Ezek a WordPress biztonsággal kapcsolatos tévhitek keltenek hamis biztonságérzetet

Wordpress

Csermák Szabolcs

A cikk szerzője

Csermák Szabolcs nemzetközi minősítéssel rendelkező etikus hacker, aki – az egyébként elhanyagolt – KKV szektor védelmét tűzte zászlajára. Több éve foglalkozik weboldalak biztonságával, az ő nevéhez köthető a Hackerek Éjszakája nevű figyelemfelkeltő akció, amelyről többek között a HVG és a Piac&Profit is beszámolt.

Vigyázat: Ezek a WordPress biztonsággal kapcsolatos, népszerű tévhitek hamis biztonságérzetet keltenek

Mondd: hányszor, hány embertől (és főleg fejlesztőtől) hallottad azt, hogy nehogy WordPress alapú oldalad legyen a neten, mert két pillanat alatt fel fogják törni?

Én legalább ezerszer hallottam ezt, amikor még főként webfejlesztéssel foglalkoztam. Nem értettem, hogy miért ez a nagy fújolás a WordPress ellen. Pár évvel később, már etikus hackerként azt hiszem rájöttem a titok nyitjára:

igen, a WordPress sebezhető lehet, amennyiben nem hozzáértő kezek foglalkoznak vele.

De önmagában ez az információ nagyjából annyit jelent, mintha egy napsütéses napon azt mondanám, hogy ne merészkedj ki az utcára, mert el fogsz ázni! Nyilvánvalóan van némi esély rá, de de szükséges védelmi lépéseket is meg lehet tenni: viszel magaddal esernyőt, vagy megnézed az időjárás előrejelzést.

Néhány beállítással és egy kis odafigyeléssel Te is védőernyőt húzhatsz az oldalad fölé!

Ehhez fogok néhány tippet adni ebben a cikkben, de előtte vizsgáljuk meg, hogy honnan is eredhetnek ezek a rémísztő tévhitek:

opensource – a nyílt forráskód miatt nagyobb az esély, hogy időben felfedezzük a hibákat

opensource – a nyílt forráskód miatt nagyobb az esély, hogy időben felfedezzük a hibákat

A WordPress nyílt forráskódú, bárki letöltheti, és kereshet benne hibákat.

Igen, ez így van! De ettől nem rettegni kell, hanem sokkal inkább örülni neki. Hogy miért? Mert ha bárki talál benne hibát, javíthatja, vagy jelezheti a fejlesztőknek!
Nekem, mint etikus hackernek a minősítésem megtartásához krediteket kell gyűjtenem. Kredit jár érte ha tanulok valami újat, ha előadást tartok, ha vizsgázok. De úgyanúgy jár a kredit, ha egy elterjedt rendszerben (pl: WordPress) hibát találok.

Így aztán WordPress-t, és a hozzá kapcsolódó kódokat etikus hackerek hada nézi át biztonsági szempontból. Az eljárás a következő: ha találok egy hibát, jelzem a fejlesztőnek. Ha a fejlesztő javította, és kijött a frissítés, akkor publikálnom kell, hogy megkapjam a kreditjeimet – innentől lesz ismert hiba a hiba.
Ebből pedig egyenesen következik az, hogy ha a WordPress-edet (Joomla-dat, stb.) nem frissíted, nem tartod naprakészen, akkor az ismert hibák száma – és ez által a potenciális támadás esélye napról-napra nőni fog.

Egy WordPress oldalt pillanatok alatt fel lehet törni, ha…

…ha nincs karbantartva, és van ismert magas besorolású sérülékenysége – folytatom a mondatot ilyenkor. Az igazság az, hogy a web tele van olyan oldalakkal, amit pillanatok alatt fel lehet törni mindenféle ismert hibája nélkül.Ezek az oldalak általában egyedi fejlesztések.

2013-ban rendeztük meg először a “Hackerek éjszakája” fedőnevű akciónkat. A nyár legrövidebb éjszakáján (napnyugtától – napkeltéig) próbáltuk meg feltörni az önként jelentkező célpontok honlapjait.

