Ügyfélszolgálat: +36 70 623 8822

Fertőzött WordPress weboldal – egy tanulságos sztori

Szerző: Szűcs Ádám Kategória: Hasznos lehet, Hírek, WordPress biztonság

A vírusírtás alapok című cikkemben körbejártam, hogy mit kell tenni akkor, ha már megtörtént a baj. Azóta (2018. májusában) történt egy olyan eset, amely mellett nem tudok szó nélkül elmenni. Az egyik ügyfelemnek (ráadásul TOP20-as ügyfélről van szó) megfertőzték a weboldalát, de olyan módon, hogy az ékezetes karakterek helyére (mind helyére ugyanaz) kriksz-krakszok kerültek, és azokat hexaeditorral sem lehetett normális módon helyreállítani.

Mi vezetett idáig, mi volt a megoldás? Miért volt extrán peches az ügyfél? Hogyan lehetett volna enyhíteni a károkat előrelátó módon?

A helyreállítás sokkal könnyebb lehetett volna, ha pár helyen szerencsésebben alakulnak a körülmények. De ahogy a sportban sincs “ha”, úgy itt sem volt sajnos.

Azonnali jelzés – FONTOS!

Az első és legfontosabb hasonló esetben, hogy AZONNAL jelezni kell azt, ha ilyet tapasztalunk a weboldalon. Sokszor volt már olyan, hogy “azt hittem csak ideiglenes hiba, és megoldódik”. Magától az esetek többségében nem fog megoldódni a probléma, sőt, csak nagyobb bajt okozunk vele. Mint itt is. Amikor az ügyfél jelezte, hogy mi van az oldallal, mondta, hogy már 2-3 hete ilyen az oldal, akkor szóltak neki. Csak a gond ezzel az volt, hogy a tárhelyszolgáltatónak 2 hétre visszamenőleg volt mentése, így a tartalmak – azonnali jelzés esetén – 100%-osan helyreállíthatóak lettek volna. De így pont akkor lett jelezve a baj, amikor már a tárhelyesnek is csak vírusos állapotról volt mentése.

Itt volt még egy kör a tárhelyessel, mert azt mondta, hogy minden év végén készítenek egy biztonsági mentést, és azt egy széfben tárolják. Erre több mint két hetet vártunk (részben azért, mert nem fért hozzá, részben azért, mert pont szabadságra mentem egy hétre), amikor kiderült, hogy 2017 végén nem készült ilyen mentés, csak 2016-ban.

Amíg ez ki nem derült (illetve amíg szabadságra mentem), egy 2017. márciusi állapotot állítottunk vissza.

Miért kellett biztonsági mentés, nem lehetett volna leírtani a vírust az oldalról?

A tartalmak olyan mértékben sérültek, hogy erre sajnos nem volt mód.

Legyen havi biztonsági mentésed!

  • A következő dolog, hogy legalább havonta készüljön biztonsági mentés a weboldalról.
  • Amikor elkészül egy biztonsági mentés, az legyen elmentve tömörítve és kicsomagolva is. Ezt korábban nem kommunikáltam eléggé, ezért frissült az erre vonatkozó levelem is, hogy erre külön felhívjam a figyelmét a mentést kapó ügyfeleknek.
  • Ha készül egy újabb mentés, a RÉGI mentések AKKOR SE legyenek törölve.

Itt bonyolította a dolgot, hogy tavaly novemberben készült biztonsági mentés az oldalról, de az ügyfél hibásan tárolta (nem futott végig a kicsomagolás, és az általam küldött zip fájlt pedig törölte – ergo használhatatlan volt).

A mentéseket én 7 napig tárolom, így nálam sem volt meg a novemberi mentés. Ha lett volna havi mentés, akkor max. egy hónapnyi tartalom veszik el és/vagy sokkal könnyebb a helyreállítás.

