Kako očistiti in popraviti okuženo (vlomljeno) WordPress spletno stran?

Kako vem, da so mi vdrli v mojo WP spletno stran?

6 najpogostejših znakov, ki kažejo na vdor:

  • Opozorila od Googla, da je vaša stran na t.i. Blacklist
  • Opozorila vašega ponudnika spletnega gostovanja, da je prišlo do okužbe/vdora
    Od Zabec.net prejmete sledeče sporočilo:screen-shot-2016-12-05-at-14-31-29screen-shot-2016-12-05-at-14-33-01
  • Nenavadno obnašanje spletnega brsklanika
  • Spam v iskalniku vsebine strani
  • Spremenjena vsebina ali opozorilo na spletni strani
  • Opozorila v samem Google iskalniku

Kaj storiti?

Držali se bomo 3 ključnih korakov:
1. idetifikacija vdora, 2. odstranjevanje posledic ter 3. kako ravnati naprej, da do tega več ne bi prišlo.

  1. Idetifikacija vdora
  • Eden boljših vtičnikov za idetifikacijo ali je prišlo do vdora v vašo WP stran, je vtičnik Sucuri security plugin > opravite inštalacijo.
  • Naredite t.i. scan svoje spletne strani > uporabite Securi vtičnik.
    Pojdite pod njihov Malware ter kliknite na Scan Website.
    V kolikor imate več strani na enem gostovanju, svetujemo, da opravite scan prav vseh.
    Če je vaša stran okužena se vam prikaže spodnji zapis (primer):

screen-shot-2016-12-05-at-14-48-48Pomembno je povedati, da se nekatere večje varnostne težave ne prikažejo ob malware scanu – napr. phishing, servers-based scripts…prikažejo pa se na strežniku. 

  • Preverite jedro
    Uporabite že prej omenjen Securi vtičnik, pojdite pod Dashboard ter Review the Core Integrity. Vsaka sprememba / dodane datoteke so lahko znak vdora.

Svetujemo da za hitro preverbo v direktoriju wp-content mawarea uporabite FTP client > FTPS, SSH sta boljša kot nekriptiran FTP.

  • Preverite ali je prišlo v dokumentih do sprememb
    Securi vtičnik > Dashboard > Review the Audit Logs.
    Neznane prilagoditve stare nekje 7-30 dni so sumljive.
  • Kdo vse se je prijavil?
    Uporabite Securi vtičnik > Last login
    Nepričakovane / nezane prijave so znak, da je nekdo nepovabljen vstopil v vaš račun.

Da je nekdo izrabil spletno stran se lahko prepričate tudi tako, da primerjate zdajšnje stanje vaše spletne strani s prejšnjim stanjem (backup).

2. Odstranimo posledice vdora

  • Počistimo datoteke
    V kolikor se okužba nanaša na jedro ali na vtičnike zadevo lahko odstranite z uporabo Securi vtičnika.
    Seveda lahko to naredite tudi ročno, vendar ne odstranite oz. ne prepišite wp-config.php ali wp-content datoteke.Prijavite se v Securi > Dashboard > pregeljte obvestila pod Core Integrity > isberite Modified in Removed files ter izberite restore source. Obkljukate I understand that thi operation can not be reverted > kliknite Proceed > Izberite Added files in izberite delete files.

    Datoteke povrnete s kopijami ali backupom.Opozorilo!
    Ročno odstranjevanje datotek in dokumentov iz vaše spletne strani je lahko izjemno rizično (v kolikor ne veste kaj delate), zato ga nikoli ne izvajajte brez backupa!
  • Počistimo okuženo podatkovno bazo tabel
    Za čiščene uporabite database admin panel s katerim se povežete na podatkovno bazo.
    Začetniki lahko uporabite vsebino sporočila, ki vam jo je podal malware scanner, tisti bolj napredni pa lahko uporabite PHP funkcije kot mapr. eval, base64_decode, gzinflate, preg_replace, str_replace…

Opozorilo!
Ročno odstranjevanje okužene kode iz vaše spletne strani je lahko izjemno rizično, zato ga nikoli ne izvajajte brez backupa, v kolikor niste prepričani v dejanja, vam svetujemo, da pošiščete profesionalno ekipo, ki vam bo uredila zadeve.