A 2014-es eseményről a HVG is beszámolt. Ezen az éjszakán több mint 100 oldalt vizsgáltunk meg, így könnyen kiszámítható, hogy nem egészen 5 perc jutott egy-egy oldalra. Hogy az időt jól kihasználjam, írtam néhány egyszerű scriptet, ami a leggyakoribb hibákat próbálja meg feltárni a célzott weboldalon.

Az oldalak harmada 5 perc alatt – automata módon feltörhető volt.

A legdurvább hibákat azonban közel sem a nyílt forráskódú rendszerek adták, hanem az egyedi fejlesztések! Az egyedi rendszerekben több mint háromszor annyi közepes- illetve magas besorolású biztonsági hibát sikerült találni, mint az oly sérülékenynek mondott WordPress-ben!

A WordPress oldalakat folyamatos támadások érik!

Ez tény. De ha biztonságosabb egy WordPress oldal mint egy tipikus egyedi fejlesztésű oldal, akkor mégis, miért támadják ennyire?
Friss adatok alapján, a világ weboldalai között 27%, a tartalomkezelő redszerek között 60%-os részesedése van a WordPress-nek.

Ez több mint 277 millió WordPress oldalt jelent világszerte! Ha hozzávesszük, hogy a szintén friss statisztikák szerint az aktív WordPress telepítések csak mintegy 45 százaléka fut a legfrissebb verzióval, kiszámolható a jelenleg sérülékeny weboldalak száma 100 millió körüli.
Lássuk be, ez azért elég nagy merítés, amire érdemes célozni.

Főként úgy, hogy a WordPress oldalak elég könnyen felismerhetőek, akár Google dork-ok segítségével. A dork egy olyan keresőkifejezés, amivel bizonyos tulajdonságú oldalakat kereshetünk. Például az inurl:”wp-content” Google keresés jó eséllyel WordPress oldalak millióit fogja kiadni, hiszen erre a rendszerre jellemző, hogy például a képeket a wp-content könyvtár alól szolgálja ki.

Összegezve tehát: van nagyjából 100 millió tudottan sérülékeny weboldal, amit ráadásul elég könnyű megtalálni a neten. Naná, hogy rámozdulnak a feketekalapos hackerek!

google dork

google dork – ilyen egyszerű gyenge védelemmel rendelkező weboldalakat keresni

Tévhitek, amik hamis biztonságérzetet nyújtanak

Persze az éremnek is két oldala van. Sok WordPress oldal tulajdonosa úgy gondolja, hogy a weboldala nincsen veszélyben, illetve képes szakszerűen megvédeni azt.

Mielőtt az első WordPress Biztonsági Estet tartottam, megpróbáltam összeszedni az interneten fellelhető jótanácsokat: miként lehet megvédeni egy WordPress alapú weboldalt?

Három hatalmas problémával találkoztam:

  1. Hatalmas mennyiségű informácó áll rendelkezésre, szinte képtelenség végigvinni az ajánlásokat
  2. Sok információ egymásnak ellentmond
  3. Szakmai szemmel nézve: az így fellelhető információk nagy része (több mint fele) egyszerűen semmit sem ér. Így aztán ha valaki autodidakta módon szeretné megvédeni az oldalát, a próbálkozás jó eséllyel kudarcba fog fulladni.

Vegyük sorra a leggyakoribb tévhiteket.

Tévhit #1 “Az én oldalamon nincs semmi……ki akarná ezt feltörni?”

A válasz egyszerű: bármelyik hacker. Blog, vagy egy egyszerű névjegykártya oldal (ahol igazából csak néhány információ van rólad / a vállalkozásodról, de egyáltalán nem interaktív.) – szinte mindegy.

A WordPress törések legnagyobb része nem arra megy ki, hogy érzékeny adatokat szerezzenek meg az adatbázisodból, hanem hogy levélszemét hegyeket küldjenek ki rajta keresztül, esetleg ugródeszkának használják más oldalak / szervezetek – nem feltétlenül WordPress – rendszerének feltöréséhez.

