От практиката ни със случаи, в които клиентски сайт бива хакнат, виждаме, че най-честата причина за пробивите е пропуск в сигурността на необновен плъгин или тема.
Необновените плъгини са „проблемни“ плъгини поради две причини:
- крият сериозен риск за сигурността на сайта поради уязвимости в неактуалния им код;
- поставят пречка за ускоряването на сайта поради невъзможност да се използват най-новите версии на PHP.
Въпреки че в 90% от случаите на хакване става въпрос за CMS платформата WordPress, необновените плъгини и модули са проблемни и при Joomla!, Magento и други.
Уязвимости в необновения код на плъгините
Необновените плъгини може да са изоставени плъгини, без активна разработка и обновления. Тези плъгини са като бомба със закъснител 💣 и често са виновни за пробивите в сигурността на сайтовете.
Когато се открие уязвимост или пролука в сигурността на активен плъгин, разработчиците му реагират и прилагат навреме поправки в кода му. Тези поправки се съдържат в нова версия на плъгина, която потребителите прилагат в сайта си чрез обновяване. Ако потребителите не обновят плъгина, то той остава с неактуален код, а сайтът с отворена пролука в сигурността.
За изоставените от разработка плъгини не се прилагат поправки и обновления. Пролуките в сигурността на тези плъгини стават всеобщо известни и се използват от злонамерени лица за масово хакване на сайтове. Тези хакерски атаки са автоматизирани и под ударите им попадат всякакви типове сайтове – малки и големи. Единственият начин за превантивна защита е чрез премахване на плъгина, преди уязвимостта му да бъде използвана срещу сайта.
В необновените плъгини (активни или изоставени) няма зловреден код, който може да бъде засечен при сканиране или проверка на файловете му. Уязвимостите в кода на тези плъгини са резултат от програмистки пропуск в защитата му. Например не се прилагат правилни проверки за привилегиите при изпълнението на определени функции на плъгина. Поради това се допускат външни неудостоверени заявки за промяна на данните в базата данни, така сякаш са подадени от легитимния администратор на сайта. Превантивната защитата в тези случаи е трудна, защото заявките не съдържат злонамерен код и използват легитимни функции и команди на системата.
Злонамереният код се добавя в базата данни и/или във файловете на сайта, след като е използвана уязвимостта в необновения плъгин.
Няколко примера за уязвимости, при които се използва пропуск в сигурността на кода на плъгина:
- Уязвимостта в плъгина WP GDPR Compliance е защитена | Blog
- Обезвредена пролука в W3 Total Cache | Blog
- Обезвредена уязвимост в сигурността на Ninja Forms | Blog
Докато дадена уязвимост в кода не бъде открита, почти невъзможно е да се предвиди и приложи съответната защита от нея.
Невъзможност за използване на нови версии на PHP
Всяка следваща нова версия на PHP е по-сигурна и по-бърза, спрямо предишни версии. Последната към момента версия PHP 8 е в пъти по-бърза и сигурна от предишните.
Много често проблемните плъгини не могат да работят с най-новите версии на PHP, тъй като кодът им не е обновен за програмните промени в тях. Това означава, че при опит да се активира нова версия на PHP, без плъгинът да е обновен, сайтът може да спре да се зарежда или по страниците му да се появят съобщения за грешки. Когато това се случи, потребителите в повечето случаи решават да жертват сигурността и ускореното зареждане на сайта, и вместо да се откажат от проблемния плъгин, те оставят по-старата версия на PHP.
За потребителите на WordPress обаче, които може да попаднат в подобна ситуация, вече има решение. От версия 5.2 системата има вградена защита и начин за справяне с проблемите, които може да възникнат след активиране на нова версия на PHP за сайта. Ако Вашият сайт е WordPress 5.2+, активирането на по-нова от 5.6 версия на PHP е наложително. В противен случай сайтът може да спре да се зарежда: WordPress 5.2+ изисква минимум PHP 5.6 | Help
Какви са последствията при хакване през необновен плъгин?
