Ügyfélszolgálat: +36 70 623 8822

WordPress 4.9.5 – biztonsági és karbantartó frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Ingyenes videók, cikkek, WordPress biztonság

Tegnap adták ki a WordPress 4.9.5 verziót, amely egy fontos biztonsági és karbantartó frissítés. Olyan sérülékenységet is javít, amely egészen a WordPress 3.7 verzióig visszamenőleg minden verzióban megtalálható.

Összesen 3 biztonsági hiba és 25 egyéb apróság lett javítva. Erről több infót itt találsz.

Érdemes tehát felkeresni a “Vezérlőpult” => “Frissítések” menüpontot, és elvégezni a frissítést. Előtte érdemes biztonsági mentést készíteni.

Forrás, részletek:
https://wordpress.org/news/2018/04/wordpress-4-9-5-security-and-maintenance-release/

Fertőzött WordPress weboldal – vírusírtás alapok

Szerző: Szűcs Ádám Kategória: Cikk, Ingyenes videók, cikkek, WordPress biztonság

Véleményem szerint minden weboldal tulajdonos egyik rémálma az, ha megfertőzik a weboldalát. Ilyenkor jön a pánik, a kétségbeesés, hogy mit tegyek? Mi veszett el? Van mentés? Mutatom a kiutat a bajból!

Helyreállítás biztonsági mentésből

Ha van biztonsági mentésed, szerencséd van. Vagy csak lehet. Miért? Mert lehet, hogy olyan biztonsági mentésed van, amely már a szintén fertőzött weboldalról készült. Vagy régi a mentésed és/vagy sok módosítás történt a weboldalon, amelyet nem akarsz elveszíteni egy mentésből történő visszaállítás során. Ha sikerült ez alapján helyreállítani a weboldaladat, jöhet a védelem megerősítése!

Ha nincs biztonsági mentésed…

Ha ez az eset áll fenn, akkor manuálisan kell eltávolítani a vírusokat a weboldalról. Ez sajnos nem minden esetben olyan egyszerű, mert van olyan, hogy rengeteg, egymástól független helyen elérhető fájlokat is megfertőz a vírus.

Mik egy vírusos weboldal ismérvei?

  • Lehet, hogy a tárhelyszolgáltatód értesít, hogy spamelésre használják a weboldaladat.
  • Lehet, hogy pl. a Google vagy a Facebook hirdetési rendszere utasítja el a hirdetésedet, mellette jelezve, hogy ennek oka az, hogy a weboldal vírusos.
  • Lehet, hogy a Google Search Console-tól kapsz értesítést, hogy vírusos a weboldalad.
  • Lehet, hogy a böngésződ írja ki, hogy vírusos a weboldal, és nem is engedi megnyitni.
  • Lehet, hogy nem tudsz belépni az admin felületre.
  • Lehet, hogy nem is érhető el a weboldal.
  • Lehet, hogy teljesen törlésre került a weboldal.
  • Lehet, hogy minden oldallekéréskor más weboldalra irányítódik át a látogató a weboldaladról. Ennek a “sunyibb” verziója, amikor csak akkor kerül át a látogató más weboldalra, ha a Google-ből (vagy éppen ha mobilról nézik az oldalt) érkezik az oldalra. Ezt nehezebb azonosítani, mert egy weblap tulajdonos általában nem a Google-ből nyitja meg a weboldalát.
  • Spam szövegek, viagra reklámok jelennek meg a weboldalon. Akár az eredeti tartalom mellett, vagy annak a helyén.
  • Az IP címed feketelistára kerül, és a kiküldött e-mailjeid sem érkeznek meg a címzettnek.

Kik és miért fertőzik meg a weboldaladat?

A legritkább esetben állnak konkurensek egy ilyen támadás mögött, tehát felesleges is feltenni a következő kérdést: “Kis cég vagyunk, ugyan ki törné fel a weboldalunkat?” Ugyanis a támadások többsége mögött automatizált támadás áll, amely minden olyan weboldalt feltör és megfertőz, ahol felleli az éppen aktuálisan tesztelt sérülékenységet, kiskaput. A támadások célja sokszor a spammelés, de néha egyszerűen csak egy magát próbálgató kezdő hacker is lehet a háttérben.