Ha spameket küldenek az oldaladon keresztül, akkor a tárhelyszolgáltatód úgy fogja letiltani a leveleid kézbesítését, mint a villám. Ez esetben nem fogsz tudni hírlevelet küldeni a WordPress-ből, de lehet hogy a személyes levelezésed is korlátozás alá fog kerülni.
A második – ugródeszka – esetben talán rosszabb a helyzet.

Ilyenkor nagy valószínűséggel észre sem veszed, hogy feltörték az oldalt – hiszen a hacker célja a rejtőzködés. Ha viszont az oldaladon keresztül feltört szervezet észreveszi, hogy őt meghekkelték és feljelentést tesz, akkor az első nyomok hozzád fognak vezetni. Hidd el, nem kellemes élmény. Még zöldfülú koromban volt hozzá szerencsém.

Tévhit #2 “Telepítettem egy vírusirtót…”

Azok a “vírusirtó” bővítmények, amelyeket ingyenesen telepíthetsz a WordPress rendszeredhez nem mindenhatók. Tipikusan csak a WordPress alap fájljait vizsgálják, az egyéb feltöltött tartalmakat, saját sablonokat nem ellenőrzik.

Ezen kívül legjobb esetben is csak akkor fognak szólni, ha már feltörték az oldalt. Sőt, lehet hogy ehhez a “riasztáshoz” be kell lépned az adminisztrációs felületre, és csak ott fogod látni a hibát. Gondolj bele: feltörik az oldaladat, hogy spammeljenek róla. A “vírusirtó” csak későn veszi észre, addigra a tárhelyszolgáltatód automatizmusa lehet hogy letiltja a levélküldést. Ha a védelmi bővítményed akarna is riasztást küldeni, nem tud.

Tévhit #3  “Átneveztem a wp-admin könyvtárat…”
Előadásaimon rendszeresen tartok élő bemutatót, önként jelentkezők weboldalán. Egyre több olyan oldallal találkozom, ahol az adminisztrációs rész csak valamilyen furmányos módon érhető el. (például /wp-admin helyett /engedjbe).

Imádom a közönség reakcióit figyelni, amikor megmutatom, hogy mennyire nem ér semmit ez a módszer. Persze bővítményfüggő, hogy éppen milyen trükk működik, de eddig mindig megtaláltam megfelelő módszert.

A legegyszerűbb trükk – amit sok átnevezős bővítmény nem kezel, hogy a /wp-admin helyett a /wp-registration.php-ra navigálunk. Ha a regisztráció zárva, akkor WordPress nagyon rendes: kiírja, hogy bocs, nem lehet regisztrálni, de “lépj be itt”: tálcán kínálva a linket, amiről szegény felhasználó azt gondolta, hogy jól elrejtette. Ha minden kötél szakad, akkor az XMLRPC-n keresztül még mindig kikerülhető ez a fajta korlátozás, de akár a CAPTCHA is.

Tévhit #4  “Megváltoztattam az adatbázisban a wp_ prefixet…”

Ez tipikus példája annak, hogy miként kell teljesen hatástalan dolgok miatt feltelepíteni egy bővítményt (ami ráadásul később okozhat problémát). A helyzet az, hogy ha valaki már hozzáfér az adatbázishoz, akkor igazán teljesen mindegy, hogy a tábla prefix wp_ vagy éppen kukutyin_.

Ha a támadó eljutott odáig, hogy lekérdezéseket futtathasson az adatbázison, akkor kiadhatja a “show tables” parancsot is, amelyre válaszul az adatbázis szerver el fogja árulni, hogy milyen táblákat tartalmaz. Ne legyen kétség afelől, hogy a kártékony kódok lefuttatják-e ezt az egyszerű lekérdezést.

