Miért a WordPress a legtöbbet feltört weboldal?

A WordPress (WP) a világ legnépszerűbb tartalomkezelő rendszere, ezért a legnépszerűbb a kibertámadások célkeresztjében is. 2021-ben a weboldalak ellen irányuló hacker támadások 95.62%-a a WordPress oldalak ellen irányult. 

Hogyan lehetséges ez? Miért pont a WordPress van fókuszban? Mit érnek el ezzel a hackerek? Mennyire megbízható a WordPress? Ezekre a kérdésekre fogunk alábbi cikkünkben választ adni. 

Egy biztos, ha azt gondolod, hogy a te weboldaladon semmi olyan nincs, ami a hackerek figyelmét felkeltené, ez a cikk határozottan neked szól.

Rés a pajzson:

az opensource CMS előnye és hátránya

Mielőtt mélyebben belemerülünk a témába, összeszedjük a legfontosabb tudnivalókat. A WordPress keretrendszer egy ingyenesen hozzáférhető, sokoldalú és bárki számára könnyen kezelhető rendszer, amely rugalmas alapot nyújthat az online jelenléthez. Részben ezért is a legnépszerűbb a felhasználók körében és egyben ez a tényező teszi a WordPress rendszert sebezhetővé.

A WordPress három fő részből épül fel, amelyet szükséges értenünk a biztonsági kockázatok megértéséhez:

• WordPress alaprendszer (alapfájlok és adatbázis)
• WordPress téma/sablon fájlok 
• WordPress plugin fájlok

Ha a weboldaladat csak a WordPress alaprendszerre szűkíted, hiányozni fog több olyan dolog is az oldalról, amely szükséges a teljes használathoz. Sok funkciót el tud látni már maga az alap WordPress is, azonban nem lát el mindent, amelyre szükséged lehet, ezért van szükség sablonra és bővítményekre is. A sablonok segítenek kialakítani a weboldal megjelenését és egyéb funkciókat is elláthatnak, a bővítmények pedig szabályozzák a weboldal funkcionalitását, működését.

A weboldal-tulajdonosok hozzáértés hiányában nem üzemeltetik, frissítik weboldalukat, bővítményeiket megfelelően és ez rendszerszintű biztonsági rések lehetőségét nyújtja a hackerek számára, akik hatékony eszközökkel próbálkoznak a WordPress oldalak feltörésén.

Miért akarják feltörni a weboldalad?

A kibertámodások mögötti motivációkat két kategóriába sorolhatjuk: direkt és indirekt támadások. A direkt támadásoknál a weboldalaknak, webáruházaknak közvetlenül van fenyegetetsége, tehát esélyes, hogy célzottan indul ellenük támadás üzleti károkozás, versenyhátrány okozása vagy haszonszerzés céljából. Az indirekt, vagyis tömeges támadásokra minden WordPress weboldal és webáruház számíthat függetlenül a méretétől, az iparágtól és a látogatói forgalmától. Ennél a támadásnál a cél az, hogy hálóba kerüljenek tömegesen azok a weboldalak, amelyek a biztonsági rések lehetőségét hordozzák, ezzel teret adva a próbálkozásoknak. 

Tehát míg a direkt támadások viszonylag szűk halmazra jelentenek veszélyt, addig a tömeges támadások, illetve próbálkozások kivétel nélkül minden WordPress oldalt fenyegetnek. 

A hackerek nem csupán a nagyvállalatokat akarják károsítani. A számukra elérhető kifinomult technológiákkal válogatás nélkül minden lehetőséget megragadnak, amely által bármilyen anyagi vagy üzleti előnyhöz juthatnak például a weboldalon tárolt szenzitív  adatok megszerzése révén (felhasználói adatok, vásárlási adatok, kapcsolatfelvételi adatok, hírlevél feliratkozók) és/vagy ennek hiányában a weboldalra további adathalászat célzó reklámok, vírusok elhelyezésével.

Egy biztos, a világhálón és a dark weben az adatokkal való kereskedelem jövedelmező iparág, továbbá a felhasználók közvetlen anyagi károsítása (bankkártya és egyéb üzleti adatok alapján) is igen jövedelmező tevékenység. A következőkben bemutatjuk, hogy miért és milyen technikákkal próbálkoznak a kalózok a weboldalak feltörésén.

Ellopják a látogatók személyes adatait

Ez az, ami miatt a látogatóid nyilván a legjobban aggódnak és ami remélhetőleg soha nem történik meg, mivel üzletileg, jogilag és PR szempontból is költséges és negatív következményekkel járhat. Nem is beszélve a felhasználók márkádba vetett bizalmának elvesztéséről.