Mi lehet a támadások forrása?

  • Tárhelyszolgáltató hanyagsága. Ez akkor fordulhat elő, ha pl. nem megfelelő a tárhely védelme és/vagy a tárhelyen lévő domainekhez tartozó weboldalak nincsenek egymástól jól elkülönítve, így akár az is lehet, hogy emiatt egy másik weboldalon keresztül fertőzik meg a te weboldaladat. De további probléma lehet a szoftverek elavultsága, vagy éppen a rendszergazdai jogosultságok nem megfelelő őrizete is.
  • Nem frissített WordPress, bővítmény és kinézetek. Írtam erről egy cikket, összeszedtem pár olyan végeredményt, amelyet el lehetett volna kerülni, ha frissítik a weboldalakat.
  • Torrentről letöltött kinézeteken vagy bővítményeken keresztül. Érdemes megvenni 20-100$-ért azt a kinézetet, amelyet használsz!
  • A felhasználók hanyagsága, pl.: nem megfelelő jelszó, vagy annak nem megfelelő tárolása. Vagy éppen olyan személyre bízása, aki nem szolgált rá erre a bizalmas jogkörre.
  • Az előzőekből több szempont együttes kombinációja is vezethet vírusos weboldalhoz.

Hogyan állj neki a vírusírtásnak? Mik a főbb lépések a tiszta weboldalhoz?

  • Minden, az oldallal kapcsolatos jelszavadat változtasd meg. (FTP, cPanel, WP admin [minden felhasználónak!], MySQL, e-mail cím, stb.)
  • Ha volt mentésed, ha nem, mindenképpen készíts egy biztonsági mentést a weboldalról. Igen, így, a fertőzött állapotról. Lehet, hogy jól jön még.
  • Ha nem tudod, hogy mit kell eltávolítani a weboldalról, futtass egy keresést a Sucuri SiteCheck eszközzel, valamint a Virustotallal. Ezek sok esetben megmondják, hogy mi a gond az oldallal.
  • A WordPress telepítőjével manuálisan írd felül (illetve először töröld a régi fájlokat, mappákat, és utána másold fel az újat) a tárhelyen lévő WordPress fájljait.
  • Ellenőrizd a root könyvtárat, hogy nincs-e olyan fájl ott, amely nem odavaló.
  • Ellenőrizd a wp-config.php és .htaccess fájlokat, hogy nincs-e olyan sor (akár base64-el kódolva) benne, amely nem odavaló.
  • A wp-config.php fájlban változtasd meg a titkosító kulcsokat. Generátor ehhez.
  • Ellenőrizd a kinézet és bővítmények fájljait, hogy nem módosították-e valamelyiket az eredeti verzióhoz képest.
  • Töröld az összes nem használt kinézetet és bővítményt.
  • Ellenőrizd a teljes wp-content mappát. Igen, ez sziszifuszi munka, de sokszor itt is vannak vírusos fájlok.
  • Az előző pontokhoz: érdemes lehet figyelni a tárhelyen lévő fájlok módosítási dátumát. Sokszor ezt vizsgálva szembetűnnek a módosított fájlok. Más esetben pedig nem mész semmire ezzel a módszerrel, mert vannak már olyan vírusok, amelyek véletlenszerűen megváltoztatják a fájlok módosítási idejét, így ez alapján nem fogod tudni kiszűrni az utoljára módosítottakat.
  • Ha nem tudod, hogy mit nézz benne, állítsd vissza az oldal eredeti .htaccess fájlt. Ha valamelyik bővítmény módosította már, az adott bővítmény beállításait ismét el kell végezni.
  • Ha be tudsz lépni az oldalra, ellenőrizd, hogy nincsenek-e olyan felhasználók, akikről nem tudsz. Ha vannak, töröld mindet.
  • Nézd meg a bejegyzéseket és oldalakat, hogy csak olyan tartalmak vannak-e, amelyeket te hoztál létre.
  • Nézz bele a tartalmakba is. Van olyan, hogy oldalak vagy bejegyzések html nézetébe kerül be kártékony kód.
  • Ellenőrizd, hogy a használt bővítmények nem szerepelnek-e a WPSCan Vulnerability Database-ben. Ha valamelyiket megtalálod itt, azonnal töröld.
  • Nézd át a logfájlokat.
  • Ha nagyon tönkretették a weboldalt és/vagy nincs biztonsági mentés, jobb döntés lehet a fenti procedúra helyett, ha egy friss WordPress telepítésbe beimportálod a tartalmakat, és újra felépíted a weboldalt.

