Portál AbcLinuxu, 5. května 2025 10:59

Masivní útoky na WordPress

Od začátku února se zvyšuje počet infikovaných WordPress webů s vloženou cizí reklamou. Jedná se o útok připravovaný několik měsíců, který využíval více starších bezpečnostních chyb a na weby propašoval skript pro vykonávání libovolného PHP kódu. V ČR bylo zatím nalezeno zhruba 400 napadených webů, počet však dále stoupá - podrobnosti o nákaze.

4.2.2016 15:43 | smíťa | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

4.2.2016 17:54 Jardík
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Odpovědět | Sbalit | Link | Blokovat | Admin
Jak vůbec může někdo tyhle redakční systémy používat. Je to všechno nabobtnaná patlanina všeho možnýho, jenom aby tam bylo všechno, co by mohl nějakej Franta potřebovat. Mnohem lepší si něco napsat na koleni, kde bude jen to, co potřebuju. Dneska je hroznej problém napsat si webovku, kde jsou 4 divy, tak si každej vezme tu nejpřeplácanější šablonu, zkombinuje ji s nejpřeplácanějším CMS a pak se diví. Nedávno třeba root.cz, koukali jste na ten jejich nový vzhled a ten přeplácaný design s nechutně nabobtnaným DOMem.
4.2.2016 18:52 smíťa | skóre: 9 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Já jsem naopak velký příznivce tohoto opensource řešení. Pokud se používá rozumně, tak funguje velmi dobře a zvládají ho jednoduše ovládat i laici. Už sem se setkal v velkým množstvím CMS psaných na koleni, které obsahovaly velmi závažné bezpečnostní problémy, ale narozdíl od WP nebyl nikdo, kdo by měl zájem je opravit. Bohužel WP "profesionál" je dnes kde kdo, stačí stáhnout nějakou pěknou prémiovou šablonu někde z torrentu a je to...
4.2.2016 21:40 R
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Tiez som videl nejake tragicke veci... Napr. upload suborov urobeny tak, ze sa dali uploadovat aj PHP subory (a potom spustat). "Oprava" spocivala v zakaze uploadu suborov *.php, akurat sa zabudlo na funkciu premenovania. Takze stacilo skript premenovat na .jpg, uploadnut a premenovat na .php.
5.2.2016 08:45 j
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
A on wordpress byl za celou doby svy existence aspon jeden jedinej den bez zavazny diry? To by se ovsem melo oslavovat vyroci ...
5.2.2016 11:28 smíťa | skóre: 9 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Je třeba rozlišovat co jsou opravdu chyby WordPress a co jsou chyby vzniklé nekvalitně napsaným doplňkem, nebo nevhodným nastavením.
svido avatar 6.2.2016 22:20 svido | skóre: 28
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
blbost, WP je jedna velka dira. Sorry, ale umožňovat normálním BFU hrabat do PHP je blbe. CMR / CMS apod mají být především blbuvzdorné. Používat jakýkoliv "oblíbený" opensource je hloupost, akorát si zahráváte s bezpečnostní. Útoky se dělají především na podobné opensource. Nehlede na to, že WP není ani v OOP, coding standards jsou totální výsměch.

Njn, bohužel dnes každý amatér (zámerně nechci psát b*b) si hraje na programátora a pak "programuje" haluz ve WP... :-(
7.2.2016 20:36 smíťa | skóre: 9 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Nevím, proč by měl běžný mít běžný uživatel WP možnost hrabat do PHP, toto rozhodně není vlastnost, kterou by se dal WordPress charakterizovat. Na druhou stranu může do PHP běžný uživatel hrabat u libovolého PHP webu... V tomto kontextu je Linux také jedna velká díra - umožňuje běžnému uživateli spouštět příkazy.