  • Zaščitite uporabniše račune
    V kolikor ste opazili nenavadne oz. nepoznane uporabnike jih odstranite iz računa.
    Poenostavite ostala gesla uporabnikom.
    Brisanje nepoznanih uporabnikov > Prijavite se v WP kot admin > Users > Delete.
  • Odstranite skrite prehode
    Heckerji si skoraj vedno pustijo nekakšne skrite prehode preko katerih lahko še vedno vstopajo v vašo spletno stran.
    Pri Securi so odkrili več različnih tipov skritih prehodov pri WP straneh.
    Pravijo, da so ti prehodi pogosto vgrajeni v dokumente, ki so zelo podobno poimenovani kot WordPress core dokumenti, datoteke.
    Pogosto pa lahko vlomilci vstavijo te prehode v datoteke kot so wp-config.php in direktorije kot so themes, plugins, uploads.Takšni skriti prehodi pogosto vsebujejo sledeče PHP funkcije:
    – base64
    – system
    – assert
    – stripsplashes
    – preg_replace (with /e/)
    – move_uploaded_file
    – str_rot13
    – gzuncompress
    – eval
    – exec
    – create_functionPozor!
    Te funkcije lahko čisto legitimno uporabljajo tudi vtičniki, zato prej zadeve testirajte.
  • Odstranjevanje sporočil o Malwaru
    Če ste pristali na Googlovi Blacklisti lahko zahtevate ponovni pregled strani, seveda, ko ste odstranili in popravili “poškodovane” stvari.
    Takšni pregled in odstranjevanje lahko trajata več dni.

3. Kako naprej?

  • Posodobite in ponastavite konfiguracijske nastavitve
    To velja prav za vse – posodobitev programske opreme, vtičnikov, tem, aplikacij…Kako ročno ponastaviti in uporabiti posodobitve WP software:
    – Prijavite se preko SSHja ali SFTPja
    – Naredite backup strani, baz…
    – Odstranite wp-admin in wp-includes direktorije
    – Nadomestite wp-admin in wp-includes z uporabo kopij iz uradnega WP gradiva
    – Ročno odstranite in zamenjajte teme, vtičnike…s kopijami iz uradnega vira.
    – Prijavite se v WP kot admin in kliknite na Dashboard > Updates
    – Vnesite manjkakoče posodobitve
    – Odprite vašo spletno stran, da vidite, če deluje. 

Opozorilo!
Ne dotikajte se wp-config ali wp-content, saj bo to pokvarilo vašo spletno stran. 

  • Ponastavite vsa dostopna gesla
    WP uporabniške račune, kontrolna plošča, SSH, FTP) > le ta naj bodo močna.
  • Ustvarite nove skrite ključe
  • Izvajajte varnostne kopije (backup)
  • Prečiščite svoj računalnik s protivirusnim programom (nekateri brezplačni: Avast, Avria, Malwarebytes…)
  • Redno posodabljanje WP (tem, vtičnikov), tudi tistih, ki jih ne potrebujete ali pa jih odstranite.

Z vdorom v vašo spletno stran ste lahko odgovorni tudi za oškodovanje ostalih, saj v večini nepridipravi ne ciljajo natanko vas, vendar izrabijo vaše neposodobljene spletne strani za (tudi ciljane) napade in okužbe ostalih uporabnikov.
S tem da ne skrbte za vašo spletno stran, ne škodujete samo sebi in svojemu poslu, ogledu… temveč tudi ostalim.

Vir in bolj natančna navodila: https://sucuri.net/guides/how-to-clean-hacked-wordpress

Kateri SSL certifikat naj izberem?

Kaj je SSL in zakaj je pomemben?

paglavec

SSL (Secure Sockets Layer) je protokol, ki omogoča šifrirano povezavo med strežnikom in odjemalcem (uporabnikom), podatki se tako prenašajo na varen način.

SSL certifikat je predvsem priporočljiv takrat kadar se preko spletnega mesta pretakajo osebni podatki, bančne transakcije.