Amire ide eljutsz, jó eséllyel vírusmentessé tetted a weboldaladat. Ha mégsem és/vagy visszafertőződik az oldal, akkor nem volt teljes körű a munka, ismét mindent el kell végezni.

Ezek után ne felejtsd el a Search Console-on keresztül jelezni a Google-nek, hogy megtetted a weboldal vírusmentesítéséhez szükséges lépéseket.

További ellenőrzőeszközök:

  • A bővítmények ellenőrzéséhez: Anti-Malware Security and Brute-Force Firewall
  • WordFence: átfogó ellenőrzőeszköz. Sok oda nem illő dolgot meg lehet vele találni. Képes jelezni a fájlmódosításokat, így az utólagos védelemben is nagy szerepe lehet.
  • All in One WordPress Security and Firewall plugin: én ezt használom, rengeteg biztonsági szempont szerint állítható a weboldal védelme. (fontosak, pl.: belépő oldal átnevezése, regisztrációk manuális engedélyezése, login captcha, belépési próbálkozások korlátozása, fájlrendszer monitorozása, stb.)

Amire még érdemes általánosságban figyelni:

  • Ne “admin” és ne a weboldal címe legyen az adminisztrátori hozzáférés felhasználóneve.
  • Mindig min. 13 karakteres, kis- és nagybetűt, számot és speciális karaktert is tartalmazó jelszót használj minden helyen.
  • Egy jelszó ne legyen két helyen használva.
  • Max. 30 naponta változtass mindenhol jelszót.
  • A számítógépedet is védd a vírusoktól.
  • Ne tört Windows-t használj.
  • Ne tárold Total Commanderben az FTP jelszót.
  • Töröld az xmlprc.php fájlt a tárhelyről.
  • A wp-config.php fájl ne legyen elérhető kívülről!
  • Ha nem használod, kapcsold ki a hozzászólás funkciót.
  • A fájlok, mappák jogosultságát megfelelően állítsd be!
  • Töröld az admin felületről a bejelentkezési hibaüzeneteket.
  • Egy adatbázist csak egy WordPress oldal használjon. Más se használja ugyenezt az adatbázist.
  • Ne wp_ legyen a táblák előtagja. (bár szinte mindegy, mert nem emiatt fogják feltörni az oldalt)
  • Ne tárold böngészőben a weboldal jelszavát.
  • Minél kevesebb, és megbízható forrásból származó bővítményt használj a weboldaladon!
  • A mappák listázása ne legyen engedélyezve a szerveren.
  • Ne a felhasználónév legyen a felhasználóknál a megjelenő név a weboldalon.
  • Használj min. 7.2-es php verziót a weboldalhoz.
  • Tüntesd el a forráskódból a WordPress verziót megmutató részeket. (csak laikusok ellen véd, enélkül is meg lehet mondani egy oldalról, hogy milyen WP verziót használ)
  • Ha webshopod van, használj https tanúsítványt is.
  • Legyen letiltva a forráskód-szerkesztési lehetőség az admin felületen.

Hogyan védekezz a jövőbeli vírusok ellen?

