Pokud pravidelně čtete informace ze světa internetových technologií anebo čtete diskuzní fóra s tématem programování a tvorby webových stránek, určitě vám neuniklo velké množství témat, které se věnují hacknutým anebo zavirovaným redakčním systémům WordPress, Drupal a Joomla!. Člověk má až pocit, že tyto redakční systémy jsou snad děravé jak cedník a jen šílenec by si je nainstaloval na webhosting pro seriózní projekt. Opak je však pravdou.
Ve skutečnosti jsou tyto redakční systémy tvořeny profesionálními vývojovými týmy lidí, kteří do nich zdarma věnují velké množství úsilí. Přitom díky otevřenému kódu, který je volně přístupný všem, jsou často už při vývoji odhaleny téměř všechny bezpečnostní nedostatky. Do finální verze se tak dostanou pomyslné díry jen velice zřídka a případný útočník navíc musí často spoléhat na „hloupost“ administrátora.
Jak je tedy možné, že jsou tak často napadeny? Pravdou je, že opět za vším stojí lidský faktor. Administrátoři stahují šablony a rozšíření z neověřených zdrojů. Dokonce se rozmáhá stahování placených šablon z warez webů. Dále je tu nedostatečná iniciativa ze stran administrátorů o pravidelnou aktualizaci. Například WordPress už zašel tak daleko, že bezpečnostní aktualizace instaluje automaticky, bez přičinění provozovatele webu. Nesmíme zapomínat i na nedodržování bezpečnostních pokynů, jako je používání pořádných hesel. Jednoduše řečeno za převážnou většinu problémů si mohou administrátoři prostě sami.
To je však jen jedna část. Tou druhou je velké rozšíření těchto redakčních systémů. Samotné jádro je přitom jedno jako druhé. Tedy o hledání bezpečnostních děr se dnes už masivně snaží roboti. Ti prochází jeden web indexovaný ve vyhledávačích za druhým a hledají například neaktualizované redakční systémy. Podle některých statistik právě takto bylo kompromitováno více jak 170 tisíc instalací WordPress.
Nemusí se však čistě jednat o jádro systémů, které prošli odborníci před každým vypuštěním několikrát. Oblíbené rozšíření, které si stáhli miliony lidí jsou častěji zdrojem nákazy. Podle některých odborníků na IT bezpečnost až 20 procent z nejoblíbenějších rozšíření je nějakým způsobem možné zneužít. Samozřejmě většinou se jedná o shodu určitých událostí a zároveň podcenění bezpečnostních opatření. Je nutné zvážit, že redakční systémy ve většině případů využívají několik rozšíření naráz.
Takže hackery, hledající chyby dnes už nahradily roboti, ale k čemu je vlastně využívají? Od „neškodných“ hlášek typu „byl jsem tu h4ck3r“ se přešlo k tvrdému vydělávání peněz všemi prostředky. Váš redakční systém se může proměnit na zombie v botnetu, rozesílat spam, přesměrovávat návštěvníky na reklamu, přepíše kódy reklamních banerů, přidá odkazy na jiné stránky, pokud web navštíví robot vyhledávačů a samozřejmě oblíbené šíření malware.
Obrana před hacknutím
Ochránit svůj web na sto procent nejde. Stále jsou tady zero day exploit, na které v době objevení není ještě všude ochrana a musíte si počkat do další aktualizace. Ovšem razantně se dá zvýšit bezpečnost pomocí několika základních pravidel.
- Jakmile vyjde nová aktualizace okamžitě jí nahrajte. Sledujte novinky o vašem redakčním systému přes odběr emailů anebo sociální sítě.
- Používejte pluginy na ochranu. Se správným nastavením dokáží razantně zvýšit zabezpečení administrace a preventivně bránit některým útokům (změna práv, whitelist IP adres, 2FA, Firewall).
- Pravidelně zálohujte. Když už dojde k napadení a máte aktuální zálohu je často daleko jednodušší vše přemazat. Dopad na běh webu je tak minimalizovaný. Za minimum se považuje jedenkrát týdně.