A hackerek számos módon hozzájuthatnak ezekhez az információkhoz és különböző dolgokra használhatják fel azokat. Sok esetben a saját személyes anyagi haszonszerzésük érdekében teszik ezt (pl. értékesítik a dark weben), de előfordulhat az is, mint az Ashley Madison hack esetében, amikor is a felnőtt partnerkereső weboldaltól 60GB céges, de leginkább magánszemélyekhez köthető adatokat loptak el, majd ezen privát adatokat nyilvánosságra hozták torrenten és a dark weben egyaránt. A cél az volt, hogy egy etikai közösség így hívja fel a figyelmet a viszony kapcsolatokat segítő weboldal erkölcstelenséget segítő tevékenységére.

A weboldalt SQL injekciós (SQL injection) támadással törték fel és fértek hozzá 37 millió felhasználói adathoz, névvel, címmel, tranzakciós adatokkal együtt.

Ellopják a vállalkozások üzleti adatait

A cégek nagy erőfeszítésekkel dolgoznak azon, hogy a vállalkozásukkal kapcsolatos üzleti adatokat – különösen, ami a pénzügyi és ügyféladatokat illeti – titokban és biztonságban tartsák. Éppen ezért rendkívül fontos, hogy ezen információkat nagy figyelemmel és biztonságosan kezeljék, hogy ne váljanak bárki számára könnyen hozzáférhetővé.

A híres Heartbleed bug egy tökéletes példa arra, amikor a cégek nem fordítanak kellő figyelmet a fentiekre. Az OpenSSL egy szoftver, amely a weboldalak működésének biztonságát célozta volna növelni, ehyelyett a Heartbleed bug néven is elhíresült biztonsági incidens végül azt eredményezte, hogy érzékeny üzleti adatokat küldött vissza a szoftver a hackerek számára, ezzel kijátszva számos cég OpenSSL szoftverébe vetett bizalmát.

Ez a botrány akkoriban az interneten elérhető weboldalak közel 70%-át érintette.

Malware, azaz rosszindulatú szoftverek elhelyezése

Bizonyos esetekben a hackelés egyszerűen arról szól, hogy rosszindulatú tartalmat (malicious content) juttatnak a WordPress és egyéb webhely front-endjére, rendszerébe.

Mi az a malware? Malicious software rövidítése, amely kártevő szoftverekre utal. Ide tartoznak a trójai vírusok, féreg és egyéb kémprogamok (spyware), a zsaroló vírusok, programok (ransomware), az agresszív reklámprogramok (adware), illetve a láthatatlanul operáló szoftverek (rootkit), amelyek teljes hatalmat biztosítanak a hackereknek bármilyen rendszer felett. 

Ezen eszközök különböző módon tévesztik meg a felhasználókat, látogatókat és cizellált technikákkal próbálnak hozzájutni különböző (belépési) adatokhoz. Ez sokféle formát ölthet, történhet komment spamek, feltört email címeken, közösségi profilokon keresztül kiküldött adathalász üzenetek segítségével, vagy metévesztő reklámok használatával is. 

A fentiekre a NextGEN Gallery bővítmény esete tökéletes iskolapélda, ahol ugyanis a SQL injekcióval (SQL injection) feltörték a bővítményt és malware eszközként használva a hackerek több, mint 1 millió WordPress oldalhoz férhettek hozzá, módosíthatták a webhely PHP kódját, sebezhették a bővítményen keresztül a webhelyeket és szívhatták el az adatokat.

Vírusok terjesztése

A hackerek másik módszere, amellyel a látogatók csapdába ejtésére törekednek az, hogy a WordPress webhelyet vírusok és rosszindulatú programok terjesztésére használják. Ezt megtehetik a backendbe juttatott rosszindulatú kóddal, vagy a frontendre feltöltött megtévesztő tartalomletöltésre kínált fertőzött fájlokkal. 

Amikor a látogatók interakcióba kerülnek a vírusokkal, a hackerek már játékos könnyedséggel szerzik meg a látogatók adatait, vagy ezen mit sem sejtő látogatók számítógépét használják arra, hogy vírusokat terjesszenek más webhelyek irányába is, ezzel egyre nagyobb hálót építve csapdájuknak.

A BlogVault biztonsági bővítmény feltörése jó példa erre, a bővitmény feltörés révén a hackerek rosszindulatú szoftverekkel tudták megfertőzni azokat a WordPress weboldalakat, amelyeken ezt a bővítményt installálták és használták.

Adathalász oldalak hosztolása a weboldalad szerveréről

A webhelyeken történő adathalászat alapvetően arra utal, amikor a hackerek hamis oldalt hoznak létre a WordPress webhelyeden, hogy megpróbáljanak információkat gyűjteni a látogatóktól, akik a megtévesztés áldozataként hajlandóak megadni azokat. Ezt megtehetik úgy, hogy észrevétlenül beágyaznak egy kapcsolatfelvételi űrlapot az oldalra és közvetlenül gyűjtenek információkat, vagy átirányíthatják a látogatókat egy másik weboldalra, ahol megpróbálják kicsalni ezeket az információkat.