  • Mindig minden frissítést végezz el! WordPress, bővítmény, kinézet: mindet!
  • Mindig legyen biztonsági mentésed a weboldalról! Ezt lehet akár automatizált eszközzel is végezni, bár én jobban hiszek a manuális mentésben. Soha nem mondd azt, hogy nem csinálsz mentést, mert a tárhelyes úgyis csinál! És ha nem? És ha nem lehet használni? Akkor elveszett az évek munkájával felépített weboldalad? Ne ezen múljon!

Ha a fentiek után sem boldogulsz, keress meg, és segítek a vírusírtásban!

WordPress 4.9.2 – biztonsági és karbantartó frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, WordPress biztonság

Tegnap megjelent a legújabb WordPress alverzió, a 4.9.2-es. Mindenkinek kiemelten fontos frissítenie a weboldalát, mert a WordPress 3.7-es ágáig visszamenőleg minden verziót érintő sérülékenységet (+21 apróságot) javít.

XSS sérülékenységet találtak a MediaElement könyvtárban. A MediaElement új verzióját, amely tartalmazza a javítást, el lehet érni a a MediaElement Flash Fallbacks bővítmény [letöltés] telepítésével is. (de ajánlott inkább frissíteni rendszert)

Frissítés előtt készíts biztonsági mentést a weboldaladról, majd a Vezérlőpulton, a Frissítés menü alatt végezd el a frissítést.

Verzió információk:
https://codex.wordpress.org/Version_4.9.2

WordPress és bővítmény sérülékenységek

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Ingyenes videók, cikkek, WordPress biztonság

Az alábbi posztot azért hozom létre, hogy legyen egy hely, ahol megnézheted a legújabb, WordPress-t érintő sérülékenységeket és a megoldásukat. Időről-időre frissíteni fogom, ha lesz újabb sérülékenység.

Sokszor kiderül, hogy egy-egy bővítményben találtak olyan kódot, amivel kárt tudnak tenni a weboldalban. Ezekről nem tudok mindig külön cikket írni, de ezt a cikket egy perc alatt tudom bővíteni, így ezen sérülékenységekről is hírt fogok tudni adni.

A sérülékenységeket alapvetően 3 módon lehet megszüntetni:

  • Frissíteni kell a sérülékenységet tartalmazó bővítményt (vagy WordPress-t) olyan verzióra, amely már nem tartalmazza a hibát.
  • Vagy törölni kell (nem elég kikapcsolni!) a bővítményt, és helyette keresni egy alternatívát. Miért kell törölni az ilyen bővítményeket? Mert erre szakosodott eszközökkel egy pillanat alatt megtalálni a kikapcsolt bővítményeket is.
  • Komplett vírusírtással. Ha súlyos fertőzés érte a weboldalt, akkor csak ez segít. Ha szükséged van ilyenre, vedd fel velem a kapcsolatot!

Honnan értesülhetsz sérülékenységekről?

  • WPScan Vulnerability Database – itt meg tudod nézni, hogy a weboldaladon használt bővítmények között van-e olyan (vagy olyan verzió), amelyben sérülékenység található.
  • CVE Details
  • Wordfence blog
  • Jelen cikkből. Igaz, itt nem fogok mindenről beszámolni, azaz csak a nagyobb tömegeket érintő biztonsági résekről fogok írni.

Legújabb, sokak által használt WordPress bővítményekkel kapcsolatos sérülékenységek:

2017.12.19. – Captcha plugin

300 000 weboldalon használt bővítmény a Captcha. Backdoort találtak benne (a 4.3.6 verziótól a 4.4.4-es verzióig érintettek a felhasználók), amely jelen esetben azt jelenti, hogy a bővítményben talált sérülékenység miatt adminisztrátori hozzáférést tud szerezni az, aki ismeri a hibát, és tudja, hogy az adott weboldalon fent van ez a bővítmény. Azonnal töröld ezt a bővítményt! A probléma onnan fakadt, hogy a bővítmény eredeti tulajdonosa átadta másnak a fiókját, aki feltételezhetően szándékosan helyezte el a kártékony kódot a bővítményben, amely a frissítéssel minden weboldalra települt. A WordPress fejlesztői korlátozták a bővítmény tulajdonosának fiókját, és kiadtak egy olyan verziót (4.4.5), amely nem tartalmazza a hibát. És elvileg a bővítmény tulaja mostantól csak ellenőrzés után tud friss verziót kiadni a bővítményből. Én ettől függetlenül – a fentiek miatt – azt javaslom, hogy töröld ezt a bővítményt, és ha a szerzőtől (pl.: Covert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange) használsz más bővítményeket, azokat is! Ajánlott alternatívák: Math Captcha | Captcha CodeRészletek, forrás

