Raport Sucuri: które CMSy są najczęściej infekowane, w jaki sposób i po co

Raport Sucuri

Ekipa Sucuri opublikowała ciekawy raport na temat zainfekowanych stron internetowych. Raport obejmuje pierwszy kwartał 2016 roku i oparty jest na danych zebranych z ponad 11 tysięcy serwisów. Pokazuje on nie tylko jakie CMSy były najczęściej infekowane przez złośliwe oprogramowanie, ale również w jaki sposób się to działo oraz do czego później zainfekowane strony były wykorzystywane.

Na wstępie warto wspomnieć o skali zjawiska. Według raportu, samo tylko Google blokuje tygodniowo około 20 tysięcy stron zawierających malware (złośliwe oprogramowanie) i około 50 tysięcy stron podejrzanych o phishing (wyłudzanie danych). Liczby te są wręcz zatrważające, szczególnie gdy weźmiemy pod uwagę, że prawdopodobnie znaczna większość blokowanych stron to strony zainfekowane.

Kto jest liderem wśród infekowanych CMSów?

Najczęściej infekowane CMSy

Jak nietrudno było przewidzieć, najczęściej infekowanym CMSem jest WordPress (78%). Wynika to z kilku czynników, z których najważniejszym jest jego olbrzymia popularność tego CMSa, przez co tworzenie złośliwego oprogramowania ukierunkowanego na tę platformę jest po prostu najbardziej opłacalne. Nie bez znaczenia jest też duża liczba dostępnych motywów i wtyczek, w których dziury są często wykorzystywane przez atakujących.

Na drugim miejscu, ale daleko za liderem zestawienia, znajduje się Joomla (14%), na trzeciej pozycji uplasowało się Magento (5%), a kolejne miejsce zajmuje Drupal (2%). Celowo pomijam strony działające na autorskim oprogramowaniu, przedstawione na powyższym wykresie jako „Undefined”.

Kto nie lubi aktualizacji?

Nieaktualizowane CMSy

Przyznam szczerze, że to zestawienie jest dla mnie nieco zaskakujące. Okazuje się bowiem, że użytkownicy WordPressa najchętniej go aktualizują – tylko (chociaż w normalnych warunkach byłoby to „aż”) 56% spośród zainfekowanych stron korzystało z nieaktualnej wersji CMSa. Dla porównania, aż 97% stron korzystających z Magento używało jego nieaktualnej wersji. Niewiele lepiej było w przypadku Joomli (85%) i Drupala (81%).

Ekipa odpowiedzialna za rozwój WordPressa w miarę dobrze radzi sobie z zachowaniem wstecznej kompatybilności, dzięki czemu aktualizacje do kolejnych wersji głównych przebiegają w miarę bezproblemowo (zakładając, że korzystamy z poprawnie napisanych wtyczek i motywów). Inna sprawa, że dla wszystkich wymienionych CMSów wydawane są poprawki błędów związanych z bezpieczeństwem, które można instalować bez obaw o to, że coś się na stronie zepsuje (nie zawierają one żadnych nowych funkcji ani poważniejszych zmian).

W raporcie możemy przeczytać, że taki stan rzeczy może mieć też związek z brakiem osób, które mogłyby wykonywać regularne uaktualnienia. Być może coś w tym jest, bo na przykład stawki specjalistów od Magento są nawet kilkukrotnie wyższe niż specjalistów od WordPressa.

Jak najczęściej infekowany jest WordPress?

Najczęściej wykorzystywane luki

Aż 25% infekcji odbywa się przez luki w tylko trzech wtyczkach.

Najpopularniejszą z nich jest Slider Revolution (znana też jako RevSlider). Odkryta w niej na początku 2014 roku luka do dzisiaj jest bardzo aktywnie wykorzystywana przez twórców złośliwego oprogramowania.

Na drugim miejscu tego niechlubnego zestawienia znajduje się wtyczka Gravity Forms, w której poważną lukę odkryto w marcu 2015.

Trzecie miejsce zajmuje TimThumb – skrypt do automatycznego skalowania obrazków, który jeszcze niedawno był często wykorzystywany przez twórców komercyjnych motywów, a który od września 2014 nie jest już wspierany przez autora. Niestety, wciąż istnieje mnóstwo stron, które korzystają z motywów zawierających stare, „dziurawe” wersje TimThumba.

W jaki sposób wykorzystywane są zainfekowane strony?

