Натиснете ENTER, за да видите резултатите или ESC за изход.

Необновените плъгини - риск за сигурността на сайта (и пречка за ускоряването му)

От практиката ни със случаи, в които клиентски сайт бива хакнат, виждаме, че най-честата причина за пробивите е пропуск в сигурността на необновен плъгин или тема.

Необновените плъгини са „проблемни“ плъгини поради две причини:

  • крият сериозен риск за сигурността на сайта поради уязвимости в неактуалния им код;
  • поставят пречка за ускоряването на сайта поради невъзможност да се използват най-новите версии на PHP.

Въпреки че в 90% от случаите на хакване става въпрос за CMS платформата WordPress, необновените плъгини и модули са проблемни и при Joomla!, Magento и други.

Уязвимости в необновения код на плъгините

Необновените плъгини може да са изоставени плъгини, без активна разработка и обновления. Тези плъгини са като бомба със закъснител 💣 и често са виновни за пробивите в сигурността на сайтовете.

Когато се открие уязвимост или пролука в сигурността на активен плъгин, разработчиците му реагират и прилагат навреме поправки в кода му. Тези поправки се съдържат в нова версия на плъгина, която потребителите прилагат в сайта си чрез обновяване. Ако потребителите не обновят плъгина, то той остава с неактуален код, а сайтът с отворена пролука в сигурността.

За изоставените от разработка плъгини не се прилагат поправки и обновления. Пролуките в сигурността на тези плъгини стават всеобщо известни и се използват от злонамерени лица за масово хакване на сайтове. Тези хакерски атаки са автоматизирани и под ударите им попадат всякакви типове сайтове - малки и големи. Единственият начин за превантивна защита е чрез премахване на плъгина, преди уязвимостта му да бъде използвана срещу сайта.

В необновените плъгини (активни или изоставени) няма зловреден код, който може да бъде засечен при сканиране или проверка на файловете му. Уязвимостите в кода на тези плъгини са резултат от програмистки пропуск в защитата му. Например не се прилагат правилни проверки за привилегиите при изпълнението на определени функции на плъгина. Поради това се допускат външни неудостоверени заявки за промяна на данните в базата данни, така сякаш са подадени от легитимния администратор на сайта. Превантивната защитата в тези случаи е трудна, защото заявките не съдържат злонамерен код и използват легитимни функции и команди на системата.

Злонамереният код се добавя в базата данни и/или във файловете на сайта, след като е използвана уязвимостта в необновения плъгин.

Няколко примера за уязвимости, при които се използва пропуск в сигурността на кода на плъгина:

Докато дадена уязвимост в кода не бъде открита, почти невъзможно е да се предвиди и приложи съответната защита от нея.

Невъзможност за използване на нови версии на PHP

Всяка следваща нова версия на PHP е по-сигурна и по-бърза, спрямо предишни версии. Последната към момента версия PHP 7.3 е в пъти по-бърза и сигурна от 5.6 и по-старите.

Много често проблемните плъгини не могат да работят с най-новите версии на PHP, тъй като кодът им не е обновен за програмните промени в тях. Това означава, че при опит да се активира нова версия на PHP, без плъгинът да е обновен, сайтът може да спре да се зарежда или по страниците му да се появят съобщения за грешки. Когато това се случи, потребителите в повечето случаи решават да жертват сигурността и ускореното зареждане на сайта, и вместо да се откажат от проблемния плъгин, те оставят по-старата версия на PHP.

За потребителите на WordPress обаче, които може да попаднат в подобна ситуация, вече има решение. От версия 5.2 системата има вградена защита и начин за справяне с проблемите, които може да възникнат след активиране на нова версия на PHP за сайта. Ако Вашият сайт е WordPress 5.2+, активирането на по-нова от 5.6 версия на PHP е наложително. В противен случай сайтът може да спре да се зарежда: WordPress 5.2+ изисква минимум PHP 5.6 | Help

Какви са последствията при хакване през необновен плъгин?