És ami valójában kell a biztonsághoz:

Az egyik leggyakoribb támadási mód a dictionary attack, azaz a szótártámadás. Ez igazából semmi mást nem jelent, minthogy egy szótár alapján megpróbálja a támadó kitalálni, hogy milyen felhasználónévvel és jelszóval lehet beléni az oldalra.

Ha jelszavad szótári szó, vagy szóösszetétel, akkor elég gyorsan megfejthető. Az sem segít, ha számokat írsz a jelszavad elejére / végére, vagy ragozott alakot használsz, mert a jelszótörő alkalmazások ügyesen végig tudják próbálgatni ezeket a variációkat is, sőtt a leetspeak-et is. (a leetspeak, vagy l33tsp34k az, amikor bizonyos betűket formára hasonló számokra cserélsz.)
A legjobban akkor jársz, ha bizonyos számű sikertelen belépési kísérlet után egyszerűen kitiltod azt az IP címet, ahonnan próbálkozott a támadó. Persze egy elosztott támadás esetén nem igazán fog többször ugyanarról a címről próbálkozni, így ebben az esetben célszerű magát a felhasználót letiltani a támadás idejére.

Ezt a kitiltós módszert sikeresen lehet kombinálni azzal, hogy elrejted a felhasználóid nevét. Alapértelmezett telepítéseknél szépen kilistázhatóak a felhasználók: elegendő a webcím mögé beírni, hogy ?author=1 és már láthatod is az 1-es számú felhasználó adatait.

Ugyanígy, a blogbejegyzéseknél is látható a szerző neve, és ha fölé viszed az egeret, akkor a szerző felhasználóneve is láthatóvá válik (a böngésző megmutatja, hova vezet a link). Ha ilyen módon fény derül a felhasználónevekre, akkor a hacker máris egy faktort kizárt a felhasználónév / jelszó párosból, és elég a jelszóra koncentrálnia – ami jóval gyorsabban eredményre vezet. Javaslom tehát, hogy tiltsd le a felhasználók listázhatóságát.

Ugyanígy hasznos lehet kizárni bizonyos országokból érkező látogatókat. Ha mondjuk babakocsit árulsz Szegeden, akkor vajon mennyire fog neked számítani az, hogy Moszkvából, vagy Pekingből nem tudják megnézni az oldaladat? Ha megnézed a statisztikákat, láthatod, hogy szinte a világ minden tájáról érkeznek “látogatók”. Egy tipikusan magyar nyelvű honlap esetében borítékolható, hogy például egy kongói látogató igazából csak próbálja felderíteni a sérülékeny oldalakat. Hacsak nem számítasz rá, hogy valóban ezekből a régiókból lesz üzleted, akkor bátran tiltsd ki őket!

És persze az örök mantrám: frissíts-frissíts-frissíts. Mindig. Azonnal.

Ahogy korábban már említettem, amint egy hibát javítanak a WordPressben, vagy bővítményében, megjelenik egy biztonsági frissítés. Ilyenkor a hiba már publikus, tehát ha nem frissítesz gyorsan, akkor az oldaladnak lesz egy olyan sérülékenysége, amit már baromi könnyű lesz kihasználni – hiszen dokumentáció is született róla.
Néhány ügyfelem nem mert frissíteni, attól félt – vagy esetleg tudta is, hogy valami el fog romlani. Ha olyan bővítményed / sablonod van, ami miatt nem frissíthetsz, akkor jobban jársz, ha kukázod az adott modult.
Védelmi modulok
Sok WordPress felhasználó (főleg, akinek már törték fel az oldalát) megpróbálja házilag orvosolni a biztonsági problémákat. A WordPresshez elég jó biztonsági bővítmények tölthetőek le.

llyen például az iThemes security, vagy a Wordfence. Felhasználói szempontból a probléma az, hogy ezeknek a bővítményeknek a beállítása “pilótavizsgás”.

A Wordfence-nek több mint 100 beállítási lehetősége van, és persze nem tud magyarul. A tipikus felhasználó nekiveselkedik, hogy beállítsa, de körülbelül a 20. opciónál feladja.

