Pokud jste majitelem webu, možná vám také přišla zpráva, která vás upozorňuje, že vaše stránky používají zastaralé CMS. V tomto textu vysvětlujeme, co to znamená a zda je váš web nějak ohrožen.
Co to je CMS a CZ.NIC?
Zkratkou CMS je myšlen content management system/software, tedy software pro správu obsahu webu nebo také redakční systém. Je to například WordPress. E-mail vám zasílá bezpečnostní tým organizace CZ.NIC, která se – jednoduše řečeno – stará o domény (adresy) českého internetu. Udržuje registr adres .cz a dohlíží na bezpečnost internetové komunikace v ČR. Disponuje mnoha obecnými informacemi o adresách a webových stránkách, množství přenášených dat apod.
Text varování
Nyní se rozhodla upozornit na webové stránky, které používají neaktualizovaný software. Pokud existuje aktualizace softwaru (např. WordPressu), měla by být nasazena co nejdříve, protože opravuje známé chyby a zvyšuje bezpečnost webových stránek. Pokud v kontextu českého internetu existuje hodně stránek s neaktualizovaným softwarem, pak je celková bezpečnostní situace nakloněna útokům, krádežím dat a podvodnému jednání různých útočníků. CZ.NIC proti této situaci postupuje, protože je to jeho posláním (jde o neziskovou organizaci, nikoliv komerční firmu).
Předmět: Upozornění na zastaralé CMS
Vážený držiteli domény xxxxx.cz,
obracíme se na Vás v souvislosti s provozem webových stránek umístěných na doméně xxxxx.cz. V rámci testování prováděného bezpečnostními týmy CSIRT.CZ a CZ.NIC-CSIRT jsme zjistili, že Vaše stránky jsou provozovány na zastaralé verzi CMS WordPress 4.7.3. Provozování webových stránek na zastaralém CMS je bezpečnostním rizikem. Doporučujeme situaci konzultovat s Vaším správcem IT a případně provést upgrade Vašeho CMS na novější verzi. Pokud o riziku víte, prosím považujte tuto zprávu za bezpředmětnou. Více info na https://csirt.cz/cms/ . V případě dotazů nás můžete kontaktovat na adresesecurity-scan@csirt.cz.
Mám stránky napadené? Proč mi píšou?
Pravděpodobně stránky napadené nemáte a takový test není etické provádět bez vašeho vědomí (a pravděpodobně to nikdo nedělá). Zjistit ale, jaký software váš web používá, je velmi snadné a není to porušením žádných pravidel nebo etiky. Jde o statistická data, kterými CZ.NIC disponuje.
V zájmu všech uživatelů internetu je, aby všechny stránky používaly co nejkvalitnější a nejbezpečnější software. Pokud existuje nová verze, měla by být nasazena. Na to e-mail upozorňuje. Pokud jste mail dostali, pak zřejmě opravdu máte zastaralý software a měli byste se postarat o to, aby byl aktualizován.
Co nyní dělat?
Pokud to umíte, aktualizujte svůj redakční systém. Pokud to neumíte nebo máte obavy z výsledku, ozvěte se nám a my vám s aktualizací pomůžeme. Čím dříve, tím lépe, protože v budoucnu mohou být problémy jen větší.
Už mi volali dva klienti. Když jsem jim vysvětlil o co jde, tak to hodili do stejného koše jako předtím info o OpenID. Jsem zvědav, co budou rozesílat příští týden 🙂
Stando, já myslím, že si to pozornost zaslouží. Nám třeba nevolá nikdo z našich klientů… hádej proč. 🙂
vl.
I aktualizace mají své chyby a některé pluginy nefungují správně na poslední verzi WordPressu. tzn., že počkat s aktualizací někdy má svůj smysl a strašení uživatelů je zbytečné.