További alternatívák, amelyeket még nem használtam, de szimpatikusnak tűnnek első ránézésre:

  • https://wordpress.org/plugins/login-recaptcha/
  • https://wordpress.org/plugins/wp-conditional-captcha/
  • https://wordpress.org/plugins/wp-captcha-booster/

2017.11.15. – YOAST SEO

XSS sebezhetőség az 5.7.1-es verzióban, és a korábbiakban. Frissíteni kell min. 5.8-as verzióra. Forrás

2017.11.07. – Duplicator bővítmény.

Az 1.2.29 előtti verziókban XSS sebezhetőség van. Érdemes frissíteni min. 1.2.29-es verzióra. Forrás

WordPress 4.8.2 – biztonsági és karbantartó frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hasznos lehet, Hírek, WordPress biztonság

Kiadták a WordPress 4.8.2 verziót, amely minden korábbi verziót érintő sérülékenységet (főleg XSS és SQL injektálás terén) javít, így mindenképpen érdemes frissíteni a weboldaladat a “Vezérlőpult” => “Frissítések” menüpont alatt. A verzió 9 biztonsági frissítést, és 6 karbantartó frissítést tartalmaz.

Mi történhet, ha nem frissíted a weboldaladat?

Itt leírtam.

A befoltozott biztonsági rések:

Forrás: https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/

Módosított fájlok:

  1. wp-admin/about.php
  2. wp-admin/edit-tag-form.php
  3. wp-admin/includes/class-wp-plugins-list-table.php
  4. wp-admin/includes/file.php
  5. wp-admin/includes/template.php
  6. wp-admin/install.php
  7. wp-admin/js/widgets/text-widgets.js
  8. wp-admin/js/widgets/text-widgets.min.js
  9. wp-admin/plugin-editor.php
  10. wp-admin/plugins.php
  11. wp-admin/setup-config.php
  12. wp-admin/theme-editor.php
  13. wp-admin/user-edit.php
  14. wp-includes/class-wp-customize-manager.php
  15. wp-includes/embed.php
  16. wp-includes/formatting.php
  17. wp-includes/js/mce-view.js
  18. wp-includes/js/mce-view.min.js
  19. wp-includes/js/tinymce/plugins/wplink/plugin.js
  20. wp-includes/js/tinymce/plugins/wplink/plugin.min.js
  21. wp-includes/js/tinymce/wp-tinymce.js.gz
  22. wp-includes/js/twemoji.js
  23. wp-includes/js/twemoji.min.js
  24. wp-includes/js/wp-emoji-loader.js
  25. wp-includes/js/wp-emoji-loader.min.js
  26. wp-includes/js/wp-emoji-release.min.js
  27. wp-includes/js/wplink.js
  28. wp-includes/js/wplink.min.js
  29. wp-includes/script-loader.php
  30. wp-includes/version.php
  31. wp-includes/widgets/class-wp-widget-text.php
  32. wp-includes/wp-db.php

Forrás: https://codex.wordpress.org/Version_4.8.2

WordPress 4.7.5 – biztonsági és karbantartó frissítés

Szerző: Szűcs Ádám Kategória: Hírek, Ingyenes videók, cikkek, WordPress biztonság

Gyorshír – 2017/05/17
Megjelent a WordPress 4.7.5, amely minden korábbi verziót érintő sérülékenységeket javít.

