V poslední době jsme u našich zákazníků, kteří u nás hostují redakční systém WordPress, objevili několik napadených redakčních systémů a několik pokusů o jejich zneužití. V tomto článku Vás seznámíme s tím jak k uvedené situaci dochází, co dělat pokud zjistíte, že i Váš redakční systém je již napadený a v poslední části článku se podíváme i na to jak uvedeným situacím do budoucna předejít.
Obsah
Jak poznám, že mám zneužitý WordPress?
V rámci naší proaktivní podpory aktuálně postupně kontaktujeme všechny uživatele redakčního systému WordPress, kde jsme identifikovali jeho možné zneužití. Aktuálně jsme u našich zákazníků v redakčním systému identifikovali nově vytvořené uživatele, kteří jsou vytvořeny útočníkem a slouží pro pozdější zneužití redakčního systému. Kontrolou redakčního systém WordPress jsme zjistili, že v zasaženém systému se v databázi nachází vytvořený nestandardní uživatel nebo i více uživatelů, kteří mohou být v budoucnu využiti pro zneužití.
Vytvořený uživatel má následující podobu:
uživatelské jméno: adminn
e-mailová adresa uživatele: email@domain.com
nebo
uživatelské jméno: wpadmin
e-mailová adresa uživatele: wp-security@hotmail.com
Samozřejmě se může v systému objevit i další uživatel s jiným uživatelským jménem nebo e-mailovou adresu. V případě, že jste takového uživatele nevytvářeli nebo jej vůbec neznáte velmi pravděpodobně došlo ke zneužití systému.
Pokud dojde k napadení redakčního systému, tak útočníci obvykle používají prostředky serveru k provádění škodlivých aktivit. Uživatel má poté přístup do redakčního systému k dalším datům a může dojít ke zneužití webu například pro útok nebo cílené spamování ostatních serverů v internetu. Pokud dochází z napadeného webu k masivnímu spamování nebo útoku tak následně velmi často dochází k blokování webu ostatními uživateli a servery v internetu nebo uvedení Vašeho webu na blacklist vyhledávačů. Po vyřešení zneužití a odvirování může samotná delistace z blacklistu trvat až několik dní. V případě, že na redakčním systému provozujete například e-shop, rezervační systém nebo Vaše osobní stránky, tak umístění webu na blacklistu nebo zablokování webu vyhledávačem pro Vás může znamenat nedostupnost Vašeho webu i na několik dní. S tím samozřejmě souvisí následný odliv návštěvníků, příjmů z reklamy a další související a navazující záležitosti. Právě z tohoto důvodu je třeba uvedeným situacím předcházet.
Jak se tam ten uživatel vlastně vzal?
Již podle názvu uživatele je patrné, že útočník se snaží vytvořit uživatele tak aby to vypadlo, že se jedná o admin přístup (adminn, wpadmin) nebo, že má uživatel nějakou souvislost se zabezpečením WordPressu (e-mailová adresa uživatele wp-security@hotmail.com) ale je to přesně opačně. Uživatel má takto přístup k Vašemu celému webu a může ho naprosto kompletně ovládat. V rámci přístupu uživatele do redakčního systému může docházet ke zneužití dat, která jsou uložena v redakčním systému nebo v databázi. Dokonce může tento uživatel zamezit přístup pro ostatní regulérní uživatele, kteří do redakčního systému mají mít oprávněný přístup nebo může veškerý obsah kompletně odstranit či zkopírovat. Nelze jednoznačně sdělit jak se tam takový uživatel do systému dostal. Velmi pravděpodobně je to však z důvodu instalace pluginů a šablon, které jsou stažené z neoficiálních distribucí (jedná se většinou o různá fóra, neoficiální stránky pluginu, download servery atd.) Právě zde jsou k dispozici volně ke stažení již napadnuté pluginy nebo šablony, které již obsahují cesty jak se po instalaci do redakčního systému může útočník dostat. Další možnosti jak je možné, že se podaří útočníkovi uživatele vytvořit je např. používání zastaralého jádra redakčního systému, používání zastaralých pluginů či šablon. U používání starých a neaktualizovaných verzí pluginů a šablon, kdy poté útočník zneužije veřejně známou bezpečnostní chybu a je jenom otázka několika vteřin či minut, kdy Váš WordPress již neovládáte Vy ale někdo jiný.
Jak situaci řešit?
Především je potřeba situaci vyřešit co nejdříve, aby nedocházelo k útoku nebo spamování z Vaší domény a Vašeho redakčního systému. Pokud by z infikovaného webu byl zahájen útok nebo by došlo ke spamování, jsme nuceni daný web okamžitě odstavit. Pokud bychom uvedenou odstávku webu neprovedli, mohlo by dojít k již uvedenému umístění webu nebo serveru na blacklist. V těchto situacích se však vždy kontaktujeme s naším klientem aby o uvedené situaci věděl a mohl co nejdříve sjednat nápravu.
Pro vyřešení situace s napadeným redakčním systémem je v první třeba odstranit daného vytvořeného uživatele. Je dost možné, že uživatel přidal i nějaké příspěvky nebo komentáře do redakčního systému, které je potřeba smazat. Dále je třeba data na FTP serveru kompletně proskenovat na přítomnost virů a popřípadě redakční systém kompletně odvirovat. Posledním krokem je potřeba aktualizovat jádro WordPressu na nejnovější verzi a to i včetně aktualizace pluginů a šablon, které v redakčním systému využíváte.
Pokud si nevíte rady a nejste si jisti, zda byste potřebné kroky k odvirování a odstranění nežádoucích uživatelů zvládli, jsme schopni Vám web odvirovat, aktualizovat a zkontrolovat – stačí nás ohledně toho kontaktovat pomocí naší zákaznické podpory.
Jak se starat o WordPress aby nedošlo k jeho zneužití?
Do budoucna je třeba se o redakční systém starat a neustále hlídat nové aktualizace jádra celého systému, pluginů a šablon, které v systému používáte. Zároveň doporučujeme využívat bezpečnostní pluginy, které budou webovou stránku hlídat proti dalším budoucím bezpečnostním incidentům.
V rámci poptávky od našich klientů připravujeme službu, kdy bychom redakční systém našich zákazníků převedli na vyhrazený server určený pouze pro WordPress. Zároveň bychom se klientům starali o veškeré aktualizace a bezpečnost celého systému a předcházeli tak proti možným budoucím útokům a zneužití. Předpokládáme, že Vám tuto službu budeme schopni velmi brzy nabídnout. Pokud byste chtěli službu využít již nyní, tak nás stačí kontaktovat na e-mailu podpory info@gigaserver.cz kde Vám rádi sdělíme bližší informace.
Potřebujete poradit?
Pokud máte nějaké další otázky, popřípadě pokud nevíte jak na odvirování, můžete kontaktovat naší zákaznickou podporu, kde Vám rádi poradíme. Zákaznická podpora je k dispozici NONSTOP a je možné nás kontaktovat prostřednictvím on-line chatu, telefonicky na čísle + 420 774 151 730 nebo e-mailem na info@gigaserver.cz.