„Zhackowano” serwer WWW hostowanej domeny „media.ferrari.com”, ponieważ administrator witryny od 4 lat nie kliknął przycisku „aktualizuj” dla popularnej wtyczki W3 Total Cache, która do wersji 0.9.3 była podatna na odczytanie dowolnych plików z serwera WWW. Wtyczka z najnowszą w tej chwili wersją 2.3.2 została pobrana już ponad milion razy przez osoby zarządzające instancjami WordPressa.
Od wydania wersji 0.9.3 i ujawnienia nań podatności CVE-2019-6715, minęło już 4 lata. Może to być sygnałem dla innych atakujących, iż dla Ferrari niektóre domeny nie są kluczowe, jeżeli chodzi o bezpieczeństwo całej infrastruktury. Karygodny błąd, brak monitorowania urządzeń, niewykonany audyt inwentaryzacji systemu i serwerów, brak procedur, błędy ludzkie…
Doprowadziło to do potencjalnego wycieku danych klientów Ferrari. Na szczęście dla Ferrari znaną lukę w pluginie W3 Total Cache odkryli etyczni badacze, którzy zdemaskowali podatny serwer i równie gwałtownie Ferrari zareagowało na zgłoszenie.
Kilka dni temu inna popularna wtyczka „Essential Addons for Elementor” została wykorzystana do ataków i także zalecana jest aktualizacja.
System WordPress jest bezpiecznym CMS-em do zarządzania treścią, jednak należy przestrzegać określonych procedur, aby nie narazić się na ujawnienie danych bądź na utratę kontroli nad stroną internetową.
Karygodnym błędem jest, aby zapomnieć o stronie internetowej, choćby jeżeli jest to stare i nieużywane już zaplecze cyfrowe. Niezaktualizowana strona, brak aktualizacji dla PHP, Apache/Nginx, pakietów dystrybucji Linuksa na serwerze, może to stanowić o słabym punkcie, który na pewno zostanie zauważony przez hakerów.
Skorzystaj z poradnika 9 kroków do zabezpieczenia WordPress
Bez cienia wątpliwości zaleca się pilną aktualizację wszystkich wtyczek oraz rdzenia WordPressa do najnowszych wersji. jeżeli nie jest to możliwe online, należy wykonać kopię zapasową i przetestować zmiany na kopii strony.
Zachęcamy do przeczytania naszego poradnika o zabezpieczaniu strony WordPress dla początkujących. Poradnik znajduje się pod tym linkiem i porusza następujące zagadnienia:
- Uważaj, komu zlecasz opiekę nad stroną i jaki hosting wybierasz.
- Używaj protokołu HTTPS.
- Zadbaj o aktualizacje wtyczek, motywu i core WordPressa.
- Wykonuj i sprawdzaj regularnie kopie zapasowe.
- Usuń niepotrzebne wtyczki i motywy.
- Zabezpiecz logowanie do panelu administratora.
- Monitorowanie hostingu, dostępności strony internetowej.
- Czy korzystać z wtyczek do zabezpieczania WordPress?
- Narzędzie WPScan: sprawdź podatności WordPress.