A WordPress-es weboldalakkal kapcsolatban az egyik leggyakoribb kérdés, hogy biztonságosak-e. Biztos, hogy hallottál már történeteket feltört weboldalakról, vagy olvastál olyan véleményeket, amelyek szerint a WordPress egy hulladék, nem biztonságos és komoly cég nem használja.

Több bejegyzést fogok szentelni a WordPress biztonság témájának, először azt járom körül, hogy miért célpontok a WordPress-es oldalak, melyek a leggyakoribb támadási módszerek, és válaszolok néhány kérdésre, amelyet szinte biztos, hogy te is feltettél már, ha hackerek áldozata lett a honlapod.

A népszerűség átka

Statisztikák szerint a világ összes weboldalának 28.5%-a WordPress-es, míg a tartalomkezelő rendszerek (CMS) között 60%-os a részesedése. A világ top 100 weboldalának 14,7%-a nyugszik WordPress alapokon.

Ha olyan nagy vállalatok számára, mint a CNN, NBC vagy az NFL, megfelel a WordPress, szerintem, egy hazai kisvállalkozás számára is jó megoldást jelent.

Joggal kérdezheted, miért írom ezeket a statisztikákat? Azért, hogy megértsd, ilyen piaci részesedésnél egyszerűen megéri támadni ezeket az oldalakat, ahogy a Windows-ra is vírusokat írni. Sokan használják, rengeteg embert lehet elérni. A gyakori támadások, nem jelentik azt, hogy maga a rendszer rossz.

A nyílt forráskód előnye és hátránya

A WordPress nyílt forráskódú rendszer, közösség fejleszti, a kódja pedig bárki számára hozzáférhető. Ez részben előny, részben pedig hátrány. Hátrány, mert a hackerek is hozzáférhetnek a forráskódhoz, és ha találnak egy biztonsági rést, akkor tömegesen támadhatják a WordPress-t használó oldalakat. Ugyanakkor előny is, mert a hibákra gyorsan reagál a közösség, és elkészíti a hibajavítást.

Miért törik fel a weboldalakat?

A hackerek motivációja sokféle lehet. Előfordul, hogy pusztán a kihívás kedvéért törnek fel egy weboldalt, szórakozásból. Kézzel foghatóbb célok, az adatok (pl. email címek, jelszavak, bankkártya adatok) megszerzése, spamek küldése, vagy a feltört weboldalon keresztül a szerverhez és más weboldalakhoz való hozzáférés is.

Miért az én honlapomat törték fel?

A támadások során részben a weboldal vagy a szerver sebezhetősége, részben pedig az oldal látogatottsága alapján választanak célpontot hackerek. A nagy látogatottságú oldalak a sok megszerezhető értékes adat miatt lehetnek vonzó célpontok, a kis látogatottságú, nem karbantartott oldalak pedig könnyű célpontot jelentenek, és megnyithatják az utat a szerver és a szerveren lévő többi weboldal felé is.

A WordFence statisztikája szerint percenként 90,978 támadás történik WordPress-es oldalak ellen függetlenül attól, hogy kicsi vagy nagy látogatottságú weboldalról van szó.

Gyakran a támadások teljesen automatizáltan történnek, tehát nem arról van szó, hogy a rosszakaród megkért valakit, hogy törje fel a weboldalad.

Melyek a leggyakoribb támadási módszerek?

Az egyik leggyakoribb módszer a terheléses támadás (Brute Force Attack). A támadás során „automatizálva” próbálnak bejutni a WordPress admin felületére. A tömeges belépési próbálkozások lelassítják a weboldalt, és túlterhelés esetén, a szolgáltató le is kapcsolhatja az oldalt.

Szintén gyakori támadási mód a fájl beszúrás, ilyenkor kártékony kódot tartalmazó .js vagy .php fájlt töltenek fel a tárhelyre, amely lefuttatva hozzáférést biztosít a honlap tartalmához.

