Jeszcze raz… Dlaczego MUSISZ aktualizować wtyczki WordPress? Na przykładzie strony media.ferrari.com

avlab.pl 1 rok temu
Zdjęcie: Jeszcze raz… Dlaczego MUSISZ aktualizować wtyczki WordPress? Na przykładzie strony media.ferrari.com


„Zhackowano” serwer WWW hostowanej domeny „media.ferrari.com”, ponieważ administrator witryny od 4 lat nie kliknął przycisku „aktualizuj” dla popularnej wtyczki W3 Total Cache, która do wersji 0.9.3 była podatna na odczytanie dowolnych plików z serwera WWW. Wtyczka z najnowszą w tej chwili wersją 2.3.2 została pobrana już ponad milion razy przez osoby zarządzające instancjami WordPressa.

Od wydania wersji 0.9.3 i ujawnienia nań podatności CVE-2019-6715, minęło już 4 lata. Może to być sygnałem dla innych atakujących, iż dla Ferrari niektóre domeny nie są kluczowe, jeżeli chodzi o bezpieczeństwo całej infrastruktury. Karygodny błąd, brak monitorowania urządzeń, niewykonany audyt inwentaryzacji systemu i serwerów, brak procedur, błędy ludzkie…

Doprowadziło to do potencjalnego wycieku danych klientów Ferrari. Na szczęście dla Ferrari znaną lukę w pluginie W3 Total Cache odkryli etyczni badacze, którzy zdemaskowali podatny serwer i równie gwałtownie Ferrari zareagowało na zgłoszenie.

Kilka dni temu inna popularna wtyczka „Essential Addons for Elementor” została wykorzystana do ataków i także zalecana jest aktualizacja.

System WordPress jest bezpiecznym CMS-em do zarządzania treścią, jednak należy przestrzegać określonych procedur, aby nie narazić się na ujawnienie danych bądź na utratę kontroli nad stroną internetową.

Karygodnym błędem jest, aby zapomnieć o stronie internetowej, choćby jeżeli jest to stare i nieużywane już zaplecze cyfrowe. Niezaktualizowana strona, brak aktualizacji dla PHP, Apache/Nginx, pakietów dystrybucji Linuksa na serwerze, może to stanowić o słabym punkcie, który na pewno zostanie zauważony przez hakerów.

Skorzystaj z poradnika 9 kroków do zabezpieczenia WordPress

Bez cienia wątpliwości zaleca się pilną aktualizację wszystkich wtyczek oraz rdzenia WordPressa do najnowszych wersji. jeżeli nie jest to możliwe online, należy wykonać kopię zapasową i przetestować zmiany na kopii strony.

Zachęcamy do przeczytania naszego poradnika o zabezpieczaniu strony WordPress dla początkujących. Poradnik znajduje się pod tym linkiem i porusza następujące zagadnienia:

  1. Uważaj, komu zlecasz opiekę nad stroną i jaki hosting wybierasz.
  2. Używaj protokołu HTTPS.
  3. Zadbaj o aktualizacje wtyczek, motywu i core WordPressa.
  4. Wykonuj i sprawdzaj regularnie kopie zapasowe.
  5. Usuń niepotrzebne wtyczki i motywy.
  6. Zabezpiecz logowanie do panelu administratora.
  7. Monitorowanie hostingu, dostępności strony internetowej.
  8. Czy korzystać z wtyczek do zabezpieczania WordPress?
  9. Narzędzie WPScan: sprawdź podatności WordPress.
Idź do oryginalnego materiału