De szerencsére volt egy 2018. márciusi mentés, abból lett helyreállítva a weboldal váza. Azért írom így, mert az azóta eltelt több mint 400 napban számtalan cikket írt az ügyfél, és rengeteg módosítást is eszközöltünk a weboldalon. 60+ oldalas levelezést gyűjtöttem össze az ügyféltől ezen 400 napról, ezen (mint fejlesztési lista) végig kellett rágnom magam a tökéletes helyreállításhoz.

A havi mentések készítése plusz pénz (vagy egyszer meg kell tanulni, és becsülettel elvégezni havonta), de ha szükség van rá, akkor rengeteg időt és pénzt lehet megspórolni a felhasználásukkal.

Mi történjen két mentés között?

Ha havonta készül biztonsági mentés, mondhatjuk, hogy akkor történhet adatvesztés. Ennek megelőzésére, saját oldalaknál a következőt alkalmazom: Ha írok egy cikket, akkor a HTML nézetből (hogy a formázás is meglegyen) ki szoktam másolni a forráskódot egy jegyzettömbbe, és elmentem. Ez azért jó, mert a tartalom hiánytalanul rendelkezésre áll később. Ha kép is került a cikkbe, azt is egy külön mappában (“backupig” a neve) tárolom a következő biztonsági mentés készítéséig.

Kinézet megmentése:

A kinézetben végzett módosítások egy export-import fájllal menthetőek voltak, így ez nem volt nagy gond.

Tartalmak megmentése: 

A legfontosabb szempont ilyen esetben mindig a tartalmak megmentése. A tartalom nélkül nem ér semmit a weboldal, és azt a legnehezebb rekonstruálni (újraírni). A korábbi cikkek (157 db), oldalak (13 db) tartalma végül 95,3%-osan helyre lett állítva. Ahhoz képest, hogy 400+ napos mentés állt rendelkezésre, szerintem nem rossz arány. A helyreállítás során több helyről lettek kinyerve adatok: részben korábbi mentésekből, részben archive.org oldal használatával, részben pedig a WordPress revision fájljaiból való kimazsolázással. 8 olyan cikk volt, amit sehonnan nem tudunk megmenteni, ezért azokat újra kell gépelni. Illetve a meglévő cikkek, oldalak 400 napja eszközölt változtatásai elvesztek, és kb. 30-40 cikk formázása, címkézése, kategorizálása, SEO-zása (vegyesen, hol mi, attól függ, honnan lett helyreállítva) is odalett. Ezeket ismét be kell majd állítani.

Mivel úgy volt, hogy a tárhelyesnek van év végi mentése, ezért csak az idei megmenthető cikkeket mentettem le a weboldalról. Amikor kiderült, hogy mégsincs ilyen, akkor a vírusos verziót egy másik tárhelyen össze kellett raknom, hogy további tartalmakat menthessek onnan.

Mi volt a probléma?

Sajnos erre nem derült fény. Nagyrészt teljesen azonos konfigurációt használ sok más, érintetlen weboldallal.

  • De más tárhelyen van a weboldal, lehet, hogy ott volt valamilyen gond.
  • Az ügyfél telepített jópár olyan bővítményt, ami már elavult.
  • Néhány admin felhasználónak “kismacska” szintű gyenge jelszava volt.

Ezeket orvosoltam, és már van az oldalon WordFence is, valamint egyéb biztonsági bővítmény is, így hasonló esetnél sokkal gyorsabban fogunk tudni reagálni. Illetve lett feltelepítve olyan bővítmény, amivel az ügyfél egy kattintásra tud biztonsági mentést készíteni a weboldalról.

Lehetett volna nagyobb baj?

Igen, ha nincs ~400 napos biztonsági mentés, akkor sokkal nagyobb baj lett volna. De így is több, mint 13 munkaórám ment el a teljes helyreállításig. Igaz, ez a nagy szám annak is betudható, hogy az elmúlt 400 nap fejlesztéseit is újra végig kellett csinálnom.

Megjelent a WordPress 4.9.6 – szem előtt a GDPR!

