You are here: Home » WordPress » Jak minimalizovat bezpečnostní hrozby WordPress pluginů

Jak minimalizovat bezpečnostní hrozby WordPress pluginů

V repozitáři na WordPress.org najdete přes 30 tisíc pluginů, které jsou zdarma. Většina z nich byla vytvořena nadšenými vývojáři, kteří se rozhodli přispět komunitě svou vlastní tvorbou, popřípadě udělali nějaké rozšíření pro sebe a přidali jej pak i do repozitáře.

Problém ovšem nastane, když už se svému pluginu nadále tvůrce nevěnuje. Časem nemusí fungovat s novějšími verzemi anebo se v něm někdo objeví bezpečnostní zranitelnost. Většinou nejsou vhodně ošetřeny vstupy, což vede k XSS (cross-site scripting) anebo SQLi (SQL injection).

Ačkoliv je odbornost vývojáře dobrým základem, nemusí vždy být zárukou kvality. V minulém roce se objevily bezpečnostní díry v mnoha známých pluginech, které tvoří i týmy zkušených vývojářů.

Je tak dobré být opatrný a udělat vše pro zvýšení bezpečnosti. Většina bezpečnostních chyb totiž lze zneužít jen za určitých okolností, popřípadě v kombinaci s jinou zranitelností.

Přeštěte si   Co když jednoho dne WordPress skončí?

Sledujte statistiky pluginu

U každého pluginu jsou statistiky počtu aktivních instalací a také kdy byl naposledy aktualizován. Je dobré toto brát v potaz pokud si můžete vybrat z více pluginů. Například čím více aktivních instalací, tím je větší šance, že se mu bude autor věnovat.

Datum aktualizace (Last Update) by měl odpovídat ideálně minimálně poslední velké aktualizaci (momentálně 4.4). Samozřejmě jsou pluginy, které „nic“ nedělají a aktualizaci v podstatě ani nepotřebují. I v tomto případě je dobré kouknout do diskuze u pluginu, jak moc je autor aktivní. Pokud by se vyskytl nějaký problém alespoň víte jak jej kontaktovat.

Okolnosti pro provedení útoku

Jak už bylo zmíněno, pro provedení úspěšného útoku je často nutné, aby bylo splněno více podmínek. Například když se podaří útočníkovi vložit do kódu například javascript a provést XSS, potřebuje aby tento javascript spustil administrátor. Pokud však administrátorský účet používáte jen k údržbě a na běžné psaní máte šéfredaktora, tak útok nebude fungovat. Samozřejmě toto nemění nic na tom, že v kódu už máte škodlivý javascript.

Přeštěte si   Kdo je Wapuu?

Další oblíbenou okolností je, že aby mohl být útok úspěšný musí útočník zavolat skript v adresáři s pluginem. Vhodným ošetřením práv adresářů však tomuto může zabránit. Obecně lze zakázat přístup do adresáře i jen s určitých IP adres (například přes htaccess), což může úplně útok znemožnit. S tímto dost pomohou bezpečnostní pluginy.

I neaktivní plugin může být rizikem

Za určitých okolností může být nebezpečný i vypnutý plugin. To že je deaktivovaný neznamená, že jej nemůže útočník zavolat. Pokud už jej nehodláte používat zvažte jeho úplné smazání. Mimochodem smazat ve WordPress neznamná, že se automaticky smaže úplně vše i z disku. Jednou za čas byste měli projít celou instalaci přes FTP a podívat se, co všechno vlastně na disku máte.

Přeštěte si   WordPress automatické zálohování

Sledujte bezpečnostní hrozby

Bezpečnostní experti reagují na hrozby vcelku rychle. Mnoho z nich pracuje pro společnosti, které provozují služby na ochranu webů, takže se rádi pochlubí, když něco objeví a právě ta jejich služba až do aktualizace jejich uživatele ochrání.

Většinu zranitelností najdete na stránkách wpvulndb.com.

Share Button

Programuju v PHP už několik let spíše pro zábavu. Baví mě WordPress, protože tak lenivým lidem jako jsem já ušetří spoustu času. A rád sbírám reklamní flash disky. Tento blog používám pro utřídění myšlenek.

http://n-host.cz

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *