ShoptetČasto slyšíme o WordPressu jako o ‚děravém‘ redakčním systému, který jde snadno hacknout. Toto vnímání je částečně způsobeno tím, že WordPress je nejpopulárnější redakční systém na světě, což z něj činí častý cíl útočníků.
WordPress má obrovskou a aktivní komunitu vývojářů, kteří neustále pracují na zlepšení bezpečnosti platformy. Když je objevena zranitelnost, obvykle je rychle opravena a vydána aktualizace. Většinou se tak příčina napadení nachází někde mezi židlí a klávesnicí správce webu.
První verze skutečně problematické byly. Teď je napadení spíše vzácné. Tedy alespoň z mé zkušenosti. Ale stát se to může a dneska si řekneme o tom, co může vést k úspěšnému napadení stránek, jak vlastně poznat, že je web napadený, co lze dělat svépomocí jako laik a jaké má možnosti profík.
Jaká jsou tedy hlavní bezpečnostní rizika WordPressu?
WordPress je open-source platforma, což znamená, že když je vydána aktualizace, všichni (včetně potenciálních útočníků) vidí, co bylo opraveno. Jaké měla předchozí verze slabiny. A vzhledem k tomu, že v základu lze snadno zjistit, na jaké verzi daný web běží, útočníci mají přehled o možných slabinách. A pokud web není aktualizován, může být snadno napaden. Prvním rizikem je tedy zastaralý software. V novějších verzích už WordPress však na pozadí ty nejzásadnější bezpečnostní aktualizace provádí sám a nečeká na uživatele.
Útoky hrubou silou (anglicky brute force attack) jsou většinou pokusy o rozluštění hesla bez znalosti jeho klíče k dešifrování. Útočníci zkoušejí různé kombinace hesel, které byly odhaleny. Databáze hesel a dokonce kombinací e-mailů a hesel použitých v napadených službách se dají na internetu koupit. Slabá hesla tak mohou být snadno uhodnuta. Druhým rizikem jsou jednoduchá hesla.
Ne všechny pluginy a šablony jsou vytvořeny s důrazem na bezpečnost. Zastaralé nebo špatně napsané doplňky mohou být snadným cílem pro útočníky. A jak jsem říkal v předposledním díle, hodně šablon a pluginů v repozitáři WordPressu je opuštěných a neudržovaných. Byť existuje tým dobrovolníků, kteří tyto doplňky ručně kontrolují před schválením ke zveřejnění. Třetím bezpečnostním rizikem je tedy používání nedůvěryhodných nebo neudržovaných doplňků.
⠀
Pokud hostingová služba není bezpečná, může být celý server, na kterém je váš web hostován, vystaven riziku. Troufnu si říct, že tohle riziko se netýká zavedených hostingových společností, jako jsou Český hosting, Forpsi, Websupport nebo Czechia. Rizikem jsou tedy nezabezpečené hostingové služby i třeba absence nastavení SSL certifikátu a bezpečné spojení díky https.
Málokdy se útočníci snaží o nabourání konkrétního webu. Většinou jejich roboti automaticky zkouší prolomit ochranu stránek s nějakým úkolem. Například umístit do obsahu zpětné odkazy na nějaký web, zobrazovat reklamní bannery, přesměrovat návštěvníky jinam (například na nějaké podvodné stránky), rozesílat prostřednictvím napadeného webu spamové e-maily a podobně.
Jak poznat, že je web napadený?
Varováním může být neobvyklá aktivita na webu jako třeba přesměrování. Pokud jsou návštěvníci vašeho webu přesměrováváni na jiné stránky (zejména na reklamní nebo phishingové stránky), může to být známka napadení. Setkal jsem se i s tím, že byli přesměrováváni pouze návštěvníci na mobilních telefonech, na desktopech vše fungovalo korektně.
Podezřelé jsou také svévolné změny v obsahu webu. Například pokud objevíte neznámé odkazy nebo reklamní bannery na svém webu, může to být důsledek malware (tedy škodlivého kódu) nebo hacknutí.
Pokud v administraci WordPressu objevíte neznámé uživatelské účty, může to být známka toho, že útočník získal přístup k vašemu webu. Je tedy dobré občas kouknout i tam.