Tudi Facebook aplikacije obvezujejo svoje uporabnike, da na svojih straneh uporabljajo SSL zaščito.

Že leta 2014 je Google pričel s kampanjo kako pomemben je SSL, začel pozivati vse imetnike spletnih strani, da pričnejo uporabljati zaščitene povezave, s tem bodo tudi uvrščeni višje v njihovem iskalniku – bolj ko boste vlagali v varnost spletne strani, bolj boste za Google pomembni.

Z januarjem 2017 pa bo Google Chrome 56 pričel označevati HTTP strani na katerih je potrebno vpisati geslo ali kreditno kartico kot “not secure”.

Kaj lahko storite? Priskrbite si SSL certifikat, ki bo vašemu HTTP dodal S > HTTPS (s stoji za secure).

Kater certifikat izbrati in v čem se razlikujejo?

1. SSL certifikati za domensko potrditev

Te certifikate priporočamo vsem manjšim spletnim stranem, primerni so tudi za Facebook aplikacije in Google.

2. SSL certifikati poslovne potrditve (tudi za organizacije)

Za večjo varnost uporabnikov in večje zaupanje uporabnikov v vas. Priporočamo ga vsem podjetjem, ki imajo svoje spletne strani.

3. SSL certifikati razširjene potrditve

To so certifikati z visoko stopnjo zaupanja. Priporočamo jih vsem, ki imajo spletne trgovine, saj omogočajo visok nivo varnosti pri prenašanju osebnih podatkov in denarnih transakcij.
Značilnost: Uporabnik bo videl zeleno naslovno vrstico, ko bo prišel na stran, prav tako pa bo vidno ime podjetja, ki je izdalo certifikat.

4. SGC SSL certifikati
SGC = strežniško omejena kriptografija.

Priporočamo za vladne organizacije, banke in vse spletne strani z zelo visokim številom uporabnikov.

5. WildCard SSL certifikati

WildCard certifikati so vedno bolj priljubljeni, saj nudijo popolno rešitev zaščiteneomejenega števila poddomen, ki so pod eno domeno. Prav tako s tem prihranite denar, saj ne potrebujete več dedicated IPjev za vsako poddomeno, tako lahko uporabite isti IP za zaščito vseh poddomen.

Večina teh certifikatov omogoča neomejeno strežniško licenco, kar pomeni, da lahkonaložite en SSL na več serverjev z različnimi IP naslovi, tako da lahko zaščititer zlične poddomene na različnih strežnikih.

Vsi te certifikati pa zaščitijo tudi glavno domeno.

Prav tako pa se te certifikati uporabljajo za zaščito poštnih strežnikov in kontrolnih plošč, kot je cPanel.

6. Večdomenski UCC/SAN certifikati

Subject Alternative Name (SAN) SSL certifikati so znani tudi kot UnifiedCommunication Certificates (UCC) ali tudi kot Multi-Domain (večdomenski) SSLcertifikati.

Te so razviti za zaščito vseh vaših domen/poddomen s samo enim SSL certifikatom.SAN SSL so popolnoma kompatibilni z Microsoft Office komunikacijskim strežnikom inMicrosoft Exchange produkti. Zaščitite lahko različna skupna imena ali domenskaimena s samo enim certifikatom. Delujejo tako z notranjim imenom omrežja kot tudizunanjimi domenskimi imeni.

Poglejmo si nekaj primerov kako najbolje izbrati SSL certifikat

  1. Imamo spletno stran, blog, kjer preko spleta ne prodajam izdelkov. Stran prikazuje moje delo, kontakt, kakšen video ter je povezana s Facebookom in Instagramom. Želeli bi, da se uporabniki ob brskanju po vsebini in galerijah počutijo varno, kateri certifikat je prvi za nas?

    V tem primeru potrebujete najbolj osnoven certifikat, takšen, ki bo vašemu HTTPju dodal še S > HTTPS.
    V kolikor imate samo eno domeno in ne tudi poddomen, potem je za vas popolnoma dovolj certifikat domenske potrditve.

