Не будьте як Ferrari. Вчасно оновлюйте плагіни WordPress

Команда фахівців з безпеки від компанії Char49 виявила на одному з сайтів Ferrari вразливість. Вразливість була знайдена на субдомені media.ferrari.com і вразила популярний плагін WordPress під назвою W3 Total Cache.

W3 Total Cache — це популярний плагін, який використовується мільйонами користувачів WordPress у всьому світі для покращення продуктивності веб-сайту. Однак, він міг виявитися мішенню для зловмисників через його широке використання та наявну вразливість.

Зловмисники експлуатуючи вразливість (CVE-2019-6715: вразливість неавтентифікованого читання довільного файлу, присутня у версіях W3 Total Cache до v0.9.4) могли отримати доступ до файлів та бази даних на веб-сервері, що і продемонстрували фахівці під час етичного злому.

Варто зазначити, що Ferrari відразу оновили плагін W3 Total Cache і таким чином закрили вразливість. Цей інцидент служить нагадуванням усім власникам і адміністраторам веб-сайтів про необхідність бути пильними, коли йдеться про безпеку.

Старі версії WordPress, тем та плагінів більш потенційно відкриті для зломів та проникнення, ніж їх свіжі версії. Звичайно, нові версії не є 100% гарантією, що ваш сайт тепер взагалі не зламають, але принаймні, ви значно знижуєте таку ймовірність. А щоб більше підвищити рівень безпеки сайту, я рекомендую встановити плагіни безпеки, налаштувати відповідні права на папки та файли, налаштувати ролі користувачів які мають доступ до сайту та регулярно змінювати паролі. Це деякі з головних порад.

Найчастіше причиною злому сайтів є плагіни WordPress

Статистика по вразливостям на сайті wpscan.com

Згідно статистики, найбільше зафіксованих вразливостей було виявлено саме в плагінах WordPress – 93%. Мене як фахівця дана статистика не дивує. Тому що плагіни як продукт є набільш поширеними і в кількісному співвідношенні їх найбільше встановлюють. На кожному сайті стоїть один WordPress, активна одна тема, а активованих плагінів може бути декілька десятків. Також, розробка плагінів виконується різними розробниками та командами і не є “централізованим” процесом, як ось розробка ядра чи версій WordPress.

Світова спільнота WordPress не контролює кожен плагін та його розробника. Супровід коду та питання безпеки покладено повністю на його автора.

Примітка: існує офіційний каталог плагінів WordPress. Будь-який розробник може додати до каталогу свій плагін, але з умовою, що його код відповідає стандартам кодування та є безпечним. В цьому випадку, спільнота слідкує за виконанням стандартів.

Ось що сказано про безпеку плагінів, які розміщуються в офіційному каталозі WordPress:

Весь код у каталозі має бути максимально безпечним. Безпека є головною відповідальністю розробника плагіна і каталог плагінів якнайкраще забезпечує дотримання цього. Якщо буде виявлено, що плагін має проблеми з безпекою, його буде закрито, доки проблему не буде вирішено. У крайньому випадку плагін може бути оновлений командою безпеки WordPress…

Але, знову ж таки, спільнота не в змозі примусити розробника вчасно випускати нові версії плагіна, в яких будуть закриті ті чи інші вразливості та контролювати всі 60 000 плагінів.

Читайте:  А чи в безпеці ваш сайт WordPress? ☣️ Діагностика зараження, лікування сайту та профілактика [оновлюється]

Не секрет, що в офіційному каталозі є плагіни, які м'яко кажучи не так часто оновлюються і навіть пропускають по 3 і більше мажорних версій WordPress. Тут сумісність і безпека таких плагінів під питанням. Тішить те, що каталог чесно про це нас попереджає і ми можемо прийняти на себе ризики, або шукати альтернативу:

This plugin hasn’t been tested with the latest 3 major releases of WordPress. It may no longer be maintained or supported and may have compatibility issues when used with more recent versions of WordPress.

Цей плагін не тестувався з останніми 3 основними версіями WordPress. Можливо, він більше не підтримується і може мати проблеми з сумісністю при використанні з більш пізніми версіями WordPress.

17-05-2023
17-05-2023

Примітка: такі повідомлення не означають, що плагін 100% вже є несумісним з останньою версією WordPress і несе в собі безпекові ризики. Тут більше йде мова про певні ймовірності.

Висновки

Іншими словами, плагіни є тим продуктом, через який найчастіше відбуваються зломи сайтів та зараження вірусами. Тому їх встановлення, використання та оновлення має бути свідомим та виваженим кроком. А веб-розробники в свою чергу, мають моніторити звіти та повідомлення про вразливості, та вчасно повідомляти власників бізнесу про безпекові ризики вживаючи всі необхідні заходи для захисту сайту від злому.

Регулярні оцінки вразливості та відповідні налаштування на сайті є важливими для виявлення та усунення ризиків безпеки, перш ніж ними зможуть скористатися зловмисники. Крім того, постійне оновлення програмного забезпечення та плагінів за допомогою найновіших патчів безпеки є критично важливим для підтримки безпеки веб-сайту.

Технічний супровід сайту

Щоденний моніторинг вашого сайту, регулярне додаткове резервне копіювання та контрольоване оновлення програмного забезпечення. Контакти

Підписатися
Сповістити про
guest

0 комментариев
Найстаріші
Найновіше Найбільше голосів
Зворотній зв'язок в режимі реального часу
Переглянути всі коментарі