Rodzaje złośliwego oprogramowania

Pisałem już o tym, co zwykle dzieje się z zainfekowanymi stronami. Raport Sucuri pokazuje nieco dokładnie, do czego atakujący wykorzystują przejęte serwisy. Aż 68% złośliwego oprogramowania zostawia „tylną furtkę”, przez którą twórcy mogą wykorzystywać stronę do swoich celów (wykonując na niej jakiś kod czy infekując ją po raz kolejny). W 60% przypadków zainfekowaną stronę wykorzystywano do dystrybucji złośliwego oprogramowania. 32% infekcji ma na celu tak zwany SEO Spam, czyli wykorzystywanie przejętej strony do poprawy wyników innych stron (głównie przez zamieszczanie linków). W 9% przypadków zainfekowane strony były wykorzystywane jako narzędzia do kolejnych ataków. 5% przejętych serwisów używano do rozsyłania spamu, a 3% do przekierowywania użytkowników na inne strony i wyłudzania danych. W 4% przypadków zainfekowaną stronę podmieniano na inną.

W raporcie wspomniano również o najczęściej występujących złośliwych skryptach, z których najpopularniejszym jest Filesman. Osoby zainteresowane tematem odsyłam do bazy wiedzy Sucuri, gdzie można znaleźć mnóstwo informacji na temat oprogramowania infekującego strony internetowe.

Zachęcam do zapoznania się z całym raportem, który jest dostępny do pobrania (oczywiście za darmo) na stronie Sucuri.

Bezpośredni link

  • Ilekroć zawsze dostaje coś do poprawienia w wordpressie, to zawsze widzę wersje przynajmniej sprzed 2-3 lat, a do tego całość działająca na niedomagających, tanich serwerach ze sztywno ustawionym parserem php w wersji 5.1, oczywiście same instalacje w żaden sposób niezabezpieczone, a właściciele przekonani, że nie ma potrzeby aktualizacji „jak już raz sporo zapłacili”(lub nie są świadomi takiej potrzeby). Najgorzej jednak jest w przypadku Joomli – tutaj często spotykam tak stare wersje, że o „normalnej” aktualizacji po prostu nie ma mowy i czasami to nawet strach zaglądać ;p

    Cóż… konserwacja lub naprawa instalacji to też usługa i tyle z punktu widzenia webdevelopera się liczy.

    PS. W piątym akapicie literówka przy Magento :)

    • Też to regularnie przerabiam… Pół biedy jeśli to WordPress, do którego wychodzą jeszcze poprawki związane z bezpieczeństwem. Ale zdarzają się prawdziwe antyki. ;)

      Joomlą się nie zajmuję, ale mam na przykład OpenCart 1.3 z 2010 roku. ;)

      PS. Dzięki za zwrócenie uwagi – literówka poprawiona.

  • Gdy WordPress jest najbardziej stosowany do tworzenia stron www, to pewne jest najbardziej atakowany :)

    • Nie pamiętam kto to kompletnie powiedział na WordUpie w Toruniu ale było takie fajne porównanie- zamiast atakować jeden biały dom lepiej zaatakować setki konsulatów ;) tutaj jest idealna analogia do WP… to że jest tam GravityForms patrząc po tym co się dzieje w necie jest to chyba druga po WPML najczęściej piracona wtyczka.

  • Jespers

    Świetny blog, pozdrawiam.

  • Drogi autorze strony, chciałem Ci tylko powiedzieć, że robisz świetną robotę. Blog jest naprawdę profesjonalny, layout przejrzysty, świetna typografia, a całość działa bardzo szybko i jest przyjemne w obsłudze. Chylę czoła!

  • Zenek

    Witam

    Na ile bezpieczna jest wtyczka Anti-Malware Security and Brute-Force Firewall?

    Chodzi o instalację na CMS-ie sklepu internetowego, a nie prywatnej stronie, więc bezpieczeństwo to podstawa.

    Pozdrawiam

    • O ile mi wiadomo, ta wtyczka jest bezpieczna – prawdopodobnie niczego nie zepsuje na Twojej stronie. Ale podejrzewam, że nie o to pytasz. ;)

      Na pewno instalacja tego typu wtyczki nie zaszkodzi. Natomiast nie możesz oczekiwać, że zabezpieczy ona Twoją stronę w stu procentach. Bezpieczeństwo to nieco bardziej złożony temat.