Některé prohlížeče, jako je Google Chrome nebo Firefox, mohou zobrazit varování, pokud je web považován za škodlivý. Toto varování může být zobrazeno, pokud je web na seznamu podezřelých stránek. Varování pak také přichází i z antivirových programů na počítačích. Setkal jsem se však i s chybným označením stránek antivirem jako napadených, i když byly zcela v pořádku. Autoři antiviru stránky ručně prověřili a odebrali varování.
Pokud je váš web napadený a šíří škodlivý software, může být dočasně odstraněn z výsledků vyhledávání Google. Google Search Console může poskytnout upozornění o škodlivém obsahu na vašem webu.
Pokud je váš web výrazně pomalejší než obvykle a nemáte pro to žádné jiné vysvětlení, může to být důsledek škodlivého kódu nebo DDoS útoku. To znamená bombardování stránek nejrůznějšími požadavky, které jej zcela zahltí. O takovém útoku by vás měl být schopen informovat poskytovatel webhostingu.
Pokud začnete dostávat podivné e-maily o registraci nových uživatelů, objednávkách nebo komentářích, které jste nečekali, může to být známka problému a měli byste zbystřit.
A pokud jste svědomití a máte nainstalovány bezpečnostní pluginy, mohou vás upozornit na podezřelou aktivitu nebo škodlivý kód ihned. To je asi ta nejlepší možnost, když už by se něco takového mělo stát.
Co můžete udělat jako běžný uživatel abyste předešli napadení svého webu?
- Pravidelně aktualizujte WordPress, pluginy a šablony. Tím zmírníte riziko využití slabých míst k napadení.
- Používejte silná hesla a měňte je pravidelně.
- Existují pluginy, které omezují počet pokusů o přihlášení. Po několika neúspěšných pokusech o přihlášení pak na čas zamezí dalším pokusům. Je vhodné je mít.
- Pravidelně zálohujte svůj web, aby bylo možné jej rychle obnovit v případě problémů. A nespoléhejte pouze na zálohování hostingem. Klasicky se totiž uchovávají zálohy jen asi 14 dní zpátky. A když si problému nevšimnete hned, nemáte zdravou zálohu, ze které byste mohli stránky obnovit.
A co dělat, když máte podezření, že je web napadený?
- Okamžitě změňte všechna hesla. Jak hesla všech uživatelů WordPressu, tak heslo do databáze a na FTP. Poslední dvě už můžou být pro někoho příliš složité, ale měli by vám s tím být schopni pomoct i na zákaznické podpoře vašeho webhostingu.
- Poskytovatele hostingu byste měli tak jako tak informovat o možném problému. Pomůže s řešením ze své strany a může být nápomocný dalšími informacemi.
- Pokud je web napaden, může být nejlepším řešením včasné obnovení z poslední čisté zálohy. I s tím mohou pomoci na zákaznické lince webhostingu a někde si to dokonce můžete snadno v administraci odkliknout sami.
- Pokud jste zkušenější uživatelé, zkuste prohledat soubory webu a databázi, zda neobsahují podezřelý kód. Většinou je napadený soubor wp-config.php nebo soubory index.php ve kterých se začnou objevovat dlouhé zašifrované řetězce znaků. Občas se také objeví nové soubory pluginů nebo nově vytvořené soubory různě v hierarchii adresářů WordPressu.
- Vhodná je také kontrola pluginů, zda tam nemáte nějakého pohrobka, díky kterému se napadení povedlo. Poznáte to tak, že si v seznamu pluginů o každém zobrazíte informace a v nich najdete datum poslední aktualizace. A se šablonou to stejné.
- Pokud máte pocit, že je s webem něco špatně a nerozumíte tomu, doporučuji se obrátit na nějakého zkušeného WordPressáka, který už bude vědět, co zkontrolovat a jak postupovat.
Jaké jsou pokročilejší možnosti prevence a léčení napadených webů?
Shrnul bych to na dvě základní roviny. První je dohled nad webem a druhá je maximální zabezpečení přístupů.
Existují specializované nástroje pro monitoring stránek, detekci a odstranění škodlivého kódu. Mohou to být jak externí služby, tak bezpečnostní pluginy do WordPressu. Ty umožňují dohled nad všemi změnami, které na webu probíhají, sledování veškerých pokusů o přihlášení nebo aktivit uvnitř webu. V případě, kdy by už došlo k napadení pak umí škodlivý kód rozpoznat a odstranit. Tyto nástroje také poznají, jaké soubory v jádru WordPressu nemají co dělat a nahlásí je i kdyby byly skryté hluboko ve struktuře. Tyto nástroje také využívají databáze zranitelností jednotlivých komponent webů a varují, pokud je například použitý rizikový plugin nebo šablona.
