Mimo upływu lat, WordPress wciąż pozostaje najbardziej rozpowszechnioną platformą CMS na świecie. Przyczyną jest w tym wypadku wyjątkowa elastyczność tego narzędzia – doskonale sprawdza się w e-commerce, prostych blogach czy rozbudowanych portalach. Popularność WordPress (aktualnie używa go ponad 800 milionów stron) jest zarazem jego największą zaletą, jak i wadą. Pozytywną stroną jest w tym wypadku ilość materiałów w sieci, które mogą wesprzeć początkującego web-developera: szablony stron, tysiące gotowych wtyczek, poradników w sieci i rozbudowana społeczność użytkowników, wspierających się wzajemnie. Negatywnym skutkiem są niestety zagrożenia, jakie wynikają z tego faktu: jeśli hakerzy złamią zabezpieczenia oprogramowania lub opracują nowy sposób zarażania stron na WordPress, ryzyko poważnych problemów dotyczy milionów stron i firm na całym świecie.
Najsłabszym elementem zabezpieczeń stron internetowych jest zawsze…człowiek. Wiele kryzysowych sytuacji, związanych z pracą stron internetowych w środowisku WordPress zostało wywołanych niefrasobliwością osób, odpowiedzialnych za bezpieczeństwo. Proste i łatwe do odgadnięcia hasła, instalowanie plików z nieautoryzowanych źródeł, wysyłanie poufnych informacji w odpowiedzi na fałszywe adresy e-mail, etc. Z tych “grzechów głównych” 4 typy infekcji powtarzają się najczęściej i wywołują najbardziej dotkliwe straty.
Złapani na hak
Jednym z najbardziej irytujących typów złośliwego oprogramowania, jakie może zaatakować stronę internetową są tzw. Pharma Hacks. Ich nazwa wzięła się stąd, że zwykle tej techniki używają agencje SEO, pracujące dla firm, sprzedających leki i suplementy diety. Ponieważ dla pozycjonowania stron w wyszukiwarce Google duże znaczenie ma ilość i jakość linków, prowadzących do danej witryny, Pharma Hack zamienia określone sekcje witryny na WordPress w bełkot, zawierający w swojej treści dużo tekstu i linków do stron okołomedycznych. Często tego typu treść pojawia się np. w sekcji komentarzy na stronie, co ma nieco zwiększać ich wiarygodność i zmniejsza szansę na wykrycie przez użytkowników lub administratorów. Część osób, przeglądając zawartość strony, nie zauważy nawet
Wejście z (tylnymi) drzwiami
O wiele groźniejszym typem zagrożenia jest oprogramowanie typu Backdoor. Wykorzystuje ono niewykryte wcześniej luki bezpieczeństwa (które stanowią “tylne drzwi” dla włamywaczy – stąd nazwa) w samym kodzie WordPress lub popularnym typie wtyczek – np. tych, które są odpowiedzialne za tłumaczenie treści, zarządzanie formularzami, masowe zarządzanie grafikami, etc. Backdoor często instaluje nowe pliki na serwerze, dzięki którym niepowołane osoby mogą mieć dostęp do niejawnych treści, są też w stanie używać infrastruktury zainfekowanej strony do swoich celów (np. atakowania innych stron, rozsyłania spamu, podmiany treści, osadzania własnych linków, itd.). Charakterystyczną częścią ataków typu Backdoor jest podmiana nazw plików na serwerze i ich upodabnianie do oryginalnych, przez co trudniej je wykryć. Niekiedy także wykorzystuje się je, by podmieniać kluczowe pliki na takie, które będą zawierały złośliwy element kodu – wówczas bez pomocy ekspertów konieczne może być odbudowywanie całego serwisu od zera lub starszej wersji.
