Jak nieaktualne wtyczki otwierają hakerom drzwi do strony?

Przez
Joanna Opala
-
0
20

Gdy masz stronę internetową, która działa, przyjmuje klientów i generuje zapytania, często zapominasz w ogóle o jej istnieniu. Tymczasem każdego dnia zautomatyzowane boty skanują miliony witryn w poszukiwaniu jednego: niezałatanej luki w przestarzałym oprogramowaniu. Nie interesuje ich branża ani wielkość firmy. Szukają otwartej furtki, która pozwoli im włamać się i wykraść Twoje dane ze strony. Taką „otwartą bramą” najczęściej staje się wtyczka, której ostatnia aktualizacja miała miejsce dawno temu. To właśnie ona jest głównym celem dla hakerów. W tym artykule dowiesz się, dlaczego regularne aktualizowanie CMS, wtyczek i motywów to najprostszy sposób, by zamknąć tę bramę – i jak zrobić to sprawnie, bez wiedzy technicznej.

Co to są CMS, wtyczki oraz motywy i dlaczego wymagają aktualizacji?

Większość firmowych stron działa na tzw. systemie zarządzania treścią – tzw. CMS (Content Management System). To oprogramowanie, które pozwala budować strony i zarządzać ich zawartością bez znajomości programowania. Najpopularniejszym na świecie jest WordPress, który napędza ponad 43% wszystkich stron internetowych*. Drugi popularny system zarządzania treścią w Polsce to Joomla. Działa na nim wiele firm, które stawiały strony 5–10 lat temu.

Trzy warstwy strony, które musisz znać

Oczywiście, jako przedsiębiorca nie musisz posiadać specjalistycznej wiedzy z zakresu tworzenia stron www oraz aktualizacji ich komponentów, ale powinieneś wiedzieć, że strona internetowa składa się z trzech elementów, które wymagają osobnej uwagi:

  • Rdzeń systemu – to fundament całej strony. Można go porównać do systemu operacyjnego w telefonie. Gdy Apple lub Google wypuszcza aktualizację, instalujesz ją, bo wiesz, że poprawia bezpieczeństwo. Z WordPressem i Joomlą jest dokładnie tak samo. Nowa wersja WordPressa czy zaktualizowanie Joomla to nie kaprys twórców tylko łatanie dziur, przez które mogą wejść niepowołane osoby.
  • Wtyczki – to dodatki rozszerzające możliwości strony. Należą do nich m.in. formularz kontaktowy, sklep internetowy, galeria zdjęć, system rezerwacji czy narzędzie do zbierania zapisów na newsletter. Wszystko to wtyczki. W samym WordPressie dostępnych jest ponad 60 000 takich dodatków. Każdy z nich to osobny kawałek oprogramowania, który ktoś napisał i który – jeśli nie jest aktualizowany – może z czasem stać się słabym punktem Twojej strony.
  • Motywy – odpowiadają za to, jak strona wygląda. Aktualizacja motywu WordPress to nie tylko odświeżenie wyglądu. Motywy zawierają własny kod, który tak samo jak wtyczki może mieć luki bezpieczeństwa. Włączenie aktualizacji motywów jest równie ważne jak dbanie o wtyczki – choć większość właścicieli stron w ogóle o tym nie wie.
Przeczytaj również:  Hreflang – co to jest?
Zapisz się do newslettera. Dostaniesz e-book w prezencie

Dlaczego brak aktualizacji to zaproszenie dla hakera?

Przyjmijmy, że producent zamków do drzwi ogłasza publicznie: „W modelu XY z 2022 roku odkryliśmy wadę – można go otworzyć spinką do włosów”. Jednocześnie wypuszcza nowy model bez tej wady. Co zrobisz? Większość ludzi wymieni zamek. Ale część z nich zapomni, odłoży na później albo w ogóle nie przeczyta ogłoszenia.

Z wtyczkami jest identycznie. Gdy twórca oprogramowania publikuje aktualizację z poprawką bezpieczeństwa, jednocześnie – mimowolnie – ujawnia, jaka luka istniała w poprzedniej wersji. Hakerzy natychmiast zaczynają szukać stron, które tej aktualizacji jeszcze nie wdrożyły. Robią to automatycznie, skanując miliony witryn jednocześnie. Nie interesuje ich, czy prowadzisz gabinet kosmetyczny, sklep z meblami czy kancelarię prawną. Sprawdzają tylko jedną rzecz: czy Twoja wtyczka wymaga aktualizacji i czy jej jeszcze nie zrobiłeś.

Co się dzieje po włamaniu?

