Securitatea blogului reprezinta un capitol pe care multi dintre noi il ignoram. N-ar trebui sa facem acest lucru indiferent de cat de “mic”, necitit este blogul pe care prestam. Gandirea “cine sa-mi sparga mie blogul” sau “ce sa gaseasca daca-l” nu e tocmai buna.
Oricum am calcula si am intoarce situatia, pana la urma este munca ta, orele tale pierdute scriind si facand research pentru a pune in fata ochilor, pe monitoare resurse folositoare cititorilor tai.
Citisem recent pe blogul sucuri.net, o corporatie care se ocupa cu securitatea pe internet, fondatoare a plugin-ului sucuri, unul dintre cele mai bune plugin-uri din acest domeniu un articol super interesant : Massive Malware Infection Breaking WordPress Sites.
In acel articol era vorba despre un plugin, MailPoet pe numele sau, in care s-au gasit cateva vulnerabilitati care au condus la infectarea multor website-uri care rulau pe WordPress.
Am inceput sa caut mai multe detalii legate de aceasta problema pentru ca mi se parea un subiect interesant.
La cateva click-uri distanta, am gasit un alt post, pe thehackernews.com care spunea clar si raspicat : 50,000 Websites Hacked Through MailPoet WordPress Plugin Vulnerability.
50.000 de website-uri afectate! e un numar urias, e un numar care te face sa te gandesti daca nu cumva esti si tu printre ghinionisti. Partea buna e ca dezvoltatorii MailPoet au reusit sa faca un update in ziua respectiva care sa scape toate blogurile de aceasta problema.
Citind articolul de pe thehackernews.com, bucuros fiind ca nu am avut instalat acel plugin si am scapat, momentul in care am ajuns la ultimele doua randuri mi-a starnit emotii. Un alt plugin , o alta problema, de aceasta data aveam si eu plugin-ul respectiv instalat : Vulnerabilities in ‘All in One SEO Pack’ WordPress Plugin Put Millions of Sites At Risk.
All in one SEO Pack, este un plugin foarte foarte folosit, avand 19,309,254 download-uri si o medie de peste 4000 de download-uri pe zi. Daca macar jumate din download-urile respective reprezinta si install-uri in website-uri de WordPress, atacul pe MailPoet pare mic copil.
Poate pana acum am fost putin tehnic si poate v-am plictisit dar poate v-am facut curiosi si de acum o sa fiti mai atenti cu plugin-urile pe care le instalati.
Avand in vedere minunatiile despre care am vorbit cred ca ar trebui sa luam niste masuri de precautie.
Eu, mi-am propus ca de acum inainte sa ma ghidez dupa 3 task-uri marunte :
1. Sa fac update-urile la timp atat ale WordPress-ului cat si ale plugin-urilor, sa nu las lucrurile de pe o zi pe alta. Niciodata nu se stie cand se poate intampla nenorocirea
2. Sa sterg plugin-urile pe care nu le mai folosesc, nu doar sa le dezactivez
3. Sa ma documentez putin mai mult inainte de a instala orice plugin, indiferent de recomandare.
Poate asa o sa ne facem viata cu blogul mai usoara 🙂
De vulnerabilitatile din All in one SEO Pack am auzit … noroc ca nu-l mai foloseam pe site-urile mele.
eu il foloseam dar eram up to date cu el 🙂
interesant ceea ce spui tu aici. eu fac parte din grupul alora care e de parere ca fiind mic… nu e nimeni interesat sa ma dea jos… dar poate ca o sa fac si eu ceva in sensul asta
cred ca nu mai e voie sa fie “poate” in propozite. Ar trebui sa treci direct la actiune 🙂
din pacate cu open source cms gen magento, wordpress, joomla, drupal nu se poate spune ca este un site securizat cand milioane de oameni stiu codul sursa pe de rost la aceste platforme…..
corect, dar la fel de multe milioane cauta sa securizeze aceste brese 🙂 pentru alte milioane care habar nu au ce se intampla in codul respectiv 😉
in plus, poti sa stii codul destul de bine cazul meu, lucrez wp developer de o vreme, dar nu as putea sa sparg un wp 🙂
WP by yoast rullz momentan… 😛
frate ce rulls ca mie mi-a facut update la blog cu toate ca nu vroiam !!!
da, pentru ca e enabled automatic updates.
eu vad asta un lucru ok. nu de aia sunt facute update-urile, sa repare anumite probleme aparute in versiunile de wp (gen securitate) ?