Mielőbb keresd fel a “Vezérlőpult” => “Frissítések” menüpontot, és végezd el a frissítést!

Módosított fájlok:

  • wp-admin/includes/file.php
  • wp-admin/js/common.js
  • wp-admin/js/common.min.js
  • wp-admin/js/customize-controls.js
  • wp-admin/js/customize-controls.min.js
  • wp-admin/js/updates.js
  • wp-admin/js/updates.min.js
  • wp-admin/about.php
  • wp-admin/customize.php
  • wp-content/plugins/akismet/_inc/img/logo-full-2x.png
  • wp-content/plugins/akismet/_inc/akismet.css
  • wp-content/plugins/akismet/_inc/akismet.js
  • wp-content/plugins/akismet/akismet.php
  • wp-content/plugins/akismet/class.akismet.php
  • wp-content/plugins/akismet/readme.txt
  • wp-includes/js/plupload/handlers.js
  • wp-includes/js/plupload/handlers.min.js
  • wp-includes/js/wp-api.js
  • wp-includes/js/wp-api.min.js
  • wp-includes/class-http.php
  • wp-includes/class-wp-customize-manager.php
  • wp-includes/class-wp-xmlrpc-server.php
  • wp-includes/taxonomy.php
  • wp-includes/version.php

WordPress REST API tiltás

Szerző: Szűcs Ádám Kategória: Cikk, Hasznos lehet, WordPress biztonság

A WordPress 4.7 és 4.7.1-es verziójában található súlyos sérülékenység egy megújított funkcióra, a REST API-ra vezethető vissza (részletek, konkrét biztonsági kockázat a fenti cikkben). Ezért (is) érdemes letiltani ezt a funkciót a weboldalunkon, hasonlóan az xmlrpc.php fájlhoz.

Mi az a REST API?

Fejlesztői eszköz, amelynek az elődje a WordPress 4.4 óta a rendszer része. Ezt a funkciót főleg fejlesztők szokták használni (segítségével a megszokottnál könnyebben lehet adatokat lekérni a rendszerből), de sok weboldalon kihasználatlan marad, ezért felesleges az engedélyezése.

A DDoS támadások kedvelt kiinduló célpontja valamelyik REST API által elérhető url.

Adatlistázás példa, ha nincs tiltva a REST API:
A weboldalunk címe mögé ezt: /wp-json/wp/v2/users, vagy ezt: wp-json/wp/v2/users?page=1&per_page=10 írva ki lehet listázni a weboldal felhasználóit.

Továbbiak:

  • /wp-json
  • /wp-json/wp/v2/posts
  • /wp-json/wp/v2/pages
  • /wp-json/wp/v2/media
  • /wp-json/wp/v2/types
  • /wp-json/wp/v2/statuses
  • /wp-json/wp/v2/taxonomies
  • /wp-json/wp/v2/categories
  • /wp-json/wp/v2/tags
  • /wp-json/wp/v2/settings

A REST API funkció tiltása

Fel kell telepíteni a Disable REST API bővítményt, majd aktiválni kell. Nincs semmilyen további teendő, a funkció (tiltás) működik is. Ha pl. beírod a webcímed mögé a /wp-json kiegészítést, már nem lesznek elérhetőek az adatok.

Figyelmeztetés!

Előfordulhat, hogy a Contact Form 7 bővítmény nem működik (nem mennek el a küldendő levelek) a Disable REST API bővítménnyel együtt! Ebben az esetben az egyik bővítmény használatáról le kell mondani. Tipp: Én a Contact Form 7-et mindenképpen használnám, és a cikkben bemutatott Disable REST API-t törölném.