A Google heti szinten közel 50 000 webhelyet tesz feketelistára az adathalász csalások miatt.

SEO tartalmú weboldalak hosztolása a weboldalad szervereiről

Hisszük vagy sem, de nekik is láthatónak kell lenniük. És hogy működjön az üzlet, meg akarnak felelni emiatt a keresőmotor óriásoknak (pl. Google) is. Vannak hackerek, akik energiát fektetnek a SEO-ba, éppen ezért ártatlan weboldalak szerverein üzemeltetnek keresőoptimalizált aloldalakat, majd az ezekre érkező látogatói forgalmat  backlink (visszahivatkozás) módszerével átírányítják az adathalász saját oldalaikra, ezzel erősítve az organikus eléréseiket és láthatóságukat a Google keresőben.

Ennél a módszernél a mit sem sejtő weboldalakon élősködnek és szofisztikált módon próbálják üzleti érdekeiket növelni.

Webszerverekre irányuló túlterheléses támadások

Amikor a hackerek nagy mennyiségű lekérdezésekkel  túlterhelik a webszervert, azt túlterheléses (denial-of-service vagy DoS) támadásnak nevezzük. A célja ezzel, hogy a támadott oldal felhasználói ne tudják elérni a számukra fontos információkat, webhelyet vagy a hálózatot. A támadás hatására a rendszer nagyon lelassul, elérhetetlenné válik, esetleg össze is omolhat.

Miért is tennék ezt? Ennek több oka is lehet, de alapvetően, hogy az elérhetetlen weboldal/webáruház esetén közvetlen üzleti károkat okozzanak, továbbá ezt zsarolásként felhasználva anyagi haszonhoz jussanak

Weboldalak erőforrásainak, sávszélességének kihasználása

Nem gondolnánk, de már nagyon egyszerű módszerrel lophatják a weboldalunk működését biztosító erőforrásokat. Ennek egyik módja az úgynevezett hotlinking. Képzeld el, hogy a weboldalad főoldalára feltöltesz egy videót, vagy egy nagyobb méretű fájlt. Mivel felkerül a szerveredre, lesz hozzá egy direkt link, amelyet egy teljesen idegen oldal elkezd használni. Tehát ő nem feltölti a saját szerverére a tőled megszerzett tartalmat, hanem csak behivatkozza az oldalad videó/fájl URL-jét, így amikor az ő látogatóinak betölt az ő weboldala, akkor a videó/fájl betöltése a te weboldalad szerveréről fog megtörténni, ezzel lopva az oldalad szerveres erőforrásait.

Vannak azonban más, súlyosabb módszerek is, amelyekkel a hackerek ellophatják a szervered erőforrásait, hogy saját aljas tevékenységeiknek hasznait juttassák előnybe. Ilyen például a kriptovaluta bányászat és más webhelyek, rendszerek elleni brute force támadások is. Pontosan ez történt a Monero bányászati hack esetében is, amely során a feltört webhelyeket a hackerek észrevétlenül az erőforrásigényes kriptovaluta bányászatra használták.

Weboldalak vandalizálása

És persze ott van a honlapok vandalizálása is. A hackerek ezt többnyire azért teszik, hogy gyakoroljanak, új módszereket teszteljenek, reputációt építsenek és a hackerek egymás közötti versengésben szakmailag bizonyítsanak a weboldalak kárára. Az egyik legnagyobb vandál akció 39 000 weboldalt érintett, amikor is a WordPress kiadott egy új biztonsági frissítést, amelyet sok weboldaltulajdonos nem telepített és a régi verzió biztonsági réseit kihasználva a hackerek máris könnyedén kiélhették magukat a weboldalakon. 

Vandalizmus több módon is megnyilvánulhat, jellemzően a weboldal megjelenését írják át, különböző oda nem illő információkat jelenítenek meg, eltűntetnek tartalmakat, akár az egész weboldalt is, a vállalkozást rossz fényben feltüntető dezinformációkat tesznek közzé, vagy akár kontextus nélkül explicit tartalmakat tesznek elérhetővé.

Egyáltalán mennyire megbízható a WordPress a fentiek tekintetében?

Bármilyen informatikai rendszerről legyen szó a világon, legyen az Apple, Google szolgáltatás vagy Microsoft termék, mindegyiknél előfordulhat biztonsági rés / sebezhetőség.

Egyrészt azért, mert ahogyan az IT technológia folyamatosan fejlődik, az elavult (nem fejlesztett/frissített) rendszerek könnyebben válnak a támadások célpontjaivá a legújabb kibertámadási eszközöknek.