E adevarat ca update-urile sunt facute ca sa repare, dar sa faci update automat, fara sa ceri permisiunea proprietarului de website, e exagerat. Am vazut destule cazuri in care, dupa update, lucrurile nu mergeau asa cum trebuie si era nevoie de interventii manuale pentru a le fixa.
Daca imi face update automat, poate sunt plecat in vacanta si n-am cum sa fixez potentialele probleme. Ce fac, stau cu website-ul paradit o saptamana sau doua?
Da, e adevarat ce spui. dar daca wp-ul tau e ok si nu ai schimbat nimic prin core sau ai o thema cat de cat ok nu prea ar avea ce sa pice.
In plus nu se fac update-uri majore la update-urile automate. Sunt doar fix-uri, din ce stiu eu.
da, aici ai dreptate.. si eu il folosesc pentru alti clienti. culmea pentru mine inca nu :))
Atunci cand trebuie sa fac un blog/site pentru un client, aleg sa nu folosesc pluginuri multe, mai ales pluginuri complexe. Se pot face multe lucruri fara pluginuri, dar trebuie sa ai putine cunostinte despre html/php sau css.
poti sa folosesti pluginuri, atat timp cat iti asumi responsabiliatea pentru eventuale probleme 🙂 pe client nu-l intereseaza ca pluginul x, care a fost free, a cauzat erorile neplacute. problema e a ta. cu putina documentare despre pluginuri ai putea sa ajungi la un rezultat ok.
eu de exemplu folosesc pentru clienti seo by yoast… si alte cateva pluginuri in functie de ce am nevoie dar de fiecare data citesc daca au fost sau nu probleme recente cu ele.
nu inseamna ca daca faci tu un plugin nu o sa fie vulnerabil…
Pana sa citesc articolul nu imi trecuse prin cap. acum ma gandesc extrem de serios…
ma bucur ca a putut sa-ti fiu de folos
Si mai folosesti “All in one SEO pack” ?
Platforma wordpress isi face automat update-uri, inclusiv cele de securitate. Nu prea mai merge in ziua de azi hack-uita, e foarte sigura si foarte stabila.
Eh, e sigura si stabila. Nu-i cea mai sigura asta-i clar. Si inca merge hackerita, pentru ca sunt atatea pluginuri si theme aiurea facute si vulnerabile de nu-i adevarat. 🙂
Din ce in ce mai multa lume incepe sa traiasca pe internet ceea ce nu e un lucru rau dar de multe ori curiozitatea te impinge sa vezi daca poti “sparge” un anumit site si sa studiez din ce in ce mai multe.Wordpress nu e neaparat cea mai sigura platforma fiecare are vulnerabilitatiile ei si trebuie sa iti faci mereu update la unele pluginuri ce te ajuta sa il securizezi si la platforma.Intrebarea mea este exista si altfe solutiile pentru a iti proteja site-ul wordpress infara de pluginuri si parole lungi si complicate?
da, backup-ul regulat, un hosting specializat pe wordpress care sa-ti ofere securitatea necesara la nivel de server (ssl). o sa scriu un post despre astea.
Pe mine m-a salvat pana acum Wordfence Security, e un plugin foarte bun, ce iti arata vizitele in timp real, blocheaza incercarile de login sau alte activitati suspecte corelate hacking-ului. Recomand!
Prima data cand am auzit de vulnerabilitatea asta cu All In One Seo Pack. Chiar ieri seara am trecut pe un alt plugin seo mai bun si mai sigur si uite ca acum aflu si eu bomba :)) . Mersi mult de postare.
foarte folositor articolul
Si eu sunt multumit de Wordfence Security, recomand cu incredere!
Din pacate am avut si eu o experienta neplacuta cu un plugin pe un site de-al meu pe care aveam instalat WordPress.
Nu stiu cum s-a intamplat dar a fost implementat o bucatica de cod in codul sursa al site-ului meu si pentru toti cei care intrau de pe Chrome site-ul era perceput ca fiind malware.
Toata munca mea distrusa.
Deci, e foarte importanta securitatea site-urilor dumneavoastra si mai ales ce plugin-uri instalati.
Cu cat esti mai preventiv cu atat mai bine!
Corect 🙂