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Videó

2018. május 25-én lép életbe az egységes Európai adatvédelmi rendelet. Hogy ennek megfeleljen a WordPress, a fejlesztők 2018.05.17-én kiadták (remélem, a cikket korábban írtam) a 4.9.6-os verziót, amely a GDPR szellemében készült.

Mik a WordPress 4.9.6 legfőbb újdonságai?

  1. Beállítható adatvédelmi szabályzat oldal. (alap mintával)
  2. Hivatkozás az adatvédelmi szabályzat oldalra a belépő/regisztrációs oldalon.
  3. Tárolt személyes adatok exportálása.
  4. Tárolt személyes adatok törlése.
  5. Hozzászólás-cookie tárolásához engedély kérése.

Részletesebb infók a másik blogomon ide kattintva érhetőek el.

Készítettem egy 5,5 perces videót a fejlesztésekről:

Figyelem!
A fentieken túl kérd ügyvéd/adatvédelmi szakértő segítségét a teljesen személyre szabott jogi megfelelőségért!

WordPress 4.9.5 – biztonsági és karbantartó frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Ingyenes videók, cikkek, WordPress biztonság

Tegnap adták ki a WordPress 4.9.5 verziót, amely egy fontos biztonsági és karbantartó frissítés. Olyan sérülékenységet is javít, amely egészen a WordPress 3.7 verzióig visszamenőleg minden verzióban megtalálható.

Összesen 3 biztonsági hiba és 25 egyéb apróság lett javítva. Erről több infót itt találsz.

Érdemes tehát felkeresni a “Vezérlőpult” => “Frissítések” menüpontot, és elvégezni a frissítést. Előtte érdemes biztonsági mentést készíteni.

Forrás, részletek:
https://wordpress.org/news/2018/04/wordpress-4-9-5-security-and-maintenance-release/

A jövő: Gutenberg szerkesztő

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Ingyenes videók, cikkek, Videó

Már tavaly júniusban beharangozta a Matt Mullenweg, a WordPress alapítója, hogy a WordPress 5.0 tartalmazhatja a Gutenberg nevű szerkesztőt. Mivel még idén várható az 5.0-ás WordPress megjelenése, gondoltam megnézem, mit is tud ez a szerkesztő.

Mi az a Gutenberg szerkesztő?

Egy új szerkesztőfelület, amelynek célja, hogy “egyszerűbb” legyen a tartalmak szerkesztése. Én egyelőre ki vagyok akadva a gondolattól is, hogy ez lehet az alapértelmezett szerkesztő a jövőben, hiába harangozzák be úgy, hogy mekkora élmény ezzel szerkeszteni a tartalmat. Én nem hívnám élménynek, de ez az én szubjektív véleményem.

A Gutenberg szerkesztő alapeleme a “blokkokban” gondolkozás, amely blokkokat külön-külön lehet formázni, beállítani. Szerintem aránytalanul bonyolultan, és probléma az, hogy arra is rákényszerítik a használatát, akik csak sima szöveget szeretnének begépelni. Ha valaki cifrázni akarja a tartalom megjelenését, akkor az tud használni Visual Composert, Divi vagy Avada Buildert, vagy más népszerű oldalépítgetős bővítményt. De egy egyszeri felhasználónak véleményem szerint visszalépés lesz a tartalomszerkesztés a korábbi, klasszikus szerkesztőfelület könnyedségéhez képest.

A blokkokat (ez lehet: szöveg, kép, lista, videó, idézet, címsor, galéria, hangfájl, stb.) egyébként könnyen át lehet alakítani más típusú blokkokká, vagy lehet törölni (bár a teszt során előbb ki kellett üríteni, majd utána DEL gomb, mert a törlés funkció nem működik egyelőre), vagy akár mozgatni fel- és lefelé.

