Необновените плъгини – риск за сигурността на сайта (и пречка за ускоряването му)

От практиката ни със случаи, в които клиентски сайт бива хакнат, виждаме, че най-честата причина за пробивите е пропуск в сигурността на необновен плъгин или тема.

Необновените плъгини са „проблемни“ плъгини поради две причини:

  • крият сериозен риск за сигурността на сайта поради уязвимости в неактуалния им код;
  • поставят пречка за ускоряването на сайта поради невъзможност да се използват най-новите версии на PHP.

Въпреки че в 90% от случаите на хакване става въпрос за CMS платформата WordPress, необновените плъгини и модули са проблемни и при Joomla!, Magento и други.

Уязвимости в необновения код на плъгините

Необновените плъгини може да са изоставени плъгини, без активна разработка и обновления. Тези плъгини са като бомба със закъснител 💣 и често са виновни за пробивите в сигурността на сайтовете.

Когато се открие уязвимост или пролука в сигурността на активен плъгин, разработчиците му реагират и прилагат навреме поправки в кода му. Тези поправки се съдържат в нова версия на плъгина, която потребителите прилагат в сайта си чрез обновяване. Ако потребителите не обновят плъгина, то той остава с неактуален код, а сайтът с отворена пролука в сигурността.

За изоставените от разработка плъгини не се прилагат поправки и обновления. Пролуките в сигурността на тези плъгини стават всеобщо известни и се използват от злонамерени лица за масово хакване на сайтове. Тези хакерски атаки са автоматизирани и под ударите им попадат всякакви типове сайтове – малки и големи. Единственият начин за превантивна защита е чрез премахване на плъгина, преди уязвимостта му да бъде използвана срещу сайта.

В необновените плъгини (активни или изоставени) няма зловреден код, който може да бъде засечен при сканиране или проверка на файловете му. Уязвимостите в кода на тези плъгини са резултат от програмистки пропуск в защитата му. Например не се прилагат правилни проверки за привилегиите при изпълнението на определени функции на плъгина. Поради това се допускат външни неудостоверени заявки за промяна на данните в базата данни, така сякаш са подадени от легитимния администратор на сайта. Превантивната защитата в тези случаи е трудна, защото заявките не съдържат злонамерен код и използват легитимни функции и команди на системата.

Злонамереният код се добавя в базата данни и/или във файловете на сайта, след като е използвана уязвимостта в необновения плъгин.

Няколко примера за уязвимости, при които се използва пропуск в сигурността на кода на плъгина:

Докато дадена уязвимост в кода не бъде открита, почти невъзможно е да се предвиди и приложи съответната защита от нея.

Невъзможност за използване на нови версии на PHP

Всяка следваща нова версия на PHP е по-сигурна и по-бърза, спрямо предишни версии. Последната към момента версия PHP 8 е в пъти по-бърза и сигурна от предишните.

Много често проблемните плъгини не могат да работят с най-новите версии на PHP, тъй като кодът им не е обновен за програмните промени в тях. Това означава, че при опит да се активира нова версия на PHP, без плъгинът да е обновен, сайтът може да спре да се зарежда или по страниците му да се появят съобщения за грешки. Когато това се случи, потребителите в повечето случаи решават да жертват сигурността и ускореното зареждане на сайта, и вместо да се откажат от проблемния плъгин, те оставят по-старата версия на PHP.

За потребителите на WordPress обаче, които може да попаднат в подобна ситуация, вече има решение. От версия 5.2 системата има вградена защита и начин за справяне с проблемите, които може да възникнат след активиране на нова версия на PHP за сайта. Ако Вашият сайт е WordPress 5.2+, активирането на по-нова от 5.6 версия на PHP е наложително. В противен случай сайтът може да спре да се зарежда: WordPress 5.2+ изисква минимум PHP 5.6 | Help

Какви са последствията при хакване през необновен плъгин?

Последствията са същите като тези при хакване на сайта по какъвто и да е друг начин – неприятни. Уязвимостите в необновените плъгини създават възможност за неоторизиран достъп и инжектиране на зловреден код в базата данни и файловете на сайта. След като злонамерените лица придобият достъп до базата данни и файловете на сайта, през проблемен плъгин, почти всичко е възможно за тях:

  • създават допълнителни административни потребители в сайта, поради което вече не им е нужно да прихващат или разбиват паролата на съществуващ потребител;
  • инсталират допълнителни плъгини, променят настройки и потребителски данни;
  • качват злонамерени файлове в хостинг акаунта, които разширяват още повече възможностите им за злонамерени действия, например да стартират масирани атаки от потърпевшия сайт към други сайтове и сървъри;
  • променят съдържанието и поведението на сайта, например поставят пренасочвания в страниците на сайта, които отварят външни злонамерени/фишинг сайтове или подканят посетителите да свалят злонамерени файлове;
  • качват фишинг сайтове и разпращат масови спам и фишинг имейл съобщения;
  • и всякакви други действия, с които могат да навредят на всички страни – потърпевшия сайт, чужди сайтове, бизнеси, лица и прочие.

