Κίνδυνοι ασφαλείας Wordpress | Πώς να τους ελαχιστοποιήσετε

Το open source σύστημα διαχείρισης περιεχομένου (CMS) της WordPress είναι διαθέσιμο σε ιδιοκτήτες μικρών ή μεγάλων ιστοσελίδων εδώ και 12 ολόκληρα χρόνια. Δεν είναι υπερβολή να υποστηρίξει κανείς πως η μηχανή αυτή βρίσκεται πίσω από το συντριπτική πλειοψηφία των διαδικτυακών ιστοσελίδων κάτι που μπορεί να σημαίνει ότι υπάρχουν και αρκετοί κίνδυνοι ασφαλείας wordpress.

Τον περασμένο Γενάρη εκτιμήθηκε πως αποτελεί το θεμέλιο λίθο για το 23% των 10 εκατομμυρίων ιστοσελίδων με τις πιο πολλές επισκέψεις στο διαδικτυακό τοπίο και είναι καταφανώς το πιο δημοφιλές CMS σύστημα παγκοσμίως, με περισσότερες από 60 εκατομμύρια ιστοσελίδες να έχουν χτιστεί πάνω στη μηχανή του.

Ενώ υπάρχουν πολλοί σημαντικοί λόγοι για το τεράστιο μέγεθος της αποδοχής που απολαμβάνει η πλατφόρμα, υπάρχουν ταυτόχρονα και κίνδυνοι ασφαλείας wordpress που ελλοχεύουν για τους χρήστες της WordPress.

Η ειρωνεία μάλιστα είναι πως αυτοί οι κίνδυνοι ασφαλείας wordpress σχετίζονται άμεσα με όλα αυτά τα στοιχεία που κάνουν την WordPress μια τόσο εξαιρετική πλατφόρμα.

Ένας από τους παράγοντες αποφασιστικής σημασίας για την αποδοχή και την εξάπλωση της WordPress είναι αδιαμφισβήτητα η επεκτασιμότητά της.

Σχεδιάστηκε και κατασκευάστηκε ώστε να μπορεί να επιδέχεται εύκολα επεκτάσεις στον πυρήνα της λειτουργικότητάς της μέσω της εγκατάστασης plugins.

Υπάρχουν περισσότερα από 40.000 plug-ins διαθέσιμα για την πλατφόρμα, όμως υπογραμμίζεται πως δεν είναι όλα ίσα και όμοια και πολλά εξ’ αυτών έχουν κενά ασφαλείας και αδυναμίες τις οποίες μπορούν να εκμεταλλευτούν κακόβουλοι χρήστες για να βλάψουν την ιστοσελίδα σας και να δημιουργηθούν κίνδυνοι ασφαλείας wordpress.

Περιεχόμενα

Κίνδυνοι ασφαλείας wordpress: Plugins

Όταν επιλέγετε να ενσωματώσετε ένα plugin για την WordPress ιστοσελίδα σας, είναι σημαντικό να είστε προσεκτικοί ώστε να καταλήξετε σε αυτό που έχει μια ζωντανή, υγιή και ισχυρή κοινότητα να το υποστηρίζει.

Πολλά plugins δημιουργούνται από χρήστες για να λύσουν ένα δικό τους πρόβλημα και συχνά αυτά σύντομα μένουν… ορφανά και δεν ενημερώνονται ποτέ ξανά , όπως θα έπρεπε.

Σταδιακά γίνονται ευπαθή και ευάλωτα και οι αδυναμίες τους αποκαλύπτονται, κάτι που εκμεταλλεύονται οι κακόβουλοι χρήστες, χρησιμοποιώντας την ισχύ των μηχανών αναζήτησης, προκειμένου να εντοπίσουν τα ευάλωτα plugins και να τα προσθέσουν στη λίστα των επιθέσεων που σχεδιάζουν και κάπως έτσι δημιουργούνται οι κίνδυνοι ασφαλείας wordpress.

WordPress Themes

Ένας ακόμα παράγοντας για την επιτυχία της WordPress είναι τα themes. Η δυνατότητα να μπορεί κανείς γρήγορα και εύκολα να αλλάξει το skin σε μια ιστοσελίδα χωρίς να επηρεάσει στο παραμικρό το περιεχόμενό της, είναι ένα εξαιρετικό χαρακτηριστικό.

Επιτυγχάνει το στόχο του διαχωρισμού του περιεχομένου από την παρουσίαση και επιτρέπει στις μικρές επιχειρήσεις να παρουσιάζουν φρέσκια εικόνα ανά διαστήματα στο κοινό τους, χωρίς να το μπερδεύουν ή να επηρεάζουν τον πυρήνα της λειτουργίας της ιστοσελίδας τους.

Όπως ακριβώς όμως συμβαίνει και με τα plugins και τα themes μπορεί να έχουν τρωτά σημεία και να είναι ευάλωτα σε κυβερνοεπιθέσεις.

