Jak již mnozí z vás jistě sami vědí, WordPress je naprostou jedničkou na poli redakčních systémů. Jeho popularita je však provázena řadou úskalí, a to především ve formě bezpečnostních hrozeb, kdy je právě WordPress častým cílem hackerů. V následujících řádcích si povíme, s jakými typy útoků se můžeme nejčastěji setkat.
Backdoors
Backdoors (neboli zadní vrátka) je umělá chyba v zabezpečení, jež za určitých okolností dokáže zpřístupnit váš web útočníkovi, který jej následně může poškodit či infikovat. Děje se tak prostřednictvím nestandardní metody autentizace, resp. obejití klasického přihlašování. Typickým příkladem tohoto typu útoku je vytvoření skriptu, pomocí kterého lze WordPress ovládat – například vytvoření uživatele s oprávněním administrátora.
Jedná se bohužel o velice dobře maskovanou hrozbu, které si na první pohled nevšimnete, a škodlivý kód se tak může dostat i do záloh. Mezi nejčastější příčiny vzniku backdoors patří kradené prémiové pluginy a šablony, které si uživatelé stáhnou na pochybných webech. Rizikovým faktorem jsou i zastaralé verze systému a jeho komponent.
Pharma Hacks
Pharma Hacks je dalším typem útoku, který úzce souvisí s používáním zastaralých verzí systému, pluginů a šablon. Ty jsou útočníky využívány k vložení škodlivého kódu a ve výsledku jsou nahrazovány meta tagy. V důsledku toho se uživatelům v SERPu namísto vašeho webu zobrazí reklamy na různé, často navíc ilegální, farmaceutické výrobky. Tento typ zranitelnosti představuje spíše spamovou hrozbu nežli klasický malware, přesto však dává vyhledávačům dostatečný důvod k penalizaci vašeho webu. Nezapomínejte proto na pravidelné aktualizace.
Brute-force (útoky hrubou silou)
Útoky hrubou silou patří vůbec k nejčastějším útokům na WP stránky. Jedná se o pokus uhádnutí loginu a hesla, a tím i získání přístupu do administrace webu. Ohroženy jsou především weby využívající slabá hesla. WordPress přitom v základním nastavení neomezuje počet neúspěšných pokusů o přihlášení, a tak se útočníci mohou pokoušet znova a znova.
Jak se proti takovým útokům chránit? Možných řešení se nabízí hned několik – omezení počtu pokusů o autorizaci, dvoufaktorová autentizace, monitoring neautorizovaných přihlášení, blokování IP adres a samozřejmě dostatečně silné heslo.
Malicious Redirects (škodlivá přesměrování)
Škodlivá přesměrování představují hrozbu, kdy je do souborů webu vkládán škodlivý kód. Skripty pro přesměrování bývají nejčastěji ukryty v souborech .htaccess a index.php, nacházejících se v kořenovém adresáři webu, a přesměrovávají příchozí návštěvníky na škodlivé či reklamní stránky. Ti se tak mohou ocitnout například na stránce s řadou vyskakovacích oken propagujících určitou soutěž, kde jsou vyzváni k poskytnutí osobních údajů, které následně mohou být zneužity.
Cross-site Scripting (XSS útoky)
XSS je typem zranitelnosti webové aplikace, kdy je do těla stránky vložen škodlivý kód. Takto útokem upravený kód se přitom nevykoná přímo v aplikaci na serveru, nýbrž v prohlížeči koncového uživatele. Provádějí se především za účelem „odchytávání“ souborů cookie či dat relací, případně i přepsání samotného HTML kódu. Dopady XSS útoků jsou různé – může se jednat o pouhé poškození vzhledu webové stránky, ale také o vážné narušení bezpečnosti a zneužití citlivých údajů koncových uživatelů.
Denial of Service (DoS útoky)
DoS útoky jsou pravděpodobně nejnebezpečnějším typem zranitelnosti. Špatně se zaznamenávají, špatně se proti nim brání, a co víc, jejich provedení je poměrně jednoduché. Jedná se o útoky na internetové služby či stránky, které mají za cíl znepřístupnit službu oprávněným uživatelům. K tomu dochází především zahlcením cílové služby obrovským množstvím požadavků, které server není schopen zvládnout. DoS útoky často provádějí finančně motivovaní kyberzločinci cílící na velké společnosti.
Za účelem maximální ochrany proti výše zmíněným útokům je potřeba systém správně zabezpečit. Nabízí se přitom hned několik způsobů, jako jsou například:
- výběr správného hostingu,
- používání aktuální verze PHP,
- výběr kvalitní šablony,
- aktualizace pluginů, šablon a jádra systému,
- úpravy v rámci administrace (např. změna URL přihlašovací stránky či omezení počtu pokusů o přihlášení),
- dvoufaktorová autentizace,
- zabezpečení souboru wp-config.php,
- zakázání úprav souborů,
- pravidelné zálohy.
S řadou těchto metod vám mohou pomoci bezpečnostní pluginy, z nichž za zmínku stojí například Sucuri Security, Jetpack či Wordfence Security.
O autorovi
