Dziury zdarzają się w każdym oprogramowaniu. Im popularniejsze, tym większa szansa, że ktoś znajdzie w niej jakąś lukę. Taką luką była ostatnio podatność w bardzo popularnej wtyczce GDPR Compliance. Dziura była szybko załatana przez twórców wtyczki, ale przeglądając fora internetowe, nawet krótki czas wystarczył, żeby infekcje stron www pojawiały się błyskawicznie. Wcześniej podobną falą infekcji były ataki przez wtyczkę Duplicator.
Jak zabezpieczyć WordPressa przed infekcją?
Na ten temat powstają ogromne opracowania, ale można przyjąć, że generalną zasadą jest aktualność motywów, pluginów oraz samego systemu WordPress. Oczywiście można wykonywać różne inne formy zabezpieczeń, ale początkującym użytkownikom stała aktualność systemu powinna znacznie podnieść poziom odporności na włamania.
A co, jeżeli aktualność systemu nie wystarczy jako zabezpieczenie?
Czasem bywa tak, że w oprogramowaniu pojawia się luka. Dopóki twórcy oprogramowania nie załatają luki i nie udostępnią nowej wersji oprogramowania do pobrania, może się zdarzyć, że strona jest podatna na włamanie. W takim przypadku można np. wyłączyć „dziurawą” wtyczkę i czekać na jej aktualizację. Nie zawsze udaje się to zrobić wystarczająco szybko …
Jakie są efekty włamania na stronę internetową?
Gdy oprogramowanie ma podatność, najczęstszym sposobem ataku jest doklejenie fragmentu kodu do istniejących na serwerze plików. Te fragmenty z reguły są zakodowane do nieczytelnej dla zwykłego użytkownika formy. Po doklejeniu kodu do plików mogą powodować one różne efekty, np.:
- wysyłkę spamu,
- uruchomienie konsoli (tzw. bind shell), który może posłużyć do „otwarcia” serwera dla włamywaczy do wykorzystania w przyszłości,
- oczekiwanie na znak do wzięcia udziału w ataku DDoS (Distributed Denial of Service) na jakieś inne strony internetowe (np. witryny banków czy urzędów),
- wyświetlanie zawartości linkującej do innych stron (forma linków),
- podszywanie się (phishing) – wyświetlanie np. fałszywej strony banków czy systemów płatności służące wyłudzaniu danych.
Każda z tych najpopularniejszych efektów ataku jest bardzo niekorzystna i należy zrobić wszystko, żeby taki wklejony kod nie znalazł się na naszej stronie internetowej.
Jak wygląda włamanie na WordPressa?
Poniżej zamieszczamy przykładowy plik, który został infekowany przez doklejenie w nim zaszyfrowanego kawałka kodu. Jest to plik pochodzący z popularnego (ponad 300 tys. instalacji) pluginu do WordPressa o nazwie: MailPoet Newsletters.
Plik znajduje się w katalogu: /wp-content/plugins/wysija-newsletters/core/autoloader.php
Widzicie doklejony kod? A powinniście go już zobaczyć 😉 Choć na pierwszy rzut oka plik wygląda całkiem zwyczajnie, jednak należy zwrócić uwagę na pasek scrollowania w poziomie …
Wystarczy przesunąć ten pasek lekko w prawo i od razu widać, że w pierwszej linijce po kilkuset spacjach znajduje się fragment, którego nie powinno tam być!
Inną opcją jest przełączenie widoku na „zawijanie wierszy” – też od razu widać piękną doklejkę kodu…
Ta konkretna infekcja jest wynikiem włamania przez lukę we wtyczce GDPR Compliance. Co ciekawe, kod został wykryty podczas przenoszenia strony na nasz serwer z jednego z hostingów specjalizujących się w tzw. hostingu dla WordPressa. Klient opowiadał nam, że włamanie było zdiagnozowane i specjaliści usunęli jego skutki. Jak się okazało, usunięcie skutków nie było pełne.
A skąd my wiedzieliśmy, że pliki są zainfekowane? Posiadamy specjalny system, który wykrywa i zabezpiecza przed włamaniami…
System anty-exploitowy – skuteczne zabezpieczenie przed włamaniami do WordPressa
Na wszystkich kontach hostingowych Smarthost.pl mamy zainstalowaną specjalną ochronę – system, który sprawdza każdy plik w momencie jego modyfikacji. Nie jest ważne, czy modyfikacja jest wykonana przez wgranie pliku przez ftp, sftp, czy wgrana jest przez upload pliku przed formularz na stronie, czy też wgrany jest z wykorzystaniem luki w motywie lub wtyczce.
Z punktu widzenia systemu anty-eploitowego ważne jest, że plik jest modyfikowany na dysku. W takim przypadku system sprawdza, czy plik nie zawiera szkodliwego kodu. System enty-exploitowy zawiera bazę kilku tysięcy znanych szkodliwych skryptów. Szkodliwe skrypty są na szczęście stosunkowo łatwo rozpoznawalne (jak widać na powyższych przykładach) – w dość prosty i skuteczny sposób można zatem wykryć i zablokować na serwerze zapis pliku zawierającego taki szkodliwy kod.
Skaner anty-exploitowy sprawdza też pliki pod kątem wirusów w oparciu o bazę znanych wirusów, co w połączeniu z sygnaturami exploitów tworzy wyjątkowo skuteczną barierę przed atakami.
Oprócz zablokowania szkodliwych skryptów system anty-exploitowy wysyła też informację do właściciela strony, że nastąpiła próba zapisania pliku zawierającego szkodliwe oprogramowanie. Daje to wygodne narzędzie do dbania o własną stronę internetową.
Czy system anty-exploitowy wykrywa wszystkie próby włamania? Prawdopodobnie nie, ale te które wykrywa, powodują, że od dwóch lat jego stosowania nie mieliśmy żadnej prośby ze strony Klientów o odtworzenie strony z backupu „bo została zhackowana”. To świadczy o jego skuteczności. Raport skanowania plików na serwerach za 2016 rok udostępniamy online tutaj.
Jeżeli potrzebujesz zabezpieczenia
przed wgraniem szkodliwego oprogramowania na Twoją stronę
przenieś się na hosting, który dba o bezpieczeństwo plików swoich Klientów
Migracja do nas jest bezpłatna, wykonujemy ją sprawnie i szybko, bez znaczącej przerwy w działaniu strony (więcej informacji o migracji hostingu na tej stronie)
System anty-explitowy (poczytaj o nim więcej) działa na każdym naszym koncie hostingowym:
W tle. Niezauważalne. Skutecznie.
Sprawdź nasze pakiety hostingowe
- Smarthost to dobre miejsce dla blogów turystycznych - 27 stycznia, 2021
- Warto dbać o używanie aktualnej wersji PHP. Jak należy ją poprawnie zmienić? - 8 stycznia, 2021
- Podatność wtyczki Contact-form-7 - 18 grudnia, 2020