Wnioski z ataków wykorzystujących ostatnią lukę bezpieczeństwa w WordPressie

Ataki

Ostatnie dwa tygodnie były dla mnie dość pracowite, tak więc tylko kątem oka przyglądałem się temu, co działo się wokół krytycznej luki bezpieczeństwa w WordPressie 4.7 i 4.7.1. Zawierająca poprawkę błędu wersja 4.7.2 została wydana 26 stycznia, o czym wspomniałem na Facebooku i uznałem temat za zamknięty. Nie znalazłem niestety czasu na dokładniejsze opisanie tej podatności, a szkoda, bo luka jest nie tylko bardzo poważna, ale również nietypowa, a wykorzystujące ją zmasowane ataki, które rozpoczęły się na początku lutego, trwają do dzisiaj.

Zgłębiając temat doszedłem do kilku wniosków, którymi chciałbym się z wami podzielić.

Czytaj dalej komentarzy 7


Google wprowadza nowe kary dla notorycznie zainfekowanych stron

Bezpieczne przeglądanie Google

Prawdopodobnie każdy użytkownik Internetu zobaczył kiedyś w przeglądarce charakterystyczną czerwoną stronę ostrzegającą przed wejściem na potencjalnie niebezpieczną witrynę. Ta strona to efekt działania wprowadzonego w 2005 roku mechanizmu Bezpieczne przeglądanie Google (Google Safe Browsing), chroniącego użytkowników przed stronami zawierającymi złośliwe oprogramowanie lub w jakiś sposób próbującymi wprowadzić ich w błąd. Mechanizm ten blokuje jednak nie tylko strony, których właściciele z premedytacją umieszczają na nich niebezpieczne treści, ale również zainfekowane witryny, których administratorzy często nie zdają sobie sprawy, że z ich stroną dzieje się coś złego.

Teraz Google wprowadza nowe, bardziej dotkliwe kary dla stron, które zdecydowanie zbyt często trafiają na „czarną listę”. Niestety, zmiany te dotkną również właścicieli zainfekowanych stron, którzy nie do końca potrafią poradzić sobie z wyczyszczeniem swoich witryn.

Czytaj dalej Brak komentarzy


Poważna luka bezpieczeństwa we wtyczce W3 Total Cache

W3 Total Cache

W serwisie SecuPress pojawiła się informacja o luce bezpieczeństwa w popularnej wtyczce W3 Total Cache. Luka ta umożliwia wykonanie ataku XSS (Cross-site scripting) w panelu administracyjnym. Problem jest o tyle poważny, że z rozszerzenia tego aktywnie korzysta grubo ponad milion stron (dokładnych danych oczywiście brak), a autor nie wydaje się być zainteresowany dalszym rozwojem wtyczki.

Mimo że luki tej nie należy lekceważyć, to szum, jaki został wokół niej wywołany, ma nieco kontrowersyjne podłoże.

Aktualizacja 26.09.2016: pojawiła się wersja 0.9.5 wtyczki, która poprawia między innymi opisywany we wpisie błąd.

Czytaj dalej komentarzy 20


Od jutra 80% stron działających na WordPressie będzie korzystać z niewspieranych wersji PHP

WordPress - używane wersje PHP

10 lipca 2016 oficjalnie kończy się wsparcie dla PHP 5.5. Oznacza to, że poprawki błędów (w tym również tych związanych z bezpieczeństwem) będą przygotowywane tylko dla wersji 5.6 i 7.0. Tymczasem z oficjalnych statystyk wynika, że prawie 80% stron działających na WordPressie korzysta z PHP w wersji 5.5 lub starszej.

Czytaj dalej komentarzy 19


Raport Sucuri: które CMSy są najczęściej infekowane, w jaki sposób i po co

Raport Sucuri

Ekipa Sucuri opublikowała ciekawy raport na temat zainfekowanych stron internetowych. Raport obejmuje pierwszy kwartał 2016 roku i oparty jest na danych zebranych z ponad 11 tysięcy serwisów. Pokazuje on nie tylko jakie CMSy były najczęściej infekowane przez złośliwe oprogramowanie, ale również w jaki sposób się to działo oraz do czego później zainfekowane strony były wykorzystywane.

Czytaj dalej komentarzy 9


Jak prawidłowo robić kopie bezpieczeństwa strony

Backup

Robisz regularnie kopie bezpieczeństwa swojej strony? Jeśli nie, to niezwłocznie zacznij. Jeśli tak, to świetnie – ale czy na pewno robisz je prawidłowo? Czy w razie problemów zawsze będziesz w stanie w miarę szybko odtworzyć swoją stronę?

Postanowiłem zebrać kilka porad, z których warto korzystać przy tworzeniu kopii bezpieczeństwa naszych stron.

Czytaj dalej komentarze 32


Co hakerzy robią z zainfekowanymi stronami?

WordPress Malware

Wiemy już, w jaki sposób najczęściej infekowane są strony działające na WordPressie. Pora więc sprawdzić, do czego hakerzy wykorzystują serwisy, nad którymi przejęli kontrolę.

Jak już kilkukrotnie pisałem we wpisach poświęconych bezpieczeństwu, atakującym zwykle nie chodzi o wyłączenie lub zniszczenie naszej strony – najczęściej starają się, abyśmy jak najdłużej myśleli, że wszystko jest z nią w porządku, dzięki czemu mogą ją wykorzystywać do swoich celów.

Czytaj dalej komentarze 3


W jaki sposób infekowane są strony działające na WordPressie?

Zabezpieczenia

Na blogu Wordfence pojawiło się ciekawe zestawienie sposobów, za pomocą których najczęściej infekowane są strony działające na WordPressie. Analiza obejmuje 1032 przypadki, które wprawdzie stanowią jedynie niewielki procent ogólnej liczby infekcji, ale można na ich podstawie wyciągać już jakieś sensowne wnioski.

Czytaj dalej komentarzy 12


Kolejna wtyczka ze złośliwym kodem w oficjalnym repozytorium

Oficjalne repozytoriumWordPress - bug WordPressa jest uważane za najbezpieczniejsze źródło darmowych wtyczek. Wpadki zdarzają się jednak nawet najlepszym, czego dowodem może być sytuacja sprzed dwóch dni, kiedy to w jednym z rozszerzeń wykryto złośliwy kod. Warto dodać, że kod ten siedział sobie spokojnie w repozytorium przez ponad dwa tygodnie.

Czytaj dalej komentarze 4


Uwierzytelnianie dwuskładnikowe w WordPressie

Uwierzytelnianie dwuskładnikowe

Pisząc o bezpieczeństwie serwisów opartych na WordPressie najczęściej skupiam się na zabezpieczaniu stron przed atakami z zewnątrz. Jednak równie ważne jest zadbanie o jak najlepsze zabezpieczenie samego procesu logowania, tak aby nikt niepowołany nie uzyskał dostępu do konta z uprawnieniami administratora.

Jedną ze skuteczniejszych i najpowszechniej stosowanych metod zabezpieczania procesu logowania jest uwierzytelnianie dwuskładnikowe (two-factor authentication), nazywane też dwuetapowym. Metoda ta polega na dodaniu do procesu logowania dodatkowego składnika w postaci zmieniającego się co pewien czas kodu. Kod ten może być dostarczany użytkownikowi za pomocą SMSa, poczty e-mail (podobnie jak w opisywanej przeze mnie wtyczce Paswordless) czy generowany przez dedykowaną aplikację. Dzięki temu nawet jeśli ktoś wejdzie w posiadanie naszego loginu i hasła, to i tak nie będzie w stanie zalogować się na nasze konto.

Czytaj dalej komentarzy 9