Skutki mogą być bardzo różne i żaden z nich nie jest przyjemny, jednym z nich jest atak słownikowy. Hakerzy mogą wykraść dane Twoich klientów, co w świetle RODO oznacza obowiązek zgłoszenia incydentu i ryzyko kary sięgającej 4% rocznego obrotu firmy. Mogą podmienić zawartość strony, wstawić przekierowania na podejrzane witryny albo zainstalować złośliwe oprogramowanie, które zainfekuje komputery Twoich odwiedzających. W skrajnych przypadkach strona zostaje całkowicie zablokowana i pojawia się na listach niebezpiecznych witryn, co oznacza, że Google przestaje ją wyświetlać w wynikach wyszukiwania.

Kto jest najbardziej narażony – czy to dotyczy też Twojej firmy?

Najbardziej narażone na cyberataki spowodowane brakiem regularnych aktualizacji są firmy, które zrobiły stronę i o niej zapomniały. Właściciel zlecił budowę witryny agencji kilka lat temu, strona wygląda dobrze, działa – więc po co cokolwiek ruszać? To naturalne myślenie, ale niebezpieczne. Przez te kilka lat pojawiły się dziesiątki aktualizacji systemu, część popularnych wtyczek przestała być rozwijana przez ich twórców, a motyw graficzny nie był dotykany od pierwszego dnia. Aktualizowanie witryny WordPress to nie jednorazowe działanie. Wymaga regularnej konserwacji, podobnie jak przegląd samochodu.

Przeczytaj również:  Jak zadbać o bezpieczeństwo w sieci?

Oczywiście, ryzku podlegają również firmy korzystające ze starszych CMS-ów, takich jak chociażby Joomla. Zaktualizowanie Joomla bywa odkładane latami, bo system działa sprawnie i właściciel nie widzi powodu do zmian. Tymczasem regularne aktualizowanie CMS jest konieczne niezależnie od platformy – Joomla z przestarzałym rdzeniem i nieaktualnymi rozszerzeniami jest tak samo podatna na ataki jak WordPress.

Nowe wezwanie do działania

Jak i kiedy aktualizować stronę? Praktyczny przewodnik

Zapewnienie aktualizacji CMS nie wymaga wiedzy technicznej. Potrzebujesz jedynie systemu i regularności. Skorzystaj z naszych poniższych wskazówek.

Ustal rytm – raz w tygodniu, 20 minut

Najlepsze firmy nie aktualizują stron tylko wtedy, gdy przypomną sobie o takiej konieczności lub chcą dodać do witryny nowe funkcje. Robią to według stałego harmonogramu. Raz w tygodniu, najlepiej rano przed szczytem ruchu, wystarczy poświęcić 20 minut na cztery kroki:

  • Krok 1: Zrób kopię zapasową strony. Backup to Twoja polisa ubezpieczeniowa. Jeśli aktualizacja coś popsuje – a to się zdarza – wracasz do poprzedniej wersji w kilka minut. Bez kopii zapasowej strony aktualizacja to hazard.
  • Krok 2: Sprawdź dostępne aktualizacje. Znajdziesz je w panelu administracyjnym swojej strony. W WordPressie znajdują się w sekcji „Pulpit → Aktualizacje”. Zobaczysz tam wszystko naraz: rdzeń systemu, wtyczki i motywy.
  • Krok 3: Aktualizuj w odpowiedniej kolejności – najpierw rdzeń WordPress lub Joomla, potem włączenie aktualizacji wtyczek, na końcu motywy. Ta kolejność minimalizuje ryzyko problemów z kompatybilnością.
  • Krok 4: Sprawdź, czy strona działa poprawnie – wejdź na stronę główną, wypełnij formularz kontaktowy, sprawdź koszyk jeśli prowadzisz sklep. Dwie minuty weryfikacji mogą oszczędzić Ci godzin naprawiania problemów. Jeśli sprzedajesz przez internet i zbierasz dane klientów – zapewnienie aktualizacji CMS to Twój obowiązek, nawet jeśli nie zdajesz sobie z tego spawy.

Automatyczne aktualizacje – kiedy warto je włączyć?

Automatyczne aktualizacje to funkcja, która instaluje poprawki bez Twojego udziału. Brzmi świetnie i dla części aktualizacji rzeczywiście tak jest. Włączenie aktualizacji wtyczek w trybie automatycznym ma jednak pewne ograniczenia: nowa wersja wtyczki może czasem kolidować z innymi elementami strony i coś popsuć.

