima takvih, na vreme otkrile. Kada ih otkrije, sistem ažurira i poboljšava sigurnost tako da veb-sajt ostane netaknut naknadnim pokušajima probijanja date ranjivosti.

Sigurnosni sistem periodično skenira fajlove na svim hosting nalozima radi pronalaska zlonamernog koda. U roku od 24 sata se utvrđuje da li postoje novi zlonamerni fajlovi i ako ih ima, uklanjamo ih sa hosting naloga. Mnogi od naših klijenata ni ne shvate da je njihov sajt bio hakovan.

Ne smemo izgubiti iz vida da je sigurnost zajednička odgovornost. Mi brinemo o vašim veb-sajtovima, pratimo proboje u bezbednosti njihovih komponenti i štitimo ih od poznatih ranjivosti. Međutim, i pored toga, naš savet je da redovno proveravate i ažurirate dodatke i teme koje koristite na svojim veb-sajtovima.


Sanja Dinić
Sanja Dinić
Sanja je deo korisničke podrške SuperHosting.RS-a. Voli i pse i mačke. Smatra da ako hoćeš nešto da dobro objasniš, treba da ga objasniš jednostavno. Ljubitelj tamnog piva i još tamnije kafe. Učenje stranih jezika joj nije bilo dovoljno zanimljivo, pa je prešla na programske.
0 0 гласови
.
Pretplata
Obavesti me ukoliko
guest

0 Comments
Уграђене повратне информације
Погледај све коментаре