Kedves Látogató! Tájékoztatjuk, hogy a honlap felhasználói élmény érdekében sütiket alkalmazunk.
Sokszor előfordul, hogy ügyfelek vagy érdeklődők felteszik nekem ezt a kérdést. Kit kell hibáztatniuk? A tárhely védelme gyenge? Maga a WordPress túl sebezhető? Vagy a weblap készítője követett el hibát? Ilyenkor nem lehet egy szóban válaszolni, hiszen a WordPress alapú (vagy bármilyen más alapú) weblapok biztonsága nagyon sok tényezőtől függ.
Nincs annál bosszantóbb, mint amikor a gondosan elkészített honlapodat vírusok, férgek, “malware”-ek (azaz rosszindulatú kódok) fertőzik meg. A legtöbb honlaptulajdonos nem is érti, mi a csudának van értelme az ő honlapját feltörni, hiszen ő csak blogol a cickányok nászáról, miért érdekes ez egy hackernek? Csakhogy a malware-ek (és azok fejlesztői) valójában nem a blogod fölött akarják átvenni az irányítást, hanem kapuként használják ahhoz, hogy a tárhelyszolgáltatód szerverének erőforrásait kihasználva támadást indítsanak egy érzékeny (például banki) weboldalhoz.
A WordPress alapértelmezésként hibaüzeneteket jelenít meg, ha a bejelentkezési adatok nem helyesek a Vezérlőpultra történő bejelentkezéskor. Ez igazán felhasználóbarát megoldás, de egyben segítséget is nyújt az oldalt feltörni kívánó hackerek számára. Légy résen, és nehezítsd meg a hackerek dolgát a hibaüzenetek beállításával! Ebben a bejegyzésben megtanulhatod, hogyan tudod ezt a legkönnyebben megtenni.
Mint tárhelyszolgáltatónak (helyesebben tárhely viszonteladónak, hiszen az általunk használt szerver a Silihost Kft tulajdona) újra és újra szembe kell néznünk a WordPress elleni támadásokkal. Mostanra sajnos elmondható, hogy a WordPress népszerűsége a visszájára fordult: állandósult a brutális támadás a WordPress rendszerek ellen. Nem tehetünk mást, mindannyiunk érdekében kötelezővé kell tennünk a wp-login.php védelmét a tárhelyünkön, de mindenki másnak is, minden WordPress felhasználónak ugyanezt javasoljuk.
A blogok közötti visszajelzéseket (trackback/pingback) kezelő xmlrpc.php ellen, illetve azon keresztül kb három napja módszeres támadásokat észlelünk a szerverünkön. A támadások száma bőven felette lehet a napi milliós próbálkozásnak. Webmesterünknek újra kell írnia azt a speciális, WordPress elleni támadásokat elemző scriptjét, amely a mi szerverünket védi, mert a jelenlegi megoldás mellett egy normál számítógép, amely csak ezt csinálja, már nem tudja feldolgozni a percenkénti egyszer készülő logot – olyan mennyiségben támadnak.
Az egyetlen megoldás (ahogyan azt már sokszor megírtam) az, hogy törölni kell az xmlrpc.php fájlt a tárhelyed WordPress mappájából. Akinek karbantartási szerződése van, annak ezt mi folyamatosan elvégezzük, illetve ahová akármilyen egyéb okból belépünk, ott is töröljük. A gond az, hogy a fájl minden egyes WordPress motor frissítésnél újra felkerül a tárhelyre – tehát ha nem mi tartjuk karban a weboldaladat, akkor kérlek, ezt a fájlt minden frissítés után töröld ki újra!
A múlt héten gyakorlatilag semmi másra nem volt időm, mint levelezni – a tárhelyszolgáltatóval, amelynek viszonteladói vagyunk, a tárhely-ügyfelekkel, akiknek szolgáltatunk, és a WP-Suli meg a Facebook-oldalunk olvasóival, akik követnek minket és hallgatnak ránk a WordPress rendszerrel kapcsolatos kérdésekben.
Elsősorban szeretnék köszönetet mondani mindazoknak, akik a támogatásukról, az együttérzésükről biztosítottak minket, vagy éppen a segítségüket ajánlották fel. Hálás vagyok együttműködésükért és türelmükért.