Rozsądne podejście wygląda tak: automatyczne aktualizacje bezpieczeństwa włącz dla drobnych poprawek rdzenia systemu – to aktualizacje, które naprawiają luki, nie zmieniają wyglądu ani funkcji strony. Włączenie aktualizacji motywów i wtyczek WordPress w trybie automatycznym rozważ dla prostych, wizytówkowych stron. Dla sklepów internetowych i rozbudowanych witryn – rób to ręcznie, zawsze po wykonaniu kopii zapasowej.

Przeczytaj również:  Jak wygenerować API Key i utworzyć konto w Google Maps Platform? Przewodnik

Aktualizacje wersji głównych – zachowaj szczególną ostrożność

Aktualizacje wersji głównych (np. przejście z WordPress 5 na WordPress 6 albo zaktualizowanie Joomla do nowej generacji systemu) to osobna kategoria. Zmieniają więcej niż tylko zabezpieczenia i mogą wpłynąć na wygląd strony oraz działanie zainstalowanych dodatków. Przed taką aktualizacją zawsze: zrób backup, sprawdź czy Twoje wtyczki są kompatybilne z nową wersją i jeśli możesz – przetestuj najpierw na kopii strony.

Przeczytaj również: Audyt bezpieczeństwa strony internetowej – jak zrobić go samodzielnie w 30 minut

Gdzie sprawdzić, czy Twoja strona jest bezpieczna – bez wiedzy technicznej

Regularne aktualizacje to podstawa, ale warto też wiedzieć, jaki jest aktualny stan bezpieczeństwa Twojej witryny. Szczególnie jeśli strona działa od lat i nie jesteś pewien, kiedy ostatnio ktoś ją aktualizował.

Najprostszym sposobem jest skorzystanie z CyberSkanera WeNet.

Pod tym adresem: cyberskaner.wenet.pl możesz sprawdzić swoją stronę internetową bezpłatnie i otrzymać czytelny raport, w którym znajdziesz analizę luk bezpieczeństwa systemu CMS, na którym działa Twoja witryna.

Jak to zrobić? Wystarczy wpisać adres swojej strony. Narzędzie w kilka sekund sprawdza, czy masz nieaktualne komponenty, brakujący certyfikat SSL i czy na stronie nie ma złośliwego kodu. Żadnej rejestracji, żadnej wiedzy technicznej – wynik dostaniesz od razu.

Sprawdź w minutę, czy Twoja strona jest odporna na cyberataki

Jeśli chcesz pójść krok dalej i na bieżąco monitorować zaktualizowane komponenty swojej strony, popularnym rozwiązaniem jest wtyczka Wordfence, która działa jak alarm antywłamaniowy dla WordPressa. Bezpłatna wersja wystarcza dla zdecydowanej większości małych i średnich firm.

Co warto zapamiętać? Bezpieczeństwo strony to element prowadzenia firmy

Aktualizacja stron internetowych nie jest zadaniem dla programisty. To element zarządzania firmą, taki sam jak odnawianie ubezpieczenia czy pilnowanie terminów podatkowych. Zaniedbujesz jedno i drugie na własne ryzyko.

3 rzeczy, które warto wdrożyć już dziś

  1. Raz w tygodniu – sprawdź panel administracyjny i zaktualizuj wszystko, co czeka na aktualizację. Zawsze po wykonaniu kopii zapasowej.
  2. Raz na kwartał – przejrzyj listę zainstalowanych wtyczek i motywów. Usuń te, których nie używasz. Nieaktywna wtyczka nadal istnieje na serwerze i nadal może być furtką dla atakującego.
  3. Teraz – sprawdź bezpieczeństwo swojej strony na cyberskaner.wenet.pl. Zajmie Ci to mniej czasu niż przeczytanie tego artykułu, a wynik może Cię zaskoczyć i w efekcie ochronić Twoją stronę przed atakiem hakera.

Bezpieczeństwo Twojej strony zaczyna się od jednej prostej decyzji: regularnego aktualizowania tego, co już masz zainstalowane. Nie potrzebujesz do tego specjalisty. Potrzebujesz systemu i konsekwencji.

Źródła:

* W3Techs Usage statistics and market share of WordPress

Nowe wezwanie do działania
Rate this post
UDOSTĘPNIJ
Poprzedni artykułCRM dla małej firmy: proste narzędzie, które zastąpi 5 aplikacji

Nasz ekspert:

Joanna Opala
Specjalistka ds. Contentu w WeNet. Doświadczenie w pisaniu i redagowaniu tekstów zdobywała w redakcji portalu internetowego oraz magazynu. Jej zainteresowanie marketingiem internetowym rozpoczęło się podczas pracy w agencji marketingowej, a następnie nabrało tempa w firmie e-learningowej.

PODOBNE ARTYKUŁYWIĘCEJ OD AUTORA

Dodaj komentarz

Please enter your comment!
Please enter your name here