Az alapötlet (blokkok) nem rossz, de szerintem pl. egy Visual Composernek a nyomába sem érhet, sőt, az oldalépítgetők piacán sem rúghat labdába. Még az ingyenes szerkesztők között is van jobban használható. Vagy akár az alapértelmezett, korábbi szerkesztőfelület, amin egy képernyőn látszódott minden olyan funkció, amelyeket most több kattintással lehet előcsalni. Kíváncsian várom, hogy ez mennyire végleges verzió.

A Gutenberg szerkesztő letöltése

Keresd ki a bővítménytárból (Bővítmények => Új hozzáadása menüpont), vagy kattints ide.

Jöjjön a Gutenberg bemutató videó (vágatlan verzió):

A videón szereplő linkek:

8 év, 500 videó!

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Ingyenes videók, cikkek

A WordPress videók oldal kereken 8 éve, 2010. március 1-én indult útjára.

Induláskor még csak ~75 videó volt, 8,6 óra terjedelemben. Mára már 500 videót találsz itt, amely több mint 53 óra tudásanyagot jelent.

Az évek alatt rengeteg tartalmat gyártottam, sőt: a jövőre vonatkozóan határozott elképzeléseim vannak. Sőt, van egy nagy bejelentésem is! Miről is van szó?

Nézd meg az alábbi videón:

Köszönöm minden kedves előfizetőmnek és olvasómnak az elmúlt 8 évet! Indul a 9. év! 🙂

Ui.: Nem is gondoltam, hogy -6 fokban, hóesésben (két nappal korábbi a felvétel) ennyivel nehezebb videót készíteni. Azt hittem, hogy 5 perc alatt felveszem, ezzel szemben ~40 percig tartott a “forgatás”. 🙂

WordPress 4.9.4 – karbantartó frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek

A tegnapi WordPress 4.9.3-as verzió hibákat okozhat az automatikus frissítés során, ezért kiadtak egy új verziót, a WordPress 4.9.4-est.

Mi történt?

A WordPress 3.7-es verziója óta része az alaprendszernek az automatikus frissítés (javaslom, kapcsold ki, ld. ezen link alatt!), ami azóta nagyon kevés problémával működött, ám sajnos a 4.9.3-as verzióban olyan probléma adódott, amely csak a megjelenés után vált világossá. Ezért is volt szükséges a 4.9.4-es verzió megjelentetése.

Mit tegyél?

A “Vezérlőpult” => “Frissítések” menü alatt frissíts a 4.9.4-es verzióra!

Technikai részletek
Az új verzióról technikai részletek itt találhatóak angol nyelven.

WordPress 4.9.2 – biztonsági és karbantartó frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, WordPress biztonság

Tegnap megjelent a legújabb WordPress alverzió, a 4.9.2-es. Mindenkinek kiemelten fontos frissítenie a weboldalát, mert a WordPress 3.7-es ágáig visszamenőleg minden verziót érintő sérülékenységet (+21 apróságot) javít.

XSS sérülékenységet találtak a MediaElement könyvtárban. A MediaElement új verzióját, amely tartalmazza a javítást, el lehet érni a a MediaElement Flash Fallbacks bővítmény [letöltés] telepítésével is. (de ajánlott inkább frissíteni rendszert)

Frissítés előtt készíts biztonsági mentést a weboldaladról, majd a Vezérlőpulton, a Frissítés menü alatt végezd el a frissítést.

Verzió információk:
https://codex.wordpress.org/Version_4.9.2

WordPress és bővítmény sérülékenységek

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Ingyenes videók, cikkek, WordPress biztonság

Az alábbi posztot azért hozom létre, hogy legyen egy hely, ahol megnézheted a legújabb, WordPress-t érintő sérülékenységeket és a megoldásukat. Időről-időre frissíteni fogom, ha lesz újabb sérülékenység.

Sokszor kiderül, hogy egy-egy bővítményben találtak olyan kódot, amivel kárt tudnak tenni a weboldalban. Ezekről nem tudok mindig külön cikket írni, de ezt a cikket egy perc alatt tudom bővíteni, így ezen sérülékenységekről is hírt fogok tudni adni.

