Rychlá pomoc: +420 587 407 757 (VoIP, 8:00-18:00) nebo pomoc@wp-admin.cz

Milion důvodů, proč se musíte starat o své webové stránky a jaké dopady má ignorování reality

rezavý zámek

Je až příliš časté, že starost o redakční systém nebo dokonce celý web končí v okamžiku předání díla a spuštění do provozu. Pak se ještě občas někdo zajímá, jestli jsou tam nějaké novinky, ale po uričté době zájem opadne a stránky se ponechají svému osudu. Také to znáte?

Jako majitel to nesmíte dopustit. Nejvíc práce sice dalo webové stránky spustit, ale tady péče nekončí. Aby vám web přinášel objednávky nebo plnil jiné stanovené cíle, musíte se o jeho redakční systém starat.

Aktualizace redakčního systému je nezbytná z mnoha důvodů

Redakční systém – ať je to WordPress, nebo jiný – je nutné aktualizovat, stejně jako jeho komponenty – zásuvné moduly nebo témata vzhledu. Snahy útočníků ovládnout váš web nepolevují a nemá cenu před nimi schovávat hlavu do písku.

Pokud dojde ke kompromitaci, tedy úspěšnému napadení a ovládnutí vašeho webu, pak to vůbec nemusíte poznat. Zjistíte to podle některých vnějších znaků až v okamžiku, kdy si to bude přát útočník (pokud tedy nepoužíváte některou službu pro pravidelné skenování celého webu). Může to trvat měsíce. Důvodů, proč je důležité udržovat redakční systém v aktuální verzi, je několik.

Nemůžete si dovolit nestarat se o své webové stránky.

Nefunkční webové stránky znamenají ztrátu pro vaše podnikání. Když web nefunguje, jak má, nebudí v návštěvnících důvěru a oni ho opustí. Nechodí vám poptávky, klesá návštěvnost. Ztrácíte potenciální zájemce o své služby.

Velmi brzy zjistí napadení webu Google, který web zablokuje v prohlížečích Chrome/Chromium, takže se v něm vaše stránky vůbec nezobrazí. Následuje pak vyřazení z indexu Googlu, takže váš web nebude možné najít vyhledáváním.

To vše jsou také zvýšené náklady na opravu. Uvedený stav lze napravit, ale je to dražší než preventivní zásahy a pravidelná správa. Je zcela reálné, že vás oprava, obnova, odvirování a zabezpečení dva roky zanedbaného webu mohou přijít až na dvacet tisíc korun.

Často se zapomíná, že na hostingu nebo serveru společně existuje více aplikací. V případě napadení je nutné považovat za infikované všechny aplikace! Váš web mohl být napaden vinou jiné aplikace na vašem hostingu.

Časté předsudky, na které zapomeňte

Setkáváme se s mnoha názory, které jsou nebezpečné, protože na první pohled vypadají logicky a důvěryhodně, ale neodpovídají realitě.

Mě to nezajímá, však to funguje, nevidím problém

Možná si říkáte, že bylo povinností dodavatele dodat bezchybné dílo, které nesmí být ohroženo nějakými útoky a musí fungovat stále stejně.

To je bohužel nereálné. V době předání bylo jistě vše v pořádku, ale software a internetové prostředí se stále mění a vyvíjí. Pokud nemáte smlouvu o správě webu a předpokládáte, že stav z doby předání webu do provozu bude stále dostačovat, pak se mýlíte. Redakční systém je nutné spravovat, aktualizovat a vylepšovat, protože se mění prostředí, v němž existuje – internet.

Proč by se někdo zajímal o náš web?

Útoky jsou hromadné a spočívají ve využití chyby v softwaru, který na webu používáte (typicky plugin nebo téma vzhledu, ale samozřejmě i samotný WordPress). Nejde tedy o „osobní“ záležitost, ale obecnou. Útočníka nezajímá vás web, ale všechny weby, které může ovládnout nějakým zobecnělým postupem. A je pravděpodobné, že váš web do této skupiny také patří – bezpečnost je relativní pojem, ale nelze na ni rezignovat. Naštěstí lze většině automatizovaných útoků předcházet.

Stejně tam nemáme nic tajného

Nemůžete přesně vědět, s jakým cílem podnikají útočníci své výpady. Obvykle jim nejde o data, ale přístup k prostředkům vašeho hostingu – výpočetnímu výkonu, možnosti rozesílat nevyžádanou poštu vaším prostřednictvím, umístění reklam, které se pak zobrazují na jiných stránkách (za což může dostat váš web penalizaci). Často jde taky o trénink a zkoušení technologií, přípravu na větší cíle, sběr statistických dat.