Az alapbeállítások adhatnak némi védelmet, de igazán beállítani csak egy hozzáértő tudja. Csak egy példa: az alapbeállításnál húsz elrontott jelszó után tilt ki a Wordfence, mindössze 5 percre.

Wordfence beállítások – Több mint száz opción kell végigmennie az elszánt honlapgazdának

Wordfence beállítások – Több mint száz opción kell végigmennie az elszánt honlapgazdának

Úgy gondolom, nem várható el a felhasználóktól, hogy képzett IT biztonsági szakemberek legyenek. Egy modern védelmi megoldásnál létfontosságúnak tartom, hogy az oldal gazdájának ne kelljen a beállításokkal bíbelődni, valamint hogy a biztonsági házirend beállítását hozzáértő végezze.

Ha magadnak állítod be a WordPress-t, fogadd meg a tanácsaimat, és kétkedve olvass minden olyan cikket a WordPress védelméről, amit nem biztonsági szakember írt!

Még több wordpress

A divi magyarul [RÉSZLETES ÚTMUTATÓ]

A divi magyarul [RÉSZLETES ÚTMUTATÓ]

Minden, amit tudni akarsz a Diviről, a legjobb prémium wordpress sablonról. Egy helyen összefoglalva, érthetően, magyarul, képernyőfotókkal. Erdélyi Norbert online marketing szakértőtől.

Koppints le a módszerem

Így készíts WordPress weboldalt 12 perc alatt, amivel azonnal eladhatsz és listát építhetsz

A rövid, pörgős képernyővideóban a szemed előtt lesz kész egy weboldal, le tudod másolni a lépéseket. Mások hónapokig szenvednek ezzel, pedig pofonegyszerű.

A videó ráadásul ingyenes!

Weboldalt Önállóan Holnapra!

"Technikai Mumus 4.0" Wordpress Oktatóanyag

Hogyan készítsd el a saját wordpress weboldalad a nulláról kezdve, lépésről lépésre. Kézzelfogható, látványos eredmény.

24 990 HUF

Bővebb infó és megrendelés

Kapcsolódó videók

Videó: 7 új csali típus az elavult “ingyenes tanulmány” helyett.

Bővebben wordpress weboldalkészítésről: https://netjet.hu/mumus

Videó: A tartalom marketing 5 elképesztő haszna

Bővebben wordpress weboldalkészítésről: https://netjet.hu/mumus

48% feletti konverzió

Hogyan tudsz te is magasan konvertáló feliratkoztató oldalt készíteni?

Az átlag feliratkozási űrlappal 5-10% iratkozik fel, amit itt mutatok, azzal sikerült elérnem 48,2%-os konverziót is.

3 490 HUF

Bővebb infó és megrendelés

 

Érdekes

Mindegy, mit ad el a weboldalad, ez a lényeg: Hozza tűzbe az ideális vásárlódat. A Mumus 4.0 oktatóanyag ilyen "tűzbe hozós" weboldal készítésére tanít.

Akik nem ideális vevők, velük meg egyáltalán nem kell foglalkozni. Tudod miért?
Olvass tovább a wordpress weboldalkészítésről itt: https://netjet.hu/mumus

Még több wordpress cikk

12 nyomós érv, amiért WordPressre kell váltani

A Wordpress uralja a tartalomkezelők piacát. Itt a 12 legmeggyőzőbb érv, amiért érdemes a Wordpressre váltani.

Videó: Hogyan készíts mega menüt a Divi-vel 1 perc alatt?

Videó útmutató: Hogyan készíts mega menüt a Divi-vel 1 perc alatt? Azonnali megoldás, ha nem fér ki a sok almenüpont.

Koppintsd le a módszeremet:

Így készíts WordPress weboldalt 12 perc alatt, amivel azonnal eladhatsz és listát építhetsz

A rövid, pörgős képernyővideóban a szemed előtt lesz kész egy weboldal, le tudod másolni a lépéseket. Mások hónapokig szenvednek ezzel, pedig pofonegyszerű.

A videó ráadásul ingyenes!

Share This