Разберете още: Малките сайтове: мишена ли са за хакерски атаки? | Blog

Уязвимости, зловреден код, хакване? Вижте какво означават тези термини и още много други в статията: 5-те основни термина в уебсайт сигурността | Blog

Мерки за безопасност

➕ Обновявайте редовно плъгините, темата и системата на сайта. Направете си задача поне веднъж в месеца да проверявате за обновления и да ги прилагате. Прочетете повече за това защо е важно редовното обновяване: Обновявайте редовно вашите системи, теми и плъгини | Blog

➕ Премахнете изоставените плъгини от сайта си, заменете ги с активни алтернативи.

➕ Проверявайте всеки плъгин в сайта дали все още е в активна разработка и дали получава обновления и поправки в сигурността. Ако плъгинът е от базата с плъгини в wordpress.org, проверявайте страницата на плъгина за информация. Ако видите, че плъгинът не е получавал обновление от повече от година, помислете да го премахнете и да го замените с активен плъгин.

➕ Можете да си направите списък с всички плъгини в сайта, активни и неактивни. Запишете адресите на официалните им страници и когато правите редовната проверка за обновления, следвайте списъка. През опцията в WordPress » Site Health » Info можете да копирате готов списък с всички активни и неактивни плъгини в сайта.

➕ Абонирайте се за новини, свързани с ново открити уязвимости в плъгините на най-използваните CMS платформи. Ако видите, че някой от плъгините в сайта е с обявена уязвимост, приложете обновление веднага. Един такъв сайт, който можете да следите е: https://blog.sucuri.net.

🛡 Сигурност и защита на сайта при СуперХостинг.БГ

Всички хостинг акаунти при СуперХостинг.БГ на услугите споделен хостинг и Managed VPS, са защитени със системата ни за сигурност SH Protect. Всички сайтове са защитени от известни уязвимости в плъгините и темите на най-използваните CMS платформи. Системата за сигурност следи денонощно за новооткрити уязвимости. Когато засече такива, обновява и подобрява защитата, така че сайтовете да останат незасегнати от последвали опити за пробив през дадената уязвимост.

И още: Системата за сигурност периодично сканира файловете във всички хостинг акаунти за злонамерен код. До 24 часа се установява дали има нови злонамерени файлове и ако има такива, ги премахваме от хостинг акаунта. Голяма част от нашите клиенти дори не разбират, че сайтът им е бил хакнат.

Вижте още информация за сигурността и защитата на Вашия сайт при СуперХостинг.БГ:

Не бива да забравяме, че сигурността е споделена отговорност. Ние се грижим за Вашите сайтове, следим за пролуки в сигурността на компонентите им и ги защитаваме от известни уязвимости. Въпреки това нашият съвет е – редовно проверявайте и обновявайте плъгините и темите, които използвате във Вашите сайтове.

WordPress помощ

Ако все пак имате подозрения, че Вашият сайт е компрометиран, нашите WordPress специалисти са насреща, за да Ви помогнат с експертна проверка по случая.

Вижте нашите планове за Професионална WordPress поддръжка

Абонирайте се за СуперБлога, за да получавате навреме новини и помощна информация, свързана със защитата и сигурността на Вашите сайтове и пощи.

Мадлена Методиева
Мадлена Методиева
Меган е част от СуперМаркетинг екипа. Мисията ѝ е старателно да попълва е-библиотеката на СуперХостинг.БГ с полезни и помощни статии.
0 0 votes
.
Абониране
Уведоми ме при
guest

0 Коментара
Inline Feedbacks
View all comments

Black Friday: 5 работещи тактики за задържане на клиентите след Черния петък

0
Ако искате да бъдете един ход пред конкурентите си, време е да помислите как да задържите вече спечелените клиенти по време на кампанията. 
Пренеси бизнеса си онлайн за няколко часа със собствен сайт

Пренеси бизнеса си онлайн за няколко часа със собствен сайт

0
Дойде моментът на практическите съвети как да пренесете бизнеса си от офлайн към онлайн със собствен сайт. Вижте повече!
Какви са причините за изоставените колички?

7 причини клиентите Ви да изоставят количките си

0
Тъй като множество магазини са афектирани от този феномен, създадохме списък с най-честите причини клиентите да изоставят количките си. Разберете кои са те!