Wordpressi-põhised veebilehed on tihti haavatavad – uuri, kuidas sinul seis on!

 (4)
Top Tours
Top ToursFoto: Ester Vaitmaa

Peale juulis toimunud rünnakute lainet panime tähele, et suuremat osa veebilehtedest, mis rünnaku alla sattusid, ühendas üks kindel sarnasus. Kõik veebilehed kasutasid Wordpressi sisuhaldussüsteemi.

Otsustasime olukorra tõsisust ise testida ning panime augusti alguses käiku kampaania, mille käigus tegime 50-le Eesti Wordpressi platvormil ehitatud kodulehele täiesti tasuta auditi, kirjutab AM.ee.

Auditi eesmärk oli näidata veebilehtede omanikele infot nende kodulehe kohta, mida näeb potensiaalne ründaja, ning seda ilma igasuguse ligipääsuta (ehk siis auditi läbiviimiseks piisas vaid avalikust veebilehest).

Mida me avastasime

43 veebilehel 50-st esinesid turvariskid, mida on võimalik avalike ründevektorite (public exploit'ide) kasutamisel rünnata.

45 veebilehel oli võimalik kätte saada haldusliidese kasutaja nimed ja ID’d. 22 veebilehel oli jäänud haldusliidesesse alles admin-nimeline kasutaja.

Antud infot on võimalik ära kasutada brute force-tüüpi rünnakute läbiviimiseks, kuna 45 veebilehel 50-st puudus ka töötav tulemüür, mis takistaks logimiste arvu või üldse antud andmete lekkimist.

Keskmiselt oli igal veebilehel 3 aegunud lisamoodulit(pluginat) ning 2 erinevat haavatavust, mida on võimalik häkkeritel rünnakute läbi viimiseks ära kasutada.

Seotud lood:

Enim kasutatud aegunud moodulid olid järgmised:

* contact-form-7

* WPML

* Yoast-SEO

Enim levinud haavatavused:

* Contact Form 7 <= 3.5.2 – File Upload Remote Code Execution

* WPML <= 3.1.7.2 – Multiple Vulnerabilities (Including SQLi)

Mida me sellest järeldame?

Pea iga veebileht, mis on arendatud Wordpressi platvormile, võib olla järgmine ohver näostamisele ning võib levitada nii pahavara kui ka spämmi.

Kuna rünnakud on poolautomaatsed ning haavatavused tekivad kodulehele praktiliselt iseenesest, siis on vaid aja küsimus, millal su veebilehel istuva aegunud tarkvara kord kätte jõuab.

Mis rünnaku tulemusel juhtub?

Oleme näinud olukordi, kus veebilehe omanik on pidanud varunduste puudumise pärast arendama peale rünnakut täiesti uue kodulehe.

Kui rünnak avastatakse hiljem, (tihtipeale võib nii minna, kui esileht jäetakse puutumata) võib veebileht sattuda musta nimekirja ja rikutakse ka veebilehe SEO, nagu näha alloleval pildil.

ekraanitõmmis (otsimootorisse jääb ründaja märge maha ka peale rünnaku parandamist)

Kui veebilehele on lisatud pahavara ja spämmiroboteid, võid ühel hommikul avastada, et su leht on veebimajutuse poolt hoopis suletud ning taasavada saad selle vaid siis, kui haavatavused on parandatud ja pahavara eemaldatud.

Miks on veebilehe tulemüür niivõrd tähtis?

Tarkvara aegub pea igapäevaselt. Uuendused Wordpressi platvormile tulevad välja üsna tihedalt ning Wordpress pakub enda uuendusi ka üsna agressiivselt.

Kodulehte arendades aga kasutatakse pea alati ka erinevaid lisamooduleid (pluginaid), mis annavad veebilehele juurde mõne spetsiifilise funktsiooni. Antud lisamoodulid aga aeguvad märksa kiiremini ning mõnda neist edasi ei arendatagi ning isegi, kui plugin on haavatav, ei ole uuendusi tulemas.

Teisalt jällegi on mooduleid, mis väljastavad uuendusi iga nädal ja kogu selle uuendusteprotsessiga tegelemiseks oleks vaja juba eraldi inimest.

Tulemüüri eesmärk on ära tunda pahatahtlikud külastajad ning isegi, kui veebilehel on aegunud mooduleid ja nendega seotud haavatavusi, hoiab tulemüür olukorda kontrolli all.

Automaatseid rünnakuid proovitakse läbi viia kogu aeg ning tulemüür teab, kus on veebilehe nõrgad kohad ja kuhu probleemitekitajaid ligi ei lasta.

ekraanitõmmis (26.juunist alates on ka WebARXi veebilehel proovitud läbi viia üle 3000 rünnaku)

Pakume piiratud aja jooksul Wordpressi omanikele tasuta mini-auditeid. Kui tahad teada, mida potensiaalne ründaja su veebilehe tarkvara kohta leiab, siis kirjuta oma soovist meile.