A sérülékenységeket alapvetően 3 módon lehet megszüntetni:

  • Frissíteni kell a sérülékenységet tartalmazó bővítményt (vagy WordPress-t) olyan verzióra, amely már nem tartalmazza a hibát.
  • Vagy törölni kell (nem elég kikapcsolni!) a bővítményt, és helyette keresni egy alternatívát. Miért kell törölni az ilyen bővítményeket? Mert erre szakosodott eszközökkel egy pillanat alatt megtalálni a kikapcsolt bővítményeket is.
  • Komplett vírusírtással. Ha súlyos fertőzés érte a weboldalt, akkor csak ez segít. Ha szükséged van ilyenre, vedd fel velem a kapcsolatot!

Honnan értesülhetsz sérülékenységekről?

  • WPScan Vulnerability Database – itt meg tudod nézni, hogy a weboldaladon használt bővítmények között van-e olyan (vagy olyan verzió), amelyben sérülékenység található.
  • CVE Details
  • Wordfence blog
  • Jelen cikkből. Igaz, itt nem fogok mindenről beszámolni, azaz csak a nagyobb tömegeket érintő biztonsági résekről fogok írni.

Legújabb, sokak által használt WordPress bővítményekkel kapcsolatos sérülékenységek:

2017.12.19. – Captcha plugin

300 000 weboldalon használt bővítmény a Captcha. Backdoort találtak benne (a 4.3.6 verziótól a 4.4.4-es verzióig érintettek a felhasználók), amely jelen esetben azt jelenti, hogy a bővítményben talált sérülékenység miatt adminisztrátori hozzáférést tud szerezni az, aki ismeri a hibát, és tudja, hogy az adott weboldalon fent van ez a bővítmény. Azonnal töröld ezt a bővítményt! A probléma onnan fakadt, hogy a bővítmény eredeti tulajdonosa átadta másnak a fiókját, aki feltételezhetően szándékosan helyezte el a kártékony kódot a bővítményben, amely a frissítéssel minden weboldalra települt. A WordPress fejlesztői korlátozták a bővítmény tulajdonosának fiókját, és kiadtak egy olyan verziót (4.4.5), amely nem tartalmazza a hibát. És elvileg a bővítmény tulaja mostantól csak ellenőrzés után tud friss verziót kiadni a bővítményből. Én ettől függetlenül – a fentiek miatt – azt javaslom, hogy töröld ezt a bővítményt, és ha a szerzőtől (pl.: Covert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange) használsz más bővítményeket, azokat is! Ajánlott alternatívák: Math Captcha | Captcha CodeRészletek, forrás

További alternatívák, amelyeket még nem használtam, de szimpatikusnak tűnnek első ránézésre:

  • https://wordpress.org/plugins/login-recaptcha/
  • https://wordpress.org/plugins/wp-conditional-captcha/
  • https://wordpress.org/plugins/wp-captcha-booster/

2017.11.15. – YOAST SEO

XSS sebezhetőség az 5.7.1-es verzióban, és a korábbiakban. Frissíteni kell min. 5.8-as verzióra. Forrás

2017.11.07. – Duplicator bővítmény.

Az 1.2.29 előtti verziókban XSS sebezhetőség van. Érdemes frissíteni min. 1.2.29-es verzióra. Forrás

WordPress 4.9.1 – biztonsági és karbantartó frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Ingyenes videók, cikkek

2017. november 29-én megjelent a WordPress 4.9.1-es verziója, amely egy nagyon fontos biztonsági és karbantartó frissítés. Olyan hibát (is) javít, amely a 2013. októberében megjelent 3.7-es verzióig visszamenőlegesen MINDEN verzióban jelen van, így azonnal érdemes frissíteni a rendszert!

Mit tegyél?

  • Készíts egy biztonsági mentést a weboldalról.
  • Menj a “Vezérlőpult” => “Frissítések” menüpont alá, és frissítsd a rendszert.

Mi történhet, ha nem frissítesz?
Pár példát ide kattintva megtekinthetsz.