Последствията са същите като тези при хакване на сайта по какъвто и да е друг начин - неприятни. Уязвимостите в необновените плъгини създават възможност за неоторизиран достъп и инжектиране на зловреден код в базата данни и файловете на сайта. След като злонамерените лица придобият достъп до базата данни и файловете на сайта, през проблемен плъгин, почти всичко е възможно за тях:

  • създават допълнителни административни потребители в сайта, поради което вече не им е нужно да прихващат или разбиват паролата на съществуващ потребител;
  • инсталират допълнителни плъгини, променят настройки и потребителски данни;
  • качват злонамерени файлове в хостинг акаунта, които разширяват още повече възможностите им за злонамерени действия, например да стартират масирани атаки от потърпевшия сайт към други сайтове и сървъри;
  • променят съдържанието и поведението на сайта, например поставят пренасочвания в страниците на сайта, които отварят външни злонамерени/фишинг сайтове или подканят посетителите да свалят злонамерени файлове;
  • качват фишинг сайтове и разпращат масови спам и фишинг имейл съобщения;
  • и всякакви други действия, с които могат да навредят на всички страни - потърпевшия сайт, чужди сайтове, бизнеси, лица и прочие.

Разберете още: Малките сайтове: мишена ли са за хакерски атаки?

Мерки за безопасност

➕ Обновявайте редовно плъгините, темата и системата на сайта. Направете си задача поне веднъж в месеца да проверявате за обновления и да ги прилагате. Прочетете повече за това защо е важно редовното обновяване: Обновявайте редовно вашите системи, теми и плъгини | Blog

➕ Премахнете изоставените плъгини от сайта си, заменете ги с активни алтернативи.

➕ Проверявайте всеки плъгин в сайта дали все още е в активна разработка и дали получава обновления и поправки в сигурността. Ако плъгинът е от базата с плъгини в wordpress.org, проверявайте страницата на плъгина за информация. Ако видите, че плъгинът не е получавал обновление от повече от година, помислете да го премахнете и да го замените с активен плъгин.

➕ Можете да си направите списък с всички плъгини в сайта, активни и неактивни. Запишете адресите на официалните им страници и когато правите редовната проверка за обновления, следвайте списъка. През опцията в WordPress » Site Health » Info можете да копирате готов списък с всички активни и неактивни плъгини в сайта.

➕ Абонирайте се за новини, свързани с ново открити уязвимости в плъгините на най-използваните CMS платформи. Ако видите, че някой от плъгините в сайта е с обявена уязвимост, приложете обновление веднага. Един такъв сайт, който можете да следите е: https://blog.sucuri.net.

🛡 Сигурност и защита на сайта при СуперХостинг.БГ

Всички хостинг акаунти при СуперХостинг.БГ на услугите споделен хостинг и Managed VPS, са защитени със системата ни за сигурност SH Protect. Всички сайтове са защитени от известни уязвимости в плъгините и темите на най-използваните CMS платформи. Системата за сигурност следи денонощно за новооткрити уязвимости. Когато засече такива, обновява и подобрява защитата, така че сайтовете да останат незасегнати от последвали опити за пробив през дадената уязвимост.

И още: Системата за сигурност периодично сканира файловете във всички хостинг акаунти за злонамерен код. До 24 часа се установява дали има нови злонамерени файлове и ако има такива, ги премахваме от хостинг акаунта. Голяма част от нашите клиенти дори не разбират, че сайтът им е бил хакнат.

Вижте още информация за сигурността и защитата на Вашия сайт при СуперХостинг.БГ:

Не бива да забравяме, че сигурността е споделена отговорност. Ние се грижим за Вашите сайтове, следим за пролуки в сигурността на компонентите им и ги защитаваме от известни уязвимости. Въпреки това нашият съвет е - редовно проверявайте и обновявайте плъгините и темите, които използвате във Вашите сайтове.

🆘 Ако все пак имате подозрения, че Вашият сайт е компрометиран, свържете се с нас и ние ще направим допълнителна проверка.

Абонирайте се за нашия блог, за да можете да получавате навреме интересни новости и помощна информация, свързана със защитата и сигурността на Вашите сайтове.

Специалист Техническа Поддръжка

Меган е една от нашите super-support-гурута. СуперСилите ѝ се крият в таланта ѝ да разказва за технически „неща“ по разбираем и достъпен начин.