V raziskavo je bilo vzetih 10 000 najbolj gledanih strani na svetu
Ugotovili so, da 49% WordPress strani ni posodobljenih na zadnjo, najvarnejšo različico in da je 33% strani vsaj dve verziji za najnovejšo.
WordPress je najpogosteje uporabljena platforma za izdelavo spletnih strani, pravi Adam Cohen, spletni razvijalec in strokovnjak za varnost z več kot 15-letnimi izkušnjami. S tem pa je tudi najpogostejša platforma, ki jo spletni kriminalci napadejo. Če odkrijejo ranljivost, jo lahko reproducirajo na več sto tisoč spletnih mest.
Dejstvo, da številna spletna mesta niso posodobljena na najnovejšo verzijo, je zaskrbljujoče. Tako vas napadejo spletni kriminalci.
Metodologija in ključne ugotovitve
Raziskavo so izvedli na 10 000 svetovnih straneh z največ obiska. Izvedena je bila dva dni preden je WordPress objavil verzijo 4.9.5. Ugotovili so, da je 17% vseh strani narejenih v WordPressu.
Raziskava je pokazala:
- 17% strani je narejenih v WordPressu
- 50,93% je posodobljenih na zadnjo, najvarnejšo različico
- 49,07% ni posodobljenih na zadnjo verzijo
- 33,58 je vsaj dve verziji za zadnjo izdano
WordPress, ki ni posodobljen, je na dobri poti, da vanj vdrejo
Veliko ljudi noče posodobiti svoje WordPress strani, saj se bojijo, da bodo s tem porušili stran, sploh če spremembe v temi niso v tako imenovani “Child Theme” ali pa da verzija vtičnika ni kompatibilna z verzijo WordPressa.
Če ste lastnik WordPress strani, priporočamo, da jo redno posodabljate, prav tako pa skrbite tudi za posodobitev vtičnikov.
Posodobitve so z razlogom
Spletni kriminalci najverjetneje ranljivosti sploh ne najdejo sami. Ko je izdana nova verzija WordPressa ali vtičnika, napišejo, katera ranljivost je bila odpravljena. In če nimate posodobljene strani, ste lahko tarča.
Ko vas enkrat napadejo, je stran težko popraviti, saj so napadalci lahko ustvarili skrite točke vhoda.
Dobra novica je, da je WordPress, vtičnike in temo lahko posodabljati kar preko administracijskega namizja. Če WP posodobitev spodleti, se samodejno postavi na stanje, ki je bilo pred posodobitvijo.
Vsakdo je lahko napaden
Najpogostejša zmota je, da mislite, da ste premajhni, da bi vas napadli. Napadalci ne izbirajo tarče po velikosti podjetja. Ko zaznajo ranljivost, bodo ustvarili izkoriščanje te ranljivosti in nato oddali široko mrežo (najpogosteje avtomatsko), da bi videli, kdo ni posodobljen. Napadalcev ne zanima kdo ste in kaj delate, samo da imate spletno mesto. Vašo spletno stran bodo izkoristili, kolikor lahko: pogledali bodo, katere podatke lahko ukradejo in jih na primer uporabijo na drugih sistemih, ki jih mogoče imate. Mogoče bodo vašo spletno stran nasmetili z neželeno vsebino ali pa jo uporabili za shranjevanje ukradenih podatkov, ilegalnih slik itd.
Rezultat je vsaj slaba javna podoba, ko je ugotovljeno, da je bila vaša stran napadena.
Kako ohraniti vašo WordPress stran varno?
Najboljši nasvet, ki vam ga lahko damo je, da morate redno skrbeti, da je vaša različica WordPressa in vseh vtičnikov, ki jih uporabljate, posodobljena na najnovejšo verzijo.
WordPress sam javi, kdaj je na voljo posodobitev. Poskrbite tudi, da spremembe v temi delate na t.i. “Child” temi, tako da lahko tudi temo redno posodabljate. Če vtičnik ni združljiv z zadnjo verzijo WordPressa, razmislite o zamenjavi. Najpogosteje uporabljani vtičniki se posodobijo v sinhronizaciji z WordPressom, tako da se lahko ranljivosti popravijo čim prej.
Redno posodabljajte tudi geslo in se prepričajte, da podjetje, kjer gosti vaša spletna stran tudi redno posodablja knjižnice Linux/Unix, Php, MySQL. Stare vtičnike, ki jih ne uporabljate ali so zastareli, izbrišite.