A támadók kedvelt célpontja az adatbázis is. Az SQL Injection egy olyan támadási módszer, mely során idegen SQL parancsot futtatnak, és ezáltal, törölnek, vagy hozzáadnak egy lekérést, vagy felhasználót az adatbázishoz. A hozzáadott felhasználó segítségével, szabadon garázdálkodhatnak az oldaladon.

A rosszul megírt, sebezhető bővítmények a kártékony kódok futtatására kínálnak remek lehetőséget (Cross-Site Scripting XSS), ezért fontos, hogy csak megbízható, rendszeresen frissített bővítményeket használj.

A malware (jelszó lopó) támadás szintén gyakori, olyannyira, hogy a Google hetente 20.000 weboldalt tesz fekete listára malware, és 50.000 oldalt adathalászat miatt. A malware támadás során, a megszerzett jelszavak birtokában, ártalmas kódokat helyeznek el a weboldal kódjában.

Milyen károkat okoz a honlap feltörése?

Veszíthet a weboldal a látogatottságából, ami bevételszerző tevékenység esetén a bevétel csökkenését eredményezheti.

Amíg az oldalt nem állítod helyre, és nem vizsgálja felül a Google, addig a honlapodra látogatókat, nem biztonságos weboldal figyelmeztető szöveg fogadja majd. Ez rossz benyomást kelt, ahogy a hackerek által tartalmilag módosított honlap is.

Az ellopott bizalmas adatok visszaélésekre adnak lehetőséget, és az adatokat kezelő weboldal tulajdonosba vetett bizalmat is megingatja egy ilyen ügy.

Ha spammelésre használják a feltört honlapot, egyrészt sok embernek okoznak kellemetlenséget a kéretlen levelek, másrészt, akár tiltólistára is kerülhet az e-maileket küldő szerver.

A honlapod biztonsága nemcsak a te érdeked!

Korábban már említettem, hogy a feltört oldal, utat nyit a szerverhez és más weboldalakhoz is, lényegében ugródeszkaként szolgál. Azt gondolom nem nehéz belátni, hogy a honlapod biztonsága nem csak a saját érdeked, hanem közös érdek is.

Ráadásul, ha a te weboldalad segíti hozzá a hackereket egy komolyabb támadáshoz, akár a hatósági ügy is lehet belőle.

Ha az előbb felsoroltakat végiggondolod, azt hiszem nem kell tovább nyomatékosítanom, mennyire fontos foglalkozni a WordPress biztonsággal, és megtenni mindent, a feltörés megelőzéséhez.

Konklúzió

A bejegyzésnek a „Biztonságos-e a WordPress?” címet adtam, így mindenképpen állást kell foglalnom a kérdésben. Igyekeztem elmagyarázni miért kedvelt célpontok a WordPress-es oldalak, és összefoglaltam mi a támadások mögötti motiváció, hogyan és milyen károkat képes okozni a weboldalad feltörése. Nem akartam szépíteni a helyzetet.

Ezt a bejegyzést végigolvasva nem lepne meg, ha az a kép alakult volna ki benned, hogy a WordPress nem biztonságos rendszer. A WordPress biztonságos, de ezért tenni kell.

A WordPress-es weboldal egyszer elkészítve, majd évekig magára hagyva, rendszeres frissítések nélkül tökéletes célpont a hackerek számára. 100%-os biztonság nincs, azonban a biztonsági szempontokat szem előtt tartva elkészített, és rendszeresen karbantartott oldal, nehezen feltörhető.

A következő bejegyzésben részletesen leírom, mit tehetsz azért, hogy minimálisra csökkentsd a weboldalad feltörésének esélyét.

Felhasznált források:

99 Incredible WordPress Stats and Facts

Egyre több a támadás a WordPress ellen – mit tehetünk?

A legkisebb weboldal is lehet célpont

WordPress oldal és a biztonság fokozása

5 leggyakoribb támadási módszer WordPress oldalak ellen