  2. Smo srednje veliko podjetje, na naši spletni strani lahko uporabniki naročijo naše storitve, želeli bi, da bi uporabniki vedeli, da lahko na naši strani brez skrbi naročijo željen izdelek.

    V tem primeru vam svetujemo, da pogledate certifikate razširjene potrditve, te so namenjeni spletnim trgovinam. Pomembno zaupanje kupcem v vašo spletno trgovino pa jim bo dala zelena url vrstica.

  3. Smo srednje veliko/veliko podjetje, imamo svojo spleto trgovino, ki je tudi na večih poddomenah, uporabniki lahko dostopajo do različnih kontrolnih plošč, ki jim pomagajo pri urejanju naših kompleksih storitev. Želeli bi, da se uporabniki prav na vseh straneh počutijo varne oz. da vedo, da so varni.

    Glede na bolj kompleksno stukturo vaših storitev vam predlagamo, da si ogledate t.i. WildCard certifikate, te so namenjeni domeni in večim poddomenam, prav tako pa se uporabljajo za zaščito strežnikov in kontrolnih plošč.

Za wwwarne počitnice

Končno je prišel čas počitnic, sprostitve, vendar lifebelt-1315942-1280x1920to nikakor ne pomeni, da so šli na počitnice
tudi nepridipravi, za njih je zdaj popoln čas.

Presenetite jih in pojdite z glavo na dopust! Z vami delimo nekaj najbolj osnovnih nasvetov.

INTERNETNA POVEZAVA

  • JAVNI RAČUNALNIK

Nevarnost: okužen računalnik
Primeren: za branje novic, vremena, blogov…
Svetujemo: da uporabljate strani s https. Če se vam ob brskanju prikaže obvestilo, da je povezava nepreverjena, predlagamo, da ne nadaljujete na to stran.
Odvsetujemo: strani, kamor morate vpisati svoje osebne podatke, email in geslo. Toraj na javnih računalnikih odsvetujemo pregledovanje epošte, Facebooka, Twitterja, Snapchata, Instagrama….

  • JAVNI WI-FI

Nevarnost: prestrezanje omrežnega prometa
Primerno: načeloma bolj varno od uporabe javnega računalnika – branje novic, blogov.
Svetujemo: uporabo VPNja, SSLja – glejte za znakom ključavnica oz. https ali uporabo SSHja). Če ste na pametnem telefonu pa raje uporabite dostop do računov preko aplikacije.
Odsvetujemo: uporabo t.i. ad-hoc omrežja (navadno je to omrežje, ki ga je ustvaril nekdo drug na svojem računalniku).

  • MOBILNI INTERNET (GSM, GPRS, EDGE, UMTS, HSDPA)

Trenutno najbolj varna uporaba za brskanje po spletu. Pri Varni na internetu pravijo, da v praksi še niso zaznali napadov na tako vrsto povezave. Načeloma je varno preverjati spletno pošto, za dostop napr. Facebooka uporabite aplikacijo.

NAPRAVE

  1. Predlagamo, da pred dopustom POSODOBITE vaše naprave, jih ZAKLENETE (geslo) ter si nastavite DVOJNO AVTENTIKACIJO.
  2. Med dopustom, ko ne potrebujete več BLUETHOOTHa ali BREZŽIČNEGA OMREŽJA oboje izklopite.
  3. Preverite ali imate naprave ZAVAROVANE pred poškodabami, krajo…
  4. NAMESTITE oz. ODSTRANITE aplikacije že doma.
  5. Uredite VARNOSTNE kopije (v primeru izgube, kraje in vdora pridejo še kako prav). Če ste lastnik Adroida, pa imate na voljo tudi to, da lahko na daljavo izbrišete vse podatke iz telefona, lahko ga prisilite, da začne zvoniti ali da se zaklene (aplikacija: Upravitelj naprav Androidhttps://play.google.com/store/apps/details?id=com.google.android.apps.adm), Jabolčki (Apple) pa imate na voljo Find my iPhonehttp://www.apple.com/icloud/find-my-iphone.html

DRUŽABNA OMREŽJA
(spoštujmo sebe in druge)

Viri in priporočeno branje:

  1. http://safe.si/nasveti/druzabna-omrezja
  2. https://www.varninainternetu.si/2016/internet-na-dopustu/
  3. https://www.varninainternetu.si/2016/ukradli-so-mi-pametni-telefon-kaj-zdaj/

Pregled omrežne varnosti Slovenija 2015

Screen Shot 2016-06-03 at 11.18.48

Povzetek / hiter pregled SI-CERTovega poročila o omrežni varnosti za leto 2015.