További részletek a REST API mibenlétéről:

Eltérő weboldal és WordPress cím használata

Szerző: Szűcs Ádám Kategória: Admin felület, Beállítások, Videó, WordPress biztonság

A WordPress-ben lehetőség van arra, hogy maga a WordPress admin felülete és fájljai máshol (más url alatt) legyenek, mint a weboldal elérhetősége. Tehát pl. a weboldalunk címe: wordpress.video.hu, akkor a belépő oldal “hagyományos” url-je a wordpress.video.hu/wp-login.php lenne. Ehelyett pl. a wordpress.video.hu/mappa/wp-login.php címet is beállíthatjuk a belépő oldal url-jének úgy, hogy a weboldal elérhetősége NEM változik wordpress.video.hu/mappa url-re, hanem marad wordpress.video.hu.

Ez biztonsági szempontból megfontolandó kérdés, amelynek a technikai megvalósíthatósága pár percet vesz igénybe egy új oldal létrehozásakor.

Miben tér el attól a megoldástól ez, amikor megváltoztatjuk a bejelentkező oldal elérhetőségének (ld. 22. bővítmény itt) url-jét? Az a különbség, hogy a most mutatott megoldásban “fizikailag” is áthelyezésre kerülnek a WordPress fájljai.

A videón látott műveletet FOKOZOTT odafigyeléssel, teljes biztonsági mentés elkészítése után végezzétek el!

    

Mi történhet, ha nem frissítem a WordPress-t?

Szerző: Szűcs Ádám Kategória: Cikk, Hasznos lehet, Ingyenes videók, cikkek, WordPress biztonság

Nem akarod frissíteni a WordPress-t. Megértem. A te döntésed. Mi történhet a weboldaladdal? Hogy adott esetben ne érjen meglepetésként, megmutatom a legrosszabb eshetőségeket.

Tudvalevő, hogy időről-időre megjelenik egy-egy új WordPress verzió, amelyekre haladéktalanul érdemes frissíteni a meglévő verziót. Az alábbiakban azt is elmondom, hogy miért.

A WordPress frissítések két fő csoportja:

  • Főverziók: Általában funkcionálisan fejleszti a meglévő weboldalt, ám előfordul, hogy egy-egy főverzió egyben ajánlott biztonsági frissítés is.
  • Alverziók: Általában biztonsági és/vagy karbantartó frissítések. Ezek jönnek gyakrabban, egy-egy sérülékenység észlelése után akár néhány órán belül. A biztonsági frissítés azt jelenti, hogy egy korábbi, vagy az összes korábbi verzióban fellelhető sérülékenységet javít. Az ilyen sérülékenységek azért nagyon veszélyesek, mert ha robotok segítségével észreveszik rossz szándékú hackerek, hogy nem a legújabb, esetleg biztonsági rést is tartalmazó verziót használunk, akkor ennek segítségével vagy feltörhetik, vagy elérhetetlenné tehetik a weboldalunkat, esetleg spamelésre használhatják. Ezek a meglévő Google-beli helyezés(eke)t, illetve adott esetben a tárhelyszolgáltató üzembiztonságát is veszélyeztethetik. Előbbi visszasorolással, utóbbi akár a weboldal elérhetetlenné tételével is reagálhat a problémára.

Mi történhet, ha nem törődünk a frissítésekkel?

Nem fontossági/gyakorisági sorrendben:

  • Spamelésre használhatják a weboldalunkat. Vagy e-maileket küldhetnek, vagy akár tiltott szerek, szervezetek reklámja is elhelyezésre kerülhet.
  • Az előző pontból kifolyólag a tárhelyszolgáltató letilthatja a weboldalunkat.
  • Törölhetik/megfertőzhetik/módosíthatják a tartalmakat.
  • Elérhetetlenné válhat egy vagy több aloldal.
  • Súlyos esetben akár a tárhelyen több weboldalt is tönkre tudnak tenni.
  • A Google hátrasorolhatja a weboldalt. Részben a fentiek miatt is, részben az elavult szoftverhasználat miatt.
  • A Google “támadó webhelyként” azonosíthatja a weboldalt.
  • A böngészők nem engedik megnyitni a weboldalt, ha vírust észlelnek rajta.
  • A tárhelyszolgáltató felmondhatja a szerződést.
  • Ügyfeleket veszíthetünk, ha éppen elérhetetlen a weboldal, és/vagy emiatt nem tudnak informálódni, rendelést leadni.
  • Ügyféladatokat/üzleti titkokat/személyes adatokat tudnak kinyerni az adatbázisból.
  • További anyagi kár lehet az okozott kár helyreállítására fordított összeg.
  • Stb.