V případě, že i tyto nástroje selžou, přichází na řadu ruční léčení, kdy profík ručně nebo poloautomaticky zkontroluje všechny soubory webu. Nemusí to být tak náročná činnost jak se zdá. Velkou část souborů jde přepsat soubory z čisté instalace WordPressu. A v těch zbylých pak udělat ruční kontrolu.
Existují také placené nástroje na léčení napadených webů, ale je nutné stejně současně udělat co nejvíce opatření aby se to neopakovalo. K čemu je vyléčený web, když jej stejnou cestou mohou napadnout znovu, že?
Existují také pokročilé techniky pro zvýšení bezpečnosti, jako je změna adresy přihlašovací stránky do WordPressu, omezení přístupu ke kritickým souborům wp-config.php a .htaccess atd. Lze také skrýt informaci o aktuální verzi WordPressu a zakázat odpovídat na choulostivé informace například při pokusech o přihlášení, zda takový uživatel vůbec existuje. To jsou techniky využívající úpravy nastavení WordPressu.
Instalací a konfigurací specializovaných bezpečnostních pluginů a firewallů jde také blokovat škodlivý provoz a například blokovat automaticky uživatele, kteří se několikrát neúspěšně pokusí o přihlášení. Nebo blokovat přístupy do administrace z jiných států. Toto lze nastavit často také přímo na úrovni hostingu. Jen pozor na to, když pojedete na dovolenou a budete si chtít upravit něco na stránkách. Pro tyto účely pak používám VPN, přes kterou se připojím ze zahraničí přes české servery.
Pod ochranu VPN lze také přesunout soubory i administraci webu. Toto se dělá u důležitých stránek, kde chceme mít striktně pod kontrolou, že se do administrace ani na FTP nedostane nikdo nežádoucí.
Klidnější spaní můžou zajistit také pravidelné bezpečnostní revize, aby se identifikovaly a odstranily potenciální slabiny.
Rizika napadení platí pro všechny
Rizika hacknutí a napadení ale neplatí jen pro WordPress. Všechny redakční systémy, ať už jde o Joomla, Drupal, Wix nebo jakékoli jiné, čelí bezpečnostním hrozbám. Důležité je, jakým způsobem je systém spravován a jak jsou dodržována bezpečnostní doporučení.
Pokud jsou dodržovány základní bezpečnostní pravidla o kterých jsem mluvil na začátku, je WordPress stejně bezpečný jako jakýkoli jiný redakční systém.
Většina útoků na weby není cílená. Útočníci často využívají automatizované skripty, které hledají známé zranitelnosti napříč různými platformami. To znamená, že bez ohledu na to, jaký redakční systém používáte, je důležité být vždy na pozoru.
Hostingy s tím dopředu počítají
Tzv. one-click instalace WordPressu, které nabízí některé webhostingy už myslí na možná rizika, automaticky často předinstalovávají bezpečnostní pluginy a dělají opatření o kterých třeba ani nevíte, aby vás ochránili.
Poskytovatelé webhostingů také často nabízí funkci „antivirové kontroly kódu“ kdy jedním kliknutím v administraci hostingu snadno prověříte soubory svého webu.
Bezpečnost webu by neměla být brána na lehkou váhu. Jak jsme si dnes ukázali, existují rizika, kterým můžou vaše stránky čelit. Ačkoli může být lákavé myslet si, že jsou příliš malé na to, aby byly cílem útočníků, pravda je taková, že se každý den odehrávají řádově stovky i tisíce pokusů o napadení. Pokud vám to přijde moc, zkuste si to pomocí nějakého pluginu pár dní měřit. Budete možná překvapení.
Na závěr bych chtěl zdůraznit, že je mnohem snazší a levnější předcházet problémům než je řešit, až když nastanou.
👉🏻 Pokud by vás zajímala bezpečnost WordPressu více do hloubky, doporučuji článek: Velký průvodce bezpečností WordPressu.
Přeju vám, ať jste zdraví vy i vaše weby. 🙂