Cât de ușor poate fi compromis un website
Poate că știți, poate nu știți, dar acest blog este găzduit pe un server VPS. De când am descoperit cât de ușor pot instala WordPress pe un astfel de server și cât de simplu pot avea cele mai noi versiuni de php sau MariaDB, nu vreau să mă mai întorc la hosting shared.
Pe VPS pot optimiza imaginile și le pot converti în format webp printr-o simplă comandă.
Îmi place să actualizez aplicațiile de pe server, să văd ce au mai adus versiunile noi și ce probleme s-au remediat. Porturi, IP-uri, repo și alte chestii plictisitoare pentru mulți.
Vulnerabilități există peste tot. În sistemele de operare, în aplicații, în sistemele bancare și cam în tot ce e software. Important e să le descopere cineva care nu are scopul de a distruge, ci de a remedia.
O astfel de vulnerabilitate a avut un plugin pe care l-am instalat pe blog. Deși actualizez modulele de pe blog, cineva a atacat blogul și a reușit să-l compromită. Pentru o perioadă scurtă de timp, dar a reușit.
Ce s-a întâmplat, mai exact? Am găsit în folderul principal o arhivă cu un nume ciudat și un folder cu același nume. În acel folder stăteau cuminți multe fișiere cu nume aleatorii.
Cum nu doar acest blog era afectat, am încercat întâi să rezolv problema cu o restaurare și am adus blogul la starea în care era cu o zi înainte. Era seară și nu prea aveam chef de alte chestii complicate.
În următoarea zi, cu atenție, m-am uitat ce fișiere sunt în folderul de instalare a WordPress. Au reapărut altele cu probleme în folderul principal, dar și în folderul wp-admin am găsit unele ce nu aveau ce căuta acolo.
Le-am șters și pe acelea, apoi am instalat Wordfence, un plugin de securitate pentru WordPress. Nici nu vă spun ce a găsit. Sau vă spun?
Teme și module infectate cu cod “cu probleme”, complet aleatoriu. Pe acest blog erau infectate unele teme și pluginuri, pe alt blog erau altele afectate.
Wordfence și-a făcut treaba, eu am învățat că trebuie să fiu atent la ce instalez și cât de multă nevoie am de unele module pentru WordPress.
Pluginul de securitate despre care am amintit mai sus este activ și acum. Așa văd că o dată la câteva zile, cineva, de undeva, încearcă să exploreze o vulnerabilitate a unui plugin neactualizat. Poate, poate, reușește să compromită un site web.