Milyen gyakran frissül a WordPress?

Az első WordPress a cikk megírásakor 13,85 éve jelent meg. Ez idő alatt átlagosan 44,99 naponta – tehát nagyjából átlagosan másfél havonta jelent meg egy-egy új al- vagy főverzió. 2016-ban 9 db, 2015-ben 11 db, 2014-ben 9 db frissítés jelent meg. További részletek ebben a táblázatban. Itt megnézheti azt is, hogy milyen régi WordPress verziót használ!

Milyen gyorsan érdemes telepíteni egy-egy WordPress frissítést?

Minél gyorsabban. A nemrég megjelent WordPress 4.7.2 pl. olyan sérülékenységet javított, amellyel illetéktelenek az egész weboldalt tönkre tudták adott esetben tenni. A sérülékenység nyilvánosságra kerülésétől számított pár napon belül tömegesen törtek fel és fertőztek meg weboldalakat.

“Az én weboldalamat ki törné fel?”

A feltöréseket, fertőzéseket robotok végzik el, emberi beavatkozás nélkül. Ha rátalálnak a weboldalra, nem nézik azt, hogy az egy kismama blogja-e, vagy egy multinak a céges weboldala. Ha sérülékenység van rajta, azt kihasználják, és kárt okozhatnak.

Mit érdemes még frissíteni?

A WordPress frissítéseken kívül érdemes frissíteni a bővítményeket és a kinézeteket is. Nem csak a használta(ka)t, hanem az összes telepítettet. A legjobb azonban, ha a nem használt bővítmények és kinézetek törlésre kerülnek.

Ha frissítek, nem lehet gond?

Sajnos de, több okból is:

  • Előfordulhat, hogy egy-egy új verzió nem kompatibilis a többivel (WordPress-el, kinézettel, bővítménnyel, tárhellyel, stb.), így ez gondot jelenthet.
  • Attól, hogy a WordPress-t frissíted, még használhatsz olyan kiegészítőt, amely miatt sérülékeny marad a weboldalad.
  • Ha nem megfelelő a weboldal, a tárhely, a számítógéped, és a hozzáféréssel rendelkezők hozzáférési adatainak védelme, az is gondot jelenthet.

Hogyan frissítsek?

A “Vezérlőpult” -> “Frissítések” menüpont alatt lehet a frissítéseket elvégezni. Kivéve a prémium kinézetek és bővítmények frissítését. A Frissítés megkezdése előtt érdemes biztonsági mentést készíteni a teljes weboldalról, hogyha bármi balul sülne el, legyen egy visszaállítható állapot a munka megkezdésekor fellelhető állapotról.

Ha ezekkel nem szeretnél bajlódni, bízd szakemberre a frissítést, keress meg, és segítek!

Egy kis statisztika, hogy az összes WordPress weboldalt tekintve mennyi használ egy-egy verziót (sajnos olyan nincs, hogy a 4-es, vagy 4.7-es ágon belül mi az arány):

forrás: w3techs.com/technologies/details/cm-wordpress/all/all

Néhány példa, fertőzött weboldalakra (saját gyűjtés):

1. Hackelt tartalom:

2. orosz tartalom a menüsorban:

3. Támadás REST API-n keresztül:

4. Eltűnt az összes “OLDAL” tartalomtípus:

5. Spam bejegyzések tömkelege, pl.:

6. Fertőzött forráskód:

7. Vírusos weboldal – riasztás:

8. Előfordulhat, hogy a weboldal HELYÉN ez, vagy ehhez hasonló látvány fogad:

9. Plusz oldalak létrejöhetnek a weboldal alatt:

10. Széthekkelt admin felület:

 

11. 1 000 000 (!!!!) spam hozzászólás: