WordPress je nejčastějším cílem útočníků ze všech redakčních systémů

Popularita redakčního systému WordPress roste doslova každým dnem. K 1. březnu 2015 pohání 23,4 procent všech internetových stránek (+1,9% oproti 2014) a jeho podíl na trhu redakčních systémů je k tomuto datu neuvěřitelných 60,7 procent. Na druhém místě je Joomla, kterou používá 2,9 procent webů (-0,2% oproti 2014) a na třetím Drupal s dvěma procenty (+0,1% oproti 2014). Není se tak čemu divit, že v dnešní době, kdy se na napadených webech dají vydělat slušné peníze, je právě WordPress nejčastějším cílem organizovaných skupin.

Mezi nejběžnější útoky patří brute force. Tedy hádání hesel administrátora. Po instalaci se s ním do pár měsíců setká každý provozovatel WordPress. Nenajdete jej ve statistikách návštěvnosti, ale jsou pěkně vidět v serverovém accesslog. Někdy se jedná o stovky pokusů v krátké době jindy mohou být rozloženy na delší časové úseky. Přitom platí, že počet těchto útoků roste s tím jaké má váš web ranky a je pro útočníky zajímavý. Nejčastěji jsou cílem instalace WordPress s nízkou hodnotou Alexa rank. Tato hodnota se používá pro řazení webů na internetu podle návštěvnosti (1 má Google, 2 Facebook, 3 YouTube atd.) Na Alexa je celkem 30 milionů nejnavštěvovanějších webů, seznam top 1 milion se dá stáhnout (jakmile se sem dostanete je načase se připravit). Zvláštní pozornost je pak věnována top 100 tisíc.

Druhý nejčastější útok směřuje na bezpečnostní slabiny pluginů. Neuplyne měsíc, aby se nějaká nenašla. Nejbezpečnější jsou ty v repositáři WordPress.org, ale takto paušalizovat není ideální. Čím má plugin více uživatelů, tím je lákavější pro útočníky. Krušné chvíle si za minulý rok musel projít třeba nejoblíbenější plugin na rozesílání pošty Mailpoet anebo často používaný Slider Revolution.

Na třetím místě je samotný WordPress. Ten obsahoval zhruba 31,5 procent bezpečnostních chyb (v počtu vedou už zmíněné pluginy s 54 procenty, oficiální šablony jich měly jen 14,3 procent) podle wpwhitesecurity.com. Některé zdroje však uvádí, že jádro WordPress může jen za 1/6 bezpečnostních incidentů.

Pokud pomineme pravidelné brute force útoky, které se snaží uhádnout administrátorovo heslo, mimochodem stačí nepoužívat jako přihlašovací jméno admin a hned se nebezpečí razantně sníží, tak nejčastější formou útoku je XSS (Cross-site Scripting), což je útok, kdy se snaží přes váš prohlížeč útočník poslat škodlivý kód do instalace, a SQLi (SQL injection) zde útočník využívá nezabezpečený vstup k posílání dotazů na databázi. Ačkoliv jsou obojí problémem vývojářů, kteří si musí své výtvory proti těmto druhům útoků ochránit, proti XSS se dá částečně chránit i ze strany uživatele. Jsou totiž postavené na tom, že příkaz za vás provede skript přes javascript a využije toho, že jste aktuálně přihlášení. Takže stačí používat jeden prohlížeč pouze pro administraci WordPress. Prostě nechodit na jiné stránky, neklikat atd. Ačkoliv je pravda, že některé zranitelnosti doslova procpou iframe i do administrace. Zde by šlo případně u prohlížeče nastavit jen stahování dat z domény s WordPress. V každém případě se SQLi toho moc neuděláte.

Postup útoku je většinou stejný. Útočník se snaží po úspěšném útoku umístit do WordPress zadní vrátka (backdoor), díky kterým se do instalace může kdykoliv dostat a ovládat jej. Následně plní skript různé úkony, které mu chodí z C&C serveru. Většinou se stane součástí takzvaného Botnet.

Rok 2015 bude pro WordPress opět plný útoků a zneužívání bezpečnostních slabin. Svou instalaci můžete různými metodami udělat velice odolnou, ale nikdy nedosáhnete 100% ochrany. Základem by tak měla být pravidelná záloha, která v případě problému zajistí nejrychlejší řešení. Prostě vše smažete a nahrajete ze zálohy.