Nám se o to stará firma a ta říká, že […] nejde

V principu útokům zabránit nelze, ale lze významně ovlivnit dopady na vaš stránky. Běžná instalace WordPressu je zranitelná a ke slušnému zabezpečení je nutné podniknout několik kroků. Existují skenovací nástroje, které vám prozradí, kde má váš web slabiny. Útočníci je používají nebo je mají napsané na míru svým potřebám. Používá je firma, která se vám stará o bezpečnost webu? (My je používáme.) Nevěřte zkratkovitým závěrům a požadujte přesné a aktuální informace, vyžádejte si třeba naši konzultaci.

Jak se chová napadený web a jak to poznám?

Ne vždy to můžete poznat. Nejviditelnější projev je, když se rozpadne celý design webu. Stránky jsou velmi pomalé a na první pohled vidíte, že se něco stalo. Zobrazují se neznámé texty nebo obrázky, někdy v jiném jazyce.

Často ale napadení zjistíte, až vám píše vaše webhostingová společnost a informuje vás, že vám zablokovala funkci mail() pro odesílání e-mailů, protože z vašeho hostingu je rozesílána nevyžádaná pošta. To znamená, že útočník už využívá vaše zdroje pro své potřeby. Samotná kompromitace, tedy získání kontroly nad webem, mohla proběhnout před mnoha měsíci, kdy jste web bez problémů používali.

Pokud byste identifikovali napadené nebo přidané soubory, pak byste mohli najít něco takového:

Ukázka malwaru

Cílem těchto škodlivých kódů je spuštění nějakého podsunutého skriptu. Například adresář wp-includes nemá – na rozdíl od mnoha ostatních – řídicí skript index.php. V něm bývá často pouze komentář „Silence is golden“; ale samotná existence skriptu zajišťuje, že se nevypíše obsah adresáře.

Když se ale ve vašem WordPressu skript wp-includes/index.php objeví, nemáte šanci „pohledem“ zjistit, že je to úspěšný útok, protože skripty index.php se objevují v mnoha adresářích a jsou považovány za běžné a žádoucí (samozřejmě pouze s oním komentářem nebo platným kódem WordPressu). A zrovna na tomto místě se může spouštět škodlivý kód, jak jsme nedávno zjistili na jednom webu. Platí přitom, že napadených míst bývá několik a že jsou zřetězená, v tomto případě byl napadený také skript functions.php v šabloně (spouští se při každém zobrazení každé stránky).

Jak postupovat při napadení webu

Pokud je jasné, že je web napadený, následuje několik kroků. V první řadě je vhodné web uzavřít pro veřejnost. Pak je dobré najít místa průniku. Není to vždy snadné a není to také nutné, jde hlavně o získání více informací s ohledem na budoucí lepší zabezpečení. Další kroky pak spočívají ve smazání samotného WordPressu, pluginů a témat vzhledu. Pak je potřeba prověřit adresář uploads, zda neobsahuje skripty *.php nebo *.js – běžně tam nemají co dělat, takže pokud nějaké najdete, smažte je (nebo nám je pošlete, rádi se poučíme).

 Určité riziko se může skrývat v databázi, ale je velmi obtížné případná záškodnická data najít. Vycházejme z předpokladu, že musí být načtena v nějakém skriptu. Když smažeme skript, k načtení dat nikdy nedojde. Velmi to ale souvisí s kvalitou použitých pluginů, musí zodpovědně používat postupy pro ochranu před podobnými riziky, tzv. sanitizování, validaci a escapování, protože v opačném případě by škodlivá data mohla být načítána standardními komponentami.

Jakmile je torzo vyčištěné, instaluje se znovu WordPress a všechny komponenty (pluginy, témata vzhledu), resp. pouze ty, které jsou skutečně potřeba – žádné neaktivní by v systému být neměly. Dalším krokem je pak provedení kroků k vyšší míře zabezpečení, zejména změnu všech hesel a zabezpečení ostatních aplikací na hostingu nebo nastavení na úrovni serveru. O tom zase v jiném článku.

Přečtěte si ještě, co patří do pravidelné měsíční správy WordPressu.

Další články k tématu

WooCommerce mění čísla verzí, místo 2.7 bude rovnou 3.0.0  Původně to měla být verze 2.7 v běžné číselné řadě, ale několik okolností přimělo vývojáře  radikální změně: "Změníme číslování verzí a další bude rovnou...3.0.0."
Jak ve WordPressu omezit komentářový spam Nežádoucí komentáře trápí snad všechny webové stránky, kam nechodí jen majitel webu samotný. Po instalaci nového webu se někdy objeví velmi rychle, až má člověk podezření, že je...instalátor přivolá. Situace je ale taková, že WordPress = čtvrtina světového internetu, takže je vůči němu vedeno množství různých útoků. Tedy také proti vašemu webu.

Napsat komentář

E-mailem: WordPress a podnikání

Vlastimil OttStaráme se o spoustu webů běžících na WordPressu (včetně WooCommerce). V tomto newsletteru vám budu radit, jak svůj web vylepšovat. Dozvíte se, jak využívat WordPress v podnikání.