Последствията са същите като тези при хакване на сайта по какъвто и да е друг начин – неприятни. Уязвимостите в необновените плъгини създават възможност за неоторизиран достъп и инжектиране на зловреден код в базата данни и файловете на сайта. След като злонамерените лица придобият достъп до базата данни и файловете на сайта, през проблемен плъгин, почти всичко е възможно за тях:
- създават допълнителни административни потребители в сайта, поради което вече не им е нужно да прихващат или разбиват паролата на съществуващ потребител;
- инсталират допълнителни плъгини, променят настройки и потребителски данни;
- качват злонамерени файлове в хостинг акаунта, които разширяват още повече възможностите им за злонамерени действия, например да стартират масирани атаки от потърпевшия сайт към други сайтове и сървъри;
- променят съдържанието и поведението на сайта, например поставят пренасочвания в страниците на сайта, които отварят външни злонамерени/фишинг сайтове или подканят посетителите да свалят злонамерени файлове;
- качват фишинг сайтове и разпращат масови спам и фишинг имейл съобщения;
- и всякакви други действия, с които могат да навредят на всички страни – потърпевшия сайт, чужди сайтове, бизнеси, лица и прочие.
Разберете още: Малките сайтове: мишена ли са за хакерски атаки? | Blog
Уязвимости, зловреден код, хакване? Вижте какво означават тези термини и още много други в статията: 5-те основни термина в уебсайт сигурността | Blog
Мерки за безопасност
➕ Обновявайте редовно плъгините, темата и системата на сайта. Направете си задача поне веднъж в месеца да проверявате за обновления и да ги прилагате. Прочетете повече за това защо е важно редовното обновяване: Обновявайте редовно вашите системи, теми и плъгини | Blog
➕ Премахнете изоставените плъгини от сайта си, заменете ги с активни алтернативи.
➕ Проверявайте всеки плъгин в сайта дали все още е в активна разработка и дали получава обновления и поправки в сигурността. Ако плъгинът е от базата с плъгини в wordpress.org, проверявайте страницата на плъгина за информация. Ако видите, че плъгинът не е получавал обновление от повече от година, помислете да го премахнете и да го замените с активен плъгин.
➕ Можете да си направите списък с всички плъгини в сайта, активни и неактивни. Запишете адресите на официалните им страници и когато правите редовната проверка за обновления, следвайте списъка. През опцията в WordPress » Site Health » Info можете да копирате готов списък с всички активни и неактивни плъгини в сайта.
➕ Абонирайте се за новини, свързани с ново открити уязвимости в плъгините на най-използваните CMS платформи. Ако видите, че някой от плъгините в сайта е с обявена уязвимост, приложете обновление веднага. Един такъв сайт, който можете да следите е: https://blog.sucuri.net.
🛡 Сигурност и защита на сайта при СуперХостинг.БГ
Всички хостинг акаунти при СуперХостинг.БГ на услугите споделен хостинг и Managed VPS, са защитени със системата ни за сигурност SH Protect. Всички сайтове са защитени от известни уязвимости в плъгините и темите на най-използваните CMS платформи. Системата за сигурност следи денонощно за новооткрити уязвимости. Когато засече такива, обновява и подобрява защитата, така че сайтовете да останат незасегнати от последвали опити за пробив през дадената уязвимост.
И още: Системата за сигурност периодично сканира файловете във всички хостинг акаунти за злонамерен код. До 24 часа се установява дали има нови злонамерени файлове и ако има такива, ги премахваме от хостинг акаунта. Голяма част от нашите клиенти дори не разбират, че сайтът им е бил хакнат.
Вижте още информация за сигурността и защитата на Вашия сайт при СуперХостинг.БГ:
- Системата за сигурност – преди и сега | Blog
- СуперЗащитите или как пазим вашите сайтове и пощи | Blog
- Хакнатите сайтове и решението ни за тях | Blog
Не бива да забравяме, че сигурността е споделена отговорност. Ние се грижим за Вашите сайтове, следим за пролуки в сигурността на компонентите им и ги защитаваме от известни уязвимости. Въпреки това нашият съвет е – редовно проверявайте и обновявайте плъгините и темите, които използвате във Вашите сайтове.
Ако все пак имате подозрения, че Вашият сайт е компрометиран, нашите WordPress специалисти са насреща, за да Ви помогнат с експертна проверка по случая.
Абонирайте се за СуперБлога, за да получавате навреме новини и помощна информация, свързана със защитата и сигурността на Вашите сайтове и пощи.