Jak dochodzi do włamania na WordPressa?
Kamil Porembiński
Kamil Porembiński
03.01.2019

Jak dochodzi do włamania na WordPressa?

Tworząc kompendium na temat zabezpieczania WordPressa, sprawdziliśmy tysiące kont, aby dowiedzieć się, jak najczęściej dochodzi do włamania. Czy jest to wina słabych haseł? A może źle skonfigurowane serwery w firmie hostingowej? Przekonajmy się!

Podcast

If you would rather listen to us than read the article, below you will find our podcast. This is the audio version of this article. You can listen to it through the system’s „Podcasts” application on iOS, your choice of Android, iTunes, YouTube, SoundCloud i Spreaker.

Powody włamań na stronę

Kiedy dojdzie już do przełamania zabezpieczeń, poza obwinianiem wszystkich w koło, wielu poszkodowanych zastanawia się, po co to w ogóle zrobiono.

Dlaczego ktoś w ogóle włamał się na moją stronę? Przecież ja tam nic nie mam!

Właściciel sklepu ze dwoma rodzajami śrubek.

Uszkodzenie strony

Bardzo często wielu cyberprzestępców chce po prostu zniszczyć daną stronę internetową, podmienić jej treść i zostawić na niej informacje o włamaniu i kto jego dokonał.

Grupa hakerów (black hat) działająca w drugiej połowie lat 90. w Polsce
Grupa hakerów (black hat) działająca w drugiej połowie lat 90. w Polsce

Do włamania najczęściej dochodzi ze względów politycznych, walki przeciwko ustawom, regulacjom np. ACTA. Powodem może być również zmiana cen usług danej firmy np. podmiana strony NASK za podniesieniu cen za dostęp do Internetu.

Właściciele witryn internetowych dość szybko dowiadują się o włamaniu i starają się przywrócić serwis do działania oraz go zabezpieczyć.

Kradzież informacji

Na pierwszy rzut oka wydaje się, że prowadzimy małego bloga i nie mamy na nim żadnych cennych danych dla atakujących. A jednak! Baza maili z newslettera, maile z komentarzy pod postami. A może posiadamy mały sklep internetowy. Tutaj już znajduje się więcej cennych informacji.

Ataki związane z kradzieżą informacji czy wyciekiem danych nie są od razu widoczne. Atakującym zależy na dostępie do danych i ukryciu swojej obecności na stronie. Dzięki temu mają stały dostęp do cennej wiedzy i danych.

Przykładem takiego włamania może być wyciek mail i haseł ze sklepu Morele.net.

Script kiddie

Script kiddie używając gotowego oprogramowania, będą atakowali co popadnie, byleby tylko dokonać włamania. Twoja strona może być dlatego zaatakowana od tak, całkiem przypadkowo.

Script kiddie ;-)
Script kiddie ;-)

Wykorzystując gotowe narzędzia, gdzie często wystarczy wpisać adres strony www, atakują czym popadnie. Przy dużej licznie prób w połączeniu z bałaganem na serwerze, udaje im się dokonać podmiany strony.

W jaki sposób dochodzi do włamania na WordPressa?

Aby sprawdzić jak doszło do włamań, przeanalizowaliśmy ponad 5000 zainfekowanych stron opartych o WordPressa. Lista stron do sprawdzenia pochodziła od firm z nami współpracujących oraz od klientów, którzy prosili o pomoc.

Nie jest zaskoczeniem, że brak aktualizacji oraz śmietnik na serwerze i stronie to najważniejsze powody dla którego doszło do włamania.

W ostatnich latach włamania na stronę mają na celu głównie wstawienie malware które:

– tworzy przekierowanie do innej strony

– tworzy setki tysięcy stron z fałszywą treścią

– dodaje ukryte backlinki w kodzie strony

– koparki kryptowalut

Koparki kryptowalut blokowane są obecnie przez przeglądarki pozostałe są dalej stosowane na szeroką skale w technikach Blach Hat Seo. Główne przyczyny ataku to brak aktualizacji na stronie – dziurawe wtyczki, nierzadko pobrane z lewego źródła. Bywają też hostingi gdzie infekcja jednej strony oznacza infekcje wszystkich stron na koncie. W ubiegłym roku moim klientem była agencja która na jednym koncie trzymała strony 92 klientów – włamanie na jednej ze stron (paradoksalnie joomli) zaowocowało instalacją webshella i infekcją ponad 140 stron.