Kdo je (so) SI-CERT in s čim se ukvarja?

Sloveanian Computer Emergency Response Team ali SI-CERT je nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij.

Si-Cert deluje že od leta 1995 (jeseni 2015 je minilo 20 let od prve prijave incidenta na Si-Cert) in sicer pod okriljem javnega zavoda Arnes.

Si-Cert koordinira razreševanje incidentov, izdaja opozorila o okužbah, grožnjah na elektronskih omrežjih ter izvaja nacionalni program za ozaveščanje in izobraževanje imenovan Varni na internetu.

 

Screen Shot 2016-06-03 at 11.19.08

Stran SI-CERTa: https://cert.si
Stran Varni na internetu: https://www.varninainternetu.si

 

Screen Shot 2016-06-03 at 11.18.01

ALI IMAMO SLOVENCI HEKERJE?

Okroglo obletnico so proslavili s filmom #HEKERJI.SI s katerim so širši javnosti želeli prikazati ozadje in celotno zgodbo razvoja hekerske skupnosti pri nas.

Film si lahko ogledate na: http://www.hekerji.si/film/

Screen Shot 2016-06-03 at 10.57.35

STATISTIKA

Screen Shot 2016-06-03 at 11.19.27

(Tehnični napadi, goljufije in prevare, vprašanja in zahtevki, drugo)

V letu 2015 so na SI-CERTU obravnavali:

  • v povprečju 11 prijav incidentov na dan
  • zgodilo se je 283 phishing incidentov
  • več kot 400 primerov škodljive kode

Oškodovanje v letu 2015:

  • 720 EUR je znašalo povprečno oškodovanje pri spletnem nakupovanju ( v letu 2014 je bil znesek 1000 EUR)
  • 1.140 EUR je znašalo povprečno oškodovanje pri spletni goljufiji (v letu 2014 se je znesek gibal okoli 500 EUR)
  • 18.000 EUR je znašalo največje posamezno oškodavanje pri nigerijski prevari

Nekaj izbranih SI-CERT incidentov:

  • Januar: Phishing napad na komitente šestih slovenskih bank
  • Maj: Mumblehad okuži Linux strežnike
  • Junij: Izsiljevanje “sextortion” z intimnimi posnetki
  • Julij: Stagefright android ranljivost
  • November: TeslaCrypt

Nekaj izbranih incidentov, ki smo si jih najbolje zapomnili mi:

  • Januar: Phishing napad na komitente slovenskih bank
  • Februar: Ghost, ki prizadene večino Linux sistema
  • Avgust: Stagefright ranljivost Android telefonov, phisihing maili “Delavske hranilnice, pojav reklam na FB za lažno spletno trgovino Michael Kors, W10 ransomware
  • September: phishing strani na ebay. de, cryptolocker izsiljevalski virus
  • Oktober: WordPress Heartbeat, pojav reklam za lažno spletno Ugg trgovino na FB
  • November: pojavi se phishing na nosilce generičnih domen
  • December: Joomla 0-day Remote Command Execution Vulnerability, Telekom opozori na lažno raziskavo zadovoljstva

logo_1

PROGRAM VARNI NA INTERNETU

“Skrbi pa nas lahko dejstvo, da za izpeljavo večine teh goljufij napadalci niso potrebovali naprednega računalniška znanja, zadostovale so že preproste tehnike socialnega inženiringa. Davek za našo neozaveščenost, naivnost in nepoznavanje spletnih mehanizmov torej že plačujemo.” Pravi Marta Štefanič, program Varni na internetu

Cilji programa so:

  • poučiti uporabnike spleta, kako kar najbolje prepoznajo različne spletne goljufije
  • informirati o varnem spletnem nakupovanju in uporabi bančnih sistemov
  • kako zavarovati svojo identiteto, predvsem na družabnih omrežjih

Menimo, da svoje delo opravljajo odlično, jasno in enostavno razumljivo uporabniku.