Másrészt azért, mert ha le akarjuk követni a technológiai fejlődést, akkor folyamatosan fejleszteni kell. Ez frissítési csomagok kiadását jelenti a meglévő szolgáltatásoknál. Sok esetben a fejlesztéseket az üzleti terület helyezi nyomás alá, legfőképpen hogy mielőbb kikerüljenek az új funkciók, megjelenéssel kapcsolatos frissítések. Ennek az üzleti nyomásnak eredményeként előfordulhatnak hiányosságok a fejlesztésekben, mert a fejlesztők nem tudják vagy erőforrások hiányában nem képesek teljeskörűen letesztelni a módosításokat. Ezen okokból kifolyólag előfordulhatnak biztonsági rések, amelyek lehetőséget teremthetnek a hackerek számára. 

A fentiektől függetlenül a nagy rendszereket fejlesztő vállalatok megoldásai még így is rendkívül biztonságosnak ítélhetők meg. Az alapkérdés nem az, hogy önmagában a WordPress biztonságos-e vagy sem, mert egyértelműen az, hanem az, hogy a WordPress-t hogyan lehet játékos egyszerűséggel hozzáértés hiányában sérülékennyé tenni. Hiszen a weboldal karbantartásának és felügyeletének minősége fogja meghatározni a weboldalunk kitettségét a feltörésekkel szemben.

Összegzés

A hackerek a mai digitális és bizalmi világban, fontos és szenzitív adatokhoz férhetnek hozzá és élhetnek vissza ezekkel, amely komoly üzleti károkkal és negatív ügyfélmegítéléssel járhat. A visszaélések csökkentése érdekében egyre több jogi szabályozás lépett érvénybe (pl, GDPR), amelyek jelentős jogi terhet jelenthetnek a márkáknak és üzleteknek, abban az esetben ha nem tudják biztosítani a fogyasztók adatainak biztonságát.

2020-ban 5.5 milliárd euró volt a kiberbűnözés éves költésge a globális gazdaság számára.

Tehát kiemelten fontos a fenti példák alapján, hogy kellő figyelmet fordítsunk a weboldalak, webáruházak védelmére és üzemeltetésére, amely nem egyszerű feladat, hiszen szakértői hozzáértés kell hozzá, hogy valóban védettek legyünk a visszaélésekkel szemben. 

Mit tehetsz ennek érdekében?

• Válassz minőségi tárhelyszolgáltatót
• Készíts biztonsági mentéseket rendszeresen
• Biztosítsd be a weboldalad minden szinten: szerver, domain, WordPress, bővítmények, sablonok, még a saját számítógéped szintjén is
• Használj valamilyen megbízható biztonsági bővítményt
• Használj CDN-t
• Használj SSL tanúsítványt
• Futtass biztonsági ellenőrzéseket
• Kövesd a frissítéseket, és mielőtt telepítenéd őket, teszteld és/vagy olvass utána a felhasználói tapasztalatoknak
• Használj monitoring eszközöket

Vagy

Használd a piac legmodernebb technológiáit alkalmazó SWPH™ tárhelyszolgáltatást, ahol a legmagasabb biztonsági indexet elérve üzemeltetjük a weboldalad. 

A SMART WP HOSTING™ szempontrendszere kiemelkedő minőséget nyújt a tárhelyszolgáltatók piacán: 

• Monitoring
  Az üzemeltetés 0-24h megfigyelés keretében üzemel több rendszerszinten, hogy zavartalan működést biztosítsunk az online jelenlétben
• WordPress rendszer figyelése
• A weboldal figyelése
• A weboldal teljesítményének figyelése
• Hosting környezet figyelése
• Security
  Számunkra kiemelten fontos a biztonság, ezért több szintű védelmi rendszert üzemeltetünk
• Szerver szintű tűzfalvédelem
• WordPress szintű tűzfalvédelem
• Domain szintű tűzfalvédelem
• Kétfaktoros (2FA) autentikáció
• Cloud hosting
  A világ legfejlettebb szerver infrastruktúráját használjuk, amelyet a Google Cloud Platform biztosít, ennek minden előnyével
• Maintenance
  Hozzáértéssel üzemeltetjük a weboldalad, ez a WordPress rendszer és a bővítmények frissítés előtti átnézését (verziószám követése, hogy kompatibilis-e egymással a rendszer és a bővítmények), majd tesztkörnyezetben való tesztelését és problémamentes működés esetén az éles környezetbe történő telepítését jelenti.

Tudj meg többet az SWPH™-ról!

Próbáld ki kockázat nélkül

Amennyiben nem felel meg igényeidnek szolgáltatásunk, időarányosan – a fennmaradó időszakra fennálló összeget visszafizetjük neked.