Przekierowanie zaufania
Eksploracja przez hakerów tych części strony, które na co dzień nie są często używane, bywa także zapleczem do innej formy ataku, nazywanej Malicious Redirection (złośliwym przekierowaniem). Polega on na umieszczeniu w plikach na serwerze instrukcji, która spowoduje, że użytkownik zostanie przeniesiony na inną stronę. Ta forma ataku poważnie zagraża wiarygodności strony, bo zwykle kieruje klientów firmy na krzykliwą, pełną wyskakujących okienek i reklam witrynę. Sprawia to wrażenie bycia ofiarą ataku i brakiem kontroli nad własnym serwisem. Utraconą w ten sposób wiarygodność firmy często odzyskują latami, inwestując w to środki niewspółmierne do ceny odpowiednich zabezpieczeń. Najgorsze są jednak te ataki, które przekierowują na strony, będące bardzo wierną kopią tych, jakie użytkownik spodziewa się zobaczyć. Hakerzy używają często tej techniki do kradzieży i wyłudzeń, tworząc kopie stron dotyczących płatności, czy zmiany hasła w serwisie. Subtelne różnice w layoucie takiej witryny czy np. adresie zwykle nie wzbudzają podejrzeń ofiary, stąd niczego nie podejrzewając przelewa ona pieniądze na konto oszustów, podaje im dane swoich kart kredytowych, hasła lub wrażliwe dane osobowe. To nie tylko nadweręża zaufanie do firmy, na której stronie doszło do przekierowania, ale także często do płatności/bankowości online jako takich, ponieważ zwykle ofiary uważają, że robiły wszystko tak, jak zwykle i nie miały szans zauważyć żadnych anomalii.
Niebezpieczny ładunek
Ostatnią kategorią infekcji stron, opartych o WordPress, są zainfekowane i podmienione pliki, które nieświadomy użytkownik pobiera na własne urządzenie. Do infekcji dochodzi poprzez luki w oprogramowaniu, które pozwalają oszustom na zarządzanie treścią strony – bądź to przez wgrywanie na serwer swoich plików protokołem FTP, bądź też przez dostęp do panelu administracyjnego Wp-admin. Takie pliki zwykle należą do kategorii malware lub ransomware (oprogramowania wyłudzającego okup) i uruchamiają się na komputerze lub smartfonie ofiary dopiero po pewnym czasie lub po spełnieniu określonych warunków, co utrudnia identyfikację źródła infekcji.
Strach ma wielkie…liczby
Badania IBM wskazują na to, że przeciętny atak na strukturę, opartą o WordPress, kosztuje firmę-ofiarę średnio ok. 1,2 miliona dolarów. Biorąc pod uwagę skalę ataków (co najmniej 25% stron opartych o WP doświadcza przynajmniej jednej próby włamania rocznie) i fakt, że ponad 95% z nich jest zautomatyzowanych, pytanie “czy nasza strona zostanie zaatakowana?” powinno być zmienione raczej na: “kiedy?”. Na szczęście, można się do tego przygotować.
Istnieją na rynku wyspecjalizowane firmy, zajmujące się profesjonalnie audytowaniem, zabezpieczaniem i odwirusowywaniem stron, opartych o system WordPress. Oferty tych z nich, które posiadają wieloletnie doświadczenie, jak np. https://odwirusujemy.pl, warto rozważać w pierwszej kolejności. W przypadku infekcji na stronie kluczowym czynnikiem jest czas reakcji – im szybciej uda się rozwiązać problem i zapobiec kolejnym atakom, tym szybciej firma jest w stanie wrócić do pełnej sprawności operacyjnej. Według przywołanego wcześniej badania IBM, firmom taki powrót zajmuje zwykle ok. 6 miesięcy, więc nie ma sensu w tym przypadku powierzać tego zadania komuś, kto nie zajmuje się tym na co dzień, nie jest na bieżąco z najnowszymi odkrytymi lukami, rodzajami hakerskiego oprogramowania i trikami oszustów. Ilość potencjalnych luk w systemie, które mogły doprowadzić do infekcji, wynosi zwykle co najmniej kilka tysięcy, dlatego doświadczenie firmy wspierającej ofiary ataku ma kluczowe znaczenie. Koszt obsługi jest zwykle znikomy w stosunku do potencjalnych szkód biznesowych i wizerunkowych, jakie powoduje każda kolejna godzina funkcjonowania zainfekowanej witryny. Tym bardziej więc nie warto oszczędzać na bezpieczeństwie.
