U svakom se softveru pojavljuju rupe. Što je više popularan, veća je vjerojatnost da će netko pronaći prazninu u njoj. Ova ranjivost je nedavno ranjiva u vrlo popularnom GDPR Compliance pluginu. Rupa je brzo zakrpana od strane programera dodatka, ali pregledavanje internetskih foruma, čak i kratko vrijeme bilo je dovoljno da se infekcije web-mjesta odmah pojave. Ranije je sličan val zaraze napao dodatak Duplicator.
Kako zaštititi WordPress od infekcije?
Postoje ogromne studije o toj temi, ali se može pretpostaviti da je opće načelo da su teme, dodaci i sustav WordPress ažurirani. Naravno, možete obavljati razne druge oblike sigurnosti, ali početnički korisnici, konstantna ažuriranja sustava trebala bi značajno povećati razinu otpornosti na upade.
A što ako pravodobnost sustava nije dovoljna kao zaštita?
Ponekad postoji praznina u softveru. Sve dok programeri ne zakrpe ranjivost i ne izdaju novu verziju softvera za preuzimanje, može se dogoditi da je web-lokacija ranjiva na hakiranje. U tom slučaju, primjerice, možete isključiti „rupičast“ dodatak i čekati da ga ažurirate. Ne možete pak to uvijek uraditi dovoljno brzo…
Koji su učinci hakiranja web stranice?
Kada je softver ranjiv, najčešći način napada je priključivanje isječka koda postojećim datotekama na datotečnom poslužitelju. Ovi fragmenti su obično kodirani za nečitljiv oblik za običnog korisnika. Nakon dodavanja koda u datoteke, oni mogu imati različite učinke, npr.
- slanje neželjene pošte
- lansiranje konzole (tzv. bind shell), koji se može koristiti za “otvaranje” poslužitelja za provalnike za buduću upotrebu,
- čeka na znak da sudjeluje u DDoS napadu (Distributed Denial of Service) na nekim drugim web-lokacijama (npr. bankama ili uredima),
- prikazivanje povezivanja sadržaja s drugim web-lokacijama (obrazac veze),
- lažno predstavljanje (phishing) – prikazivanje, na primjer, lažnog web-mjesta banke ili sustava plaćanja koji se koriste za krađu identiteta.
Svaki od ovih najpopularnijih napada je vrlo nepovoljan i trebali biste učiniti sve da se taj zalijepljeni kod ne pojavi na našoj web stranici.
Kako izgleda napad na WordPress?
U nastavku je primjer datoteke koja je zaražena tako što je u nju umetnuta šifra. Ovo je datoteka iz popularnog (preko 300.000 instalacija) WordPress plugina pod nazivom: MailPoet Newsletters.
Datoteka se nalazi u katalogu: /wp-content/plugins/wysija-newsletters/core/autoloader.php
Vidite li zalijepljeni kod? A trebali biste ga već vidjeti Iako na prvi pogled, datoteka izgleda kao sasvim obična, ali trebate obratiti pozornost na horizontalni scroll…
Samo pomaknite ovaj bar malo udesno i odmah ćete vidjeti da se u prvom redu nakon nekoliko stotina razmaka nalazi fragment koji ne bi trebao biti tamo!
Druga mogućnost je da promijenite pogled na “linije za omatanje” – možete vidjeti zalijepljen prekrasan kod odmah …
Točno ova infekcija je prouzrokovana napadom na rupu u pluginu GDPR Compliance. Zanimljivo je da je kod otkriven prilikom premještanja stranice na naš poslužitelj s jedne od hosting tvrtki specijaliziranih za tzv. hosting za WordPress. Klijent nam je rekao da je provala bila dijagnosticirana, a specijalisti uklonili njezine učinke. Kako se ispostavilo, uklanjanje učinaka nije bilo potpuno.
I kako smo znali da su datoteke zaražene? Imamo poseban sustav koji detektira i štiti od upada…
Anti-exploit sustav – učinkovita anti-intrusion zaštita za WordPress
Imamo posebnu zaštitu instaliranu na svim Smarthost.hr hosting nalozima – sustav koji provjerava svaku datoteku u trenutku njezine izmjene. Nije važno hoće li se izmjena izvršiti učitavanjem datoteke putem ftp-a, sftp-a ili učitavanjem prijenosom datoteke prije obrasca na stranici ili učitavanjem pomoću razmaka u temi ili dodatku.
Sa gledišta anti-eploit sustava, važno je da se datoteka modificira na disku. U tom slučaju sustav provjerava sadrži li datoteka zlonamjerni kod. Sustav enty-exploit sadrži bazu podataka od nekoliko tisuća poznatih zlonamjernih skripti. Zlonamjerne skripte su, na sreću, relativno lako prepoznatljive (kao što se može vidjeti u gornjim primjerima) – na jednostavan i učinkovit način moguće je otkriti i blokirati datoteku koja sadrži takav zlonamjerni kod na poslužitelju.
Anti-exploit skener također provjerava datoteke za viruse na temelju baze podataka poznatih virusa, što u kombinaciji s potpisima o iskorištavanju stvara vrlo učinkovitu barijeru protiv napada.
Osim blokiranja zlonamjernih skripti, anti-exploit sustav također šalje informacije vlasniku web-mjesta da su izvršeni određeni pokušaji spremanja datoteke koja sadrži zlonamjerni softver. To daje zgodan alat za brigu o vlastite web stranice.
Otkriva li anti-exploit sustav sve pokušaje upada? Vjerojatno ne … ali one koje je otkrio dovoljan je razlog da još od dvije godine korištenja nismo imali niti jedan zahtjev naših klijenata za ponovnom izradom stranice iz sigurnosne kopije “jer je bio hakiran”. To jasno pokazuje njegovu učinkovitost. Ovdje objavljujemo izvješće skeniranja datoteka poslužitelja za 2016. na mreži.
Ako trebate sigurnost prije prijenosa zlonamjernog softvera na web stranicu premjestite se na hosting koja brine o sigurnosti datoteka vaših klijenata
Prijenos je besplatni, to radimo učinkovito i brzo, bez značajnog prekida u radu web stranice (više informacija o migraciji hostinga na ovoj stranici)
Sustav anti-exploit (pročitajte više o njemu) radi na svakom od naših hosting naloga:
U pozadini. Neprimjetno. Učinkovito.
Provjerite naše hosting pakete.
- Kako zaštititi WordPress – primjer provale i zaštite od infekcije - 10 prosinca, 2018
- SPF i DKIM – sigurnost od neželjene pošte - 20 rujna, 2018
- Što je DMARC i zašto vrijedi ga imati? - 18 rujna, 2018