Se spomnite njihovih akcij
Ne bodi osel na spletu, pozanimaj se!
Neverjetna ponudba

Absolutno priporočamo vsem, da redno obiskujete njihov spletni portal https://www.varninainternetu.si ali jim sledite na Facebooku, Twitterju.

Celotno Poročilo o omrežni varnosti za leto 2015 pa vam je na voljo tukaj: https://cert.si/wp-content/uploads/2016/06/SI-CERT_LP_2015.pdf

Varnost odprtokodnih CMSjev (WordPress, Magento, Drupal in Joomla!) v prvem četrtletju 2016

Poročilo temelji na zbranih podatkih in analizi skupine Securi Remediation Group (RG) v katero sta vključena IRT (Incident Response Team) in MRT (Malware Research Team).

Celotno poročilo iz katerega smo črpali si lahko preberete TUKAJ, mi pa smo naredili krajši pregled in izbor podatkov za katere menimo, da so zanimivi, uporabni za vas.

Število spletnih strani narašča z razvojem tehnologije in dostopnostjo odprtokodnih CMSjev, med njimi so najbolj popularni štirje (pravijo, da je preko njih izdelanih več kot tretjino spleta):

  • WordPress
  • Joomla!
  • Drupal
  • Magento

WordPress je vodilni na CMS trgu z več kot 60% tržnim deležom.
Nišno pa hitreje rastejo druge platforme – napr. Magento je zelo popularen med prodajnimi stranmi in večjimi organizacijami, medtem ko Drupal pokriva predvsem vladne organizacije, na splošno, če vse skupaj zaokrožimo pa ostaja WP še vednjo kralj.

Platforme pa so nam s svojo odprtostjo prinesle tudi izzive, če gledamo na internet kot celoto, saj se je pojavila množica nekvalificiranih “razvijalcev” in “upravljalcev” strani izdelanih na teh platformah, ki na koncu še vedno potrebujejo nekoga z znanjem, ko pride do bolj “zapletenih” zadev ali težav.

Securi analiza je pokazala, da je bilo od 11.000+ okuženih straneh kar 75% narejenih na WP platformi in kar 50%+ teh strani je bilo zastaranih.
V primerjavi s podobnimi platformami (Joomla! in Drupal) je bilo to še “vredu”, saj je bilo tam kar 80% softwara zastaranega.

Marca 2016 je Googlovo poročilo pokazalo, da so več kot 50 milijonov spletnih uporabnikov “pozdravili” s sporočilom o nevarnosti spletne strani na katero želijo vstopiti, bodisi naj bi jim ta skušala namestiti škodljivo programsko opremo ali celo skušala ukrasti podatke.
V primerjavi z lanskim letom (marec 2015) naj bi bilo to število 17 milijonov.

Screen Shot 2016-05-20 at 11.04.57

Google trenutno na črno listo (Kaj je črna lista si lahko preberete TUKAJ) vsak teden uvrsti več kot 70.000* spletnih strani (približno 20 tisoč zaradi malware in 50 tisoč zaradi phishinga).
*brez spam SEO in ostalih taktik

I. POROČILO

Pri Securi pravijo:
“To poročilo temelji na reprezentativnem vzorcu celotnih spletnih mest na katerih smo delali v Q1, v koledarskem letu (CY), 2016 (CY16-Q1).
Skupno smo uporabili 11.485 okuženih spletnih strani. Gre za vzorčenje, ki nam je dalo najbolj dosledne podatke iz katerih smo lahko pripravili to poročilo.”