Érdekes volt azonban néhány ügyfelünk illetve olvasónk reakciója, amelyet a legtöbb esetben az ismeretek hiánya okozott. Hoax, túlzott aggodalmaskodás, sőt, paranoia (ilyen szavakat használtak a kételkedők), vagy valóban nagyobb veszélyben vannak a WordPress alapú oldalak, mint más rendszerek?
Az ingyenes, nyílt forráskódú tartalommenedzselő rendszerek, mint amilyen a WordPress, a Joomla, a Drupal, az e107 és még néhány, mindig is ki voltak téve a támadásoknak. Korábban a WordPress volt a legbiztonságosabb, de most, hogy piacvezetővé vált, és egyre több komoly, nagyforgalmú weboldal is használja, mint amilyen például a CNN, egyre gyakrabban kerül a hackerek célkeresztjébe. Aki nem tesz meg mindent, hogy a weboldalát biztonságos állapotban tartsa, és kaput nyit a károkozóknak, az nemcsak a saját weboldalát, hanem a többiekét is veszélyezteti, akik vele egy szerveren vannak, és nemcsak a WordPress alapúakat, hanem az összeset, a szerver teljes működését. Márpedig ez – és ezt sokan nem tudják – a Büntető Törvénykönyvbe ütköző cselekedet, így rendkívül fontos a felelősségteljes magatartás, hiszen akár bűnvádi eljárás is lehet a figyelmetlenségből, nemtörődömségből. Sokszor írtam már arról, hogy a megjelenő frissítéseket mindig azonnal le kell tölteni, mert ezek a felfedezett biztonsági réseket tömik be, de ezen kívül is rengeteget tehetünk weboldalunk megvédésre. Az alábbiakban összefoglalom a legfontosabb lépéseket.
Tegnapelőtt délután erős támadás indult a szerverünk ellen, a naplózás szerint az All-In-One-SEO-Pack nevű bővítményen keresztül, de összefüggésben volt a WordPress Pingback/Trackback funkciójával is, amely telepítéskor automatikusan bekapcsolt és engedélyezett állapotban van. A szerverre nem jutott be a támadás, viszont a WordPress oldalak működésében kb 20 perces kiesés volt tapasztalható.
Veszélyes hibát fedezett fel a napokban egy felhasználó a W3 Total Cache nevű, közismert és széles körben használt bővítményben. A W3 Total Cache eredetileg abból a célból készült, hogy a WordPress alapú weboldalak betöltésének sebességét gyorsítsa a statikus tartalmak gyorsítótárazásával. Egy konfigurációs hiba miatt azonban úgy néz ki, hogy “bárki egyszerűen letöltheti az összes adatbázis cache-kulcsot és azokból kiszűrheti az érzékeny információkat” – ahogyan a rés felfedezője írja.
Pár hete vasárnap az egyik közismert tárhelyszolgáltatót érte hacker-támadás, amelyet gyorsan észleltek és ki is javítottak. Az ilyen jellegű betörések ellen a szolgáltató védekezik, és ha valami mégis bejut a szerverre, akkor az ő dolguk a helyreállítás. Azonban ha csak a Te oldaladat törik fel, azaz a hiba nem általános, akkor a tárhelyszolgáltatónak nem kötelessége ezt sem vizsgálni, sem javítani. Ilyenkor a Te dolgod a rosszindulatú kódok felderítése, törlése, és a weboldalad helyreállítása.
Ez az ősz mintha a biztonságról, a támadásokról, a rosszindulatú szoftverekről és az azok elleni védekezésről szólna. Hat héttel ezelőtt a WordPress korábbi verziói ellen történt durva támadás, két hete pedig a Google jelzett rosszindulatú szoftvert a WP-Suli tanfolyamának gyakorló oldalán. Ezen a héten újra aktualitása van a biztonsági kérdéseknek, mégpedig azért, mert itt egy ragyogó alkalom a számítógéped védelmének erősítésére.
Szigorú levelet kaptunk a tárhelyeinknek otthont adó szerverek gazdáitól, teljes joggal. Amint azt az előző bejegyzésemben is írtam, a frissítéseket azért is el kell végezni, hogy a weblapunk ne eshessen áldozatul a hackerek támadásainak, mint néhány hete történt a régi verziójú WordPressek esetében. A frissítés azonban nem várt hibákat is eredményezhet, ezért ésszel fogj hozzá!