Krzysztof Radzikowski, radzikow.ski.

Kolejną taką grupą powodów, są ewidentne dziury w oprogramowaniu. Chodzi tutaj głównie o błędy bezpieczeństwa we wszelakich wtyczkach oraz motywach do WordPressa. Takimi przykładami może być błąd we wtyczce GDPR Compliance czy Duplicator.

Infekcje z jakimi mamy do czyniania mają różnorodny charakter i do każdej trzeba podejść indywidualnie. Najczęstszymi przyczynami infekcji jest:

– instalowanie zainfekowanych wtyczek z niesprawdzonych źródeł,
długo nieaktualizowany core WordPress oraz wtyczki – to 99% problemów z jakimi się spotykamy

– źle zabezpieczony lub skonfigurowany serwer

– inne serwisy działające na tym samym serwerze
W przypadku usuwania infekcji bardzo ważne jest nie tylko usunięcie złośliwego kodu ale przede wszystkim znalezienie źródła problemu. Zdarza się, że na jednej stronie tych źródeł jest kilka.

Piotr Całka – CEO Inspire Labs i SiteCare – profesjonalne wsparcie stron WordPress i sklepów WooCommerce

Na samym końcu przyczyń włamania, możemy umieścić takie rzeczy jak słabe hasło do hostingu, błędy w konfiguracji serwera czy inne. Praktycznie wszystkie ataki na WordPressa to niedbałość użytkowników, którzy zapominają o aktualizacji oprogramowania.

Przykład z życia

Jedna ze stron klienta wysyła dużo SPAMu, o czym poinformował nasz nas system monitorowania serwerów. Szybka analiza wykazała, że odpowiedzialne są za to pliki jednego z motywów wgranych do WordPress.

./wp-content/themes/gaukingo/template-parts/media-views-rtl.php
./wp-content/themes/gaukingo/dbv.php

Jak łatwo zobaczyć, pliki znajdują się w katalogu z motywem gaukingo. Po sprawdzeniu wersji oprogramowania szybko wszystko stało się jasne.

+-----------------+----------+-----------+---------+
| name            | status   | update    | version |
+-----------------+----------+-----------+---------+
| gaukingo        | inactive | available | 1.0.3   | <- wyłączona i nieaktualna wersja
| twentyfifteen   | inactive | available | 1.9     |
| twentyseventeen | inactive | available | 1.4     |
| twentysixteen   | inactive | available | 1.4     |
+-----------------+----------+-----------+---------+

Jak łatwo zobaczyć, na stronie panuje bałagan. Podobnie jest w przypadku wtyczek. WordPress posiada sporo wyłączonych wtyczek, które powinny zostać usunięte. Jedną z nich była GDPR Compliance.

Rozwiązaniem problemu w tym wypadku, było przywrócenie niezainfekowanych plików z kopii zapasowej, którą dla hostingu trzymamy do 30 dni wstecz, a następnie posprzątanie i zaktualizowanie WordPressa przez klienta.

Tutaj nasuwa się pytanie. Dlaczego zabezpieczenia serwera (skaner malware oraz antywirus), nie wykryły infekcji w tych dwóch plikach? Odpowiedź jest dość prosta. Atakujący wgrał swój dość prosty kod PHP, który wysyłał maile. Nie był to żaden znany malware – dlatego skanery nie uznały modyfikacji pliku za podejrzaną.

Poleganie jedynie na zabezpieczeniach serwera, czy skanerom anty-exploit, może narazić na na niebezpieczeństwo, dlatego należy dbać o porządek i aktualizacje oprogramowania.