Strony tworzone na platformie WordPress są stronami bezpiecznymi. Ale jednak pod warunkiem, iż ich właściciele pamiętają o aktualizacji wtyczek. Badacz cyberbezpieczeństwa, AmrAwad, wykrył niedawno kolejną podatność: krytyczną lukę we wtyczce LayerSlider. Jak zapewnić w takim razie sobie bezpieczeństwo w WordPress? Właścicielu/właścicielko strony, biegnijcie do kokpitu zaktualizować wtyczki!
Wtyczka LayerSlider to popularny dodatek do WordPressa. Korzysta z niej ponad milion stron internetowych. LayerSlider umożliwia tworzenie galerii typu slider i suwaków, czyli elementów popularnych we współczesnym designie. Wykryta przez AmrAwad luka bezpieczeństwa umożliwia atak typu SQL injection, a co za tym idzie, prowadzi do naruszenia bezpieczeństwa danych.
To nie pierwszy atak na WordPress, przed którym ostrzegamy. Sprawdź, czy jesteś ofiarą nowego ataku brute force na WordPress!.
Jak działa atak SQL injection na WordPressie?
Atak typu SQL injection polega na „wstrzykiwanie” kodu SQL w kod istniejącej strony www. Oznacza to, iż atakujący może do Twojej strony dopisać swój kod. W jakim celu? Powodów na wykorzystanie ataku typu SQL injection jest wiele.
Może to być: kradzież danych, kradzież dostępu do witryny www, przejęcie kontroli nad stroną i żądanie okupu, szantaż i wiele więcej. Co więcej, w tym rodzaju ataku istnieje ryzyko, iż osoba zaatakowana nie będzie wiedziała, iż ktoś inny ma dostęp do strony www. Chodzi też o to, iż atakujący na bieżąco monitoruje pojawiające się na stronie wrażliwe dane (czytaj więcej: Jak działają cyberzagrożenia?.
– Cyberprzestępcy mogą wykorzystać tę sytuację, rozsyłając niczego niepodejrzewającym odwiedzającym treści zawierające złośliwe oprogramowanie. Mogą potajemnie zbierać dane użytkowników, prowadząc ich do formularzy phishingowych lub przekierowując do innych złośliwych miejsc docelowych. Tak tłumaczy działanie ataku Dariusz Woźniak z firmy Marken Systemy Antywirusowe, polskiego dystrybutora systemu Bitdefender.
Bezpieczeństwo w WordPress? Jak się chronić przed atakami?
Podstawą higieny każdej strony www działającej na WordPressie jest regularne aktualizowanie wszystkich elementów. Oznacza to tyle, iż jeżeli chcesz ograniczyć ryzyko związane z atakami, poświęć kilka minut dziennie, by wejść na stronę i ją zaktualizować.
Dlaczego aktualizacje wtyczek, motywów i systemu WordPress są takie ważne? Kod piszą ludzie, a błędy to rzecz ludzka. Programiści wkładają wysiłek w tworzenie bezpiecznych dodatków do WordPressa. Niestety, poziom złożenia elementów WP jest tak duży, iż często nie jest możliwe przejrzenie całego kodu po każdej drobnej zmianie.
Na szczęście istnieją specjaliści od cyberbezpieczeństwa, którzy wspierają twórców. Specjaliści monitorują zmiany, obserwują działania przestępców, wspierają analizę kodu i zgłaszają błędy. Gdy tylko twórcy rozszerzenia do WordPressa dowiadują się o błędach – usuwają je. A te mniejsze i większe naprawy znajdują się właśnie w aktualizacjach.
Luka bezpieczeństwa we wtyczce LayerSlider
Twórcy wtyczki – Kreatura Team – krytyczną lukę bezpieczeństwa załatali w zaledwie 48 godzin. Teraz ruch należy do właścicieli stron www na WordPressie. jeżeli chcą, by ich strony były zabezpieczone przed atakami, muszą dokonać aktualizacji wtyczek.
Autor zdjęcia: bilal ulker oraz logo WordPress.org