Ο πυρήνας της εξάπλωσης της WordPress βρίσκεται στην open-source φύση της πλατφόρμας, κάτι που αυτόματα μειώνει το κόστος χρήσης της και επιτρέπει ταυτόχρονα και προσιτές λύσεις για να συντηρηθεί η ιστοσελίδα (Linux/Apache/PHP).

H σκοτεινή πλευρά αυτού του ανοίγματος όμως είναι πως όσοι ερευνούν τον κώδικα και τον πυρήνα της εφαρμογής, νομοτελειακά ανακαλύπτουν αδυναμίες και τρωτά σημεία στην πλατφόρμα.

Και δεν είναι όλοι ηθικά στοιχεία για να βοηθήσουν στη διόρθωση των ευάλωτων σημείων στον πυρήνα της πλατφόρμας αλλά μπορεί να αποτελούν κακόβουλους χρήστες.

Ένα συνηθισμένο επιχείρημα πολλών τελικών χρηστών της πλατφόρμας συνοψίζεται στην εξής πρόταση: “Γιατί να με ενδιαφέρει ιδιαίτερα η ασφάλεια του WordPress blog/site που κατέχω; Δεν έχω κάτι που αξίζει να κλαπεί από κανέναν“.

Η αλήθεια είναι εντελώς διαφορετική, αφού απλά δεν αντιλαμβάνονται τι μπορεί να είναι αυτό που κάποιος μπορεί να θέλει να κλέψει/βλάψει.

Πολλές από τις επιθέσεις στις WordPress ιστοσελίδες γίνονται σε μια προσπάθεια να “εγχυθεί” κακόβουλος κώδικας στις ιστοσελίδες. Αυτός ο κώδικας μπορεί να έχει γραφτεί για να τοποθετήσει στη συνέχεια κακόβουλο λογισμικό στους υπολογιστές των επισκεπτών της ιστοσελίδας σας.

Οι επισκέπτες σας έρχονται στην ιστοσελίδα σας γιατί σας εμπιστεύονται ως διαδικτυακή πηγή και αν γίνετε κομμάτι της αλυσίδας μιας αντίστοιχης επίθεσης, δεν ενισχύετε μονάχα το μέγεθος και τις ζημιές που προκαλεί η επίθεση αυτή, αλλά καταστρέφετε ταυτόχρονα και τη διαδικτυακή σας φήμη.

Ένα ακόμα σύνηθες σενάριο είναι ο επιτιθέμενος χρήστης να εκμεταλλευτεί μια ευάλωτη ιστοσελίδα με στόχο να χρησιμοποιήσει τους πόρους της σε μια άλλη επίθεση.

Μια ιστοσελίδα που διασκορπίζει spam σε μια λίστα είναι κάτι αρκετά άσχημο, όταν όμως κάτι τέτοιοι γίνεται από 10.000, τότε υπάρχουν προϋποθέσεις και ισχυρά θεμέλια για μια DoS επίθεση(denial-of-service).

Εσείς ως ιδιοκτήτης της ιστοσελίδας θα αισθανθείτε για τα καλά τις πιθανές επιπτώσεις των παραπάνω. O ISP ή η εταιρία που σας παρέχει τις υπηρεσίες φιλοξενίας (hosting) μπορεί να κλείσουν την ιστοσελίδα σας.

Το domain name σας μπορεί να μπει στις πολλές μαύρες λίστες της βιομηχανίας και οι υποψήφιοι πελάτες σας θα βλέπουν προειδοποιητικά μηνύματα στους browser τους, που θα τους ενημερώνουν πως η ιστοσελίδα σας είναι αναξιόπιστη.

Το κλειδί για να ελαχιστοποιήσετε τα κενά ασφαλείας και τους κινδύνους που μπορούν να προκύψουν είναι η σωστή συντήρηση της ιστοσελίδας σας.

Πρέπει να παραμείνετε συνεπείς στη συντήρηση της και να εξασφαλίσετε πως την έχετε ενημερώσει με τις τελευταίες εκδόσεις PHP, WordPress, καθώς και πως τα themes και τα plugins που χρησιμοποιείτε είναι επίσης ενημερωμένα στην πιο πρόσφατη έκδοση.

Υπάρχουν πολλοί διαθέσιμοι πόροι στο διαδίκτυο για να μπορέσετε να ποσοτικοποιήσετε τους κινδύνους για την εγκατάσταση της WordPress ιστοσελίδας που διαθέτετε.

Υπάρχουν λίστες με τα τρωτά σημεία της WordPress αλλά και εργαλεία όπως το WPSCAN με το οποίο μπορείτε να αξιολογήσετε τους κινδύνους για την ιστοσελίδας σας.

Επιλέξτε το κατάλληλο wordpress hosting πακέτο και απογειώστε τις δυνατότητες της ιστοσελίδας σας. Ανακαλύψτε επίσης χρήσιμες πληροφορίες για τα virtual machine και επικοινωνήστε μαζί μας για λύσεις προσαρμοσμένες στις δικές σας ανάγκες.