Več kot 78% spletnih strani na katerih so delali v prvem četrtletju 2016 je bilo zgrajenih na WordPress platformi, sledi Joomla! s 14%.
V vseh primerih, ne glede na platformo, je vodilni vzrok za okužbe izkoriščanje programskih ranljivosti prilagodljivih komponent, ne pa samega jedra.
Prilagodljive komponente so neposredno povezane z integracijo vtičnikov, drugih razširitev, komponent, modulov, predlog, tem…

SLIKA1

Opazimo lahko, da se v prvi četrtini tega leta ni zgodilo nič presenetljivega glede na zadnjo četrtino lanskega leta, opazimo celo lahko celo manjši padec okužb pri WP in povečanje števila okužb pri Joomla! spletnih straneh.

Pri WP so še posebej izkoriščeni vtičniki.
Tri vodilne ranljivosti programske opreme, ki so vplivalne na večno spletnih mest v prvem četrtletju so bile: RevSLider, GravityForms vtičniki in skripta TimThumb.

SLIKA5

SLIKA2

SLIKA3

Povečan procent pri Magentu naj bi povzročila ShopLift Supee 5344 ranljivost (ena najbolj resnih razkritih ranljivosti oz. RCE ranljivost imenovana tudi shoplift bug) in XSS ranljivost (pri tej ranljivosti napadalci prevzamejo administrativni račun in vstavijo novega).

Glede na druge platforme (ki jih napadalci po večini ozkoriščajo za SEO, phishing ali spam) se pri Magentu pokaže, da napadalci direktno ciljajo na kreditne kartice kar je običajno za prodajne spletne strani, vendar jih je največ oz. je največji porast prav pri Magentu.
Zakaj?
Predvidevajo da uporabniki (v testu) Magenta obdelujejo podatke o karticah lokalno na strežniku namesto prek tretjih oseb in napadalci se tega zavedajo.

II. ZASTARELOST

 

Screen Shot 2016-05-20 at 14.03.26

Zastarelost sofwara je problem že od nekdaj, saj napadalci hitro ugotovijo njegovo ranljivosti.

CMS je smatran za zastarel, če ga ni bilo na zadnji različici priporočene varnostne različice v odzivnem času, ko se je zgodi incident.

Kljub temu, da WP vedno bolj opozarja na pomembnost posodabljanja, je bilo od 11 tisoč + okuženih strani kar 56% od vseh okuženih WP strani zastarelih. Kar je “super” če to številko primerjamo z Magentom – cca. 96%!

Izziv glede zastarelosti se kaže predvsem glede treh stvari: težave z združljivostjo, pomanjkanja osebja na voljo za pomoč pri migraciji ter izvedba po meri uporabnika.

Zaključimo lahko s tem, da lastniki spletnih strani na teh platformah, kljub varnostnim grožnjam in obvestilom o ranljivosti niso sposobni dohajati vseh teh opozoril in groženj, zato se vedno bolj zanašajo na WAF (Website Application Firewall) ali na napredno tehniko virtualnega patchinga.

III. ZLONAMERNA PROGRAMSKA OPREMA

Zlorabljene spletne strani so lahko okužene z različnimi “družinami” zlonamerene programske opreme, odvisno kaj napadalec želi z njo doseči.

SLIKA6

Približno 32% vseh okuženih primerov spletnih strani je izrabljenih za SEO spam kampanje –  stran je okužena s spam vsebino ali preusmeri uporabnika na spam stran. Največkrat uporabljene spam vsebine so v povezavi s farmacevtskimi izdelki (viagra, erekcija, cialis…) sledi zabava (kazinoji in porno).

IV. ZAKLJUČEK

Argument, da naj lastniki spletnih strani le-te preprosto samo posodabljajo, sam po sebi ni dovolj, zavedati se je potrebno, da je večina teh strani del večjega bolj kompleksnejšega okolja v katera lastniki spletnih strani vključijo, namestijo vse kar jim je dostopno. Lastniki se morajo osredotočiti na vse spletne strani in ostale integracije v tem okolju, da pri preprečili t.i. cross-site okužbe. Kar pa zna biti precej zapleteno zaradi vseh novosti in nastavitev, ki so jim na voljo, na splošno pa primankuje spletnega znanja glede poznavanja celotnega sistema ter nastavitev oz. namestitev.

Vir in originalni članek:
https://sucuri.net/website-security/Reports/Sucuri-Website-Hacked-Report-2016Q1.pdf