Oblíbený prověřený opensource je pro mě naopak z hlediska bezpečnosti často důvěryhodnější než kód, jehož základ psal jeden člověk/menší skupinka. Sebelepší programátor někdy udělá chybu. U oblíbeného opensource vím, co můžu čekat a být na to připraven. Pokud se objeví nějaký vážný problém, tak se o něm velmi rychle dozvím a mohu si ověřit, zda se mne také týkal. Co si počnu s exotickým systémem, když se problém objeví a původní tvůrce již není k dispozici? V případě oblíbeného opensource jsou k dispozici tisíce dalších lidí, kteří problém umí vyřešit. Co udělá menší web studio, které vyrobilo stovku webů na svém vlastním CMS, když se v něm najde bezpečnostní chyba? V lepším případě v tichosti chybu na všech webech opraví a zákazník se o ní nikdy nedozví, přestože již třeba nějakou škodu způsobila. Minimum vývojářů na rovinu obešle všechny své klienty a přizná jim, že udělali chybu...

Kód WP také nemám rád, ale jelikož se jedná především o systém pro uživatele a ne framework pro vývojáře, dokáži s tím žít. Coding standards vychází z původního určení PHP jakožto šablonovacího jazyka, vzhledem k historii tohoto systému a důrazem na zpětnou kompatibilitu se s tím těžko bude něco dělat...

S tvrzením o amatérech bohužel musím souhlasit.
4.2.2016 18:57 marek_hb
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
třeba někdo, kdo není programátor a živí se něčím úplně jiným...
4.2.2016 19:51 Tonda
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Takový člověk by ale měl zvážit, jestli není lepší si to nechat udělat od někoho, kdo tomu rozumí, než si stáhnout wordpress a pak ho špatně nastavit, nebo ho neaktualizovat, ...
4.2.2016 19:57 marek_hb
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
záleží na úrovni - když potřebuju někde vystavit pár fotek a článek, tak proč si to neudělat sám, když budu potřebovat optimalizované firemní stránky, tak to někde zadám
Hans1024 avatar 4.2.2016 21:24 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Jenomze takovy clovek nedokaze rozeznat nekoho, kdo tomu rozumi, od nekoho, kdo jenom stahne wordpress, spatne ho nastavi a necha si za to zaplatit :-D
Veni, vidi, copi
Max avatar 4.2.2016 21:25 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Chceš říci, že každý jouda si napíše bezpečnější CMS, než team lidí, co se o vývoj stará za many a zveřejňuje zdrojáky, jejichž bezpečností se ve finále zabývá nemálo lidí?
Dobrej joke ...
Zdar Max
PS: Problém je s údržbou a správou. Těžko budeš platit programátora, aby ti udržoval texty, vydával články apod. Mj. proto CMS existují, aby se o obsah starali lidi, kteří jsou pro to nejvhodnější.
PPS: ta tvá poslední věta nedává v kontextu žádný smysl, jak design souvisí s CMS?
Měl jsem sen ... :(
5.2.2016 08:47 j
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Spis ze kazdej clovek napise web, na kterej mu tezko zautoci nejakej script, kterych denne vidim v logu tisice. A prave wordpress je jeden z nejcastejsich cilu.
Max avatar 5.2.2016 23:00 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
To ale nemá s bezpečností nic společného. Použití neznámého sw, který je stejně tak děravý, resp. spíše ještě více a spoléhat na to, že si toho nějaký děcko nevšimne, to fakt není řešení.
Aneb neřešit důsledek, ale příčinu.
Tzn. vyvarovat se nebezpečným pluginům, pravidelně dělat update + popř. mít vhodně nastavený server.
Zdar Max
Měl jsem sen ... :(
5.2.2016 16:47 Bill Gates
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Prominte, ale cms psany pro konkretni ucel je mnohem vhodnejsi nez masove nasazovany z mnoha hledisek. Uz napriklad v tom, ze schopnost napadnout znacne mnozstvi webu postavenych na wordpresu, joomle, prestashopu,.... je dana take jeho masovou rozsirenosti, utok ma tak vetsi dopad a vetsi silu a da se lepe automatizovat. Moznosti studovat chyby v kodu jsou pro utocnika take docela cenne. Diky nahledu do kodu je znam mechanismus starych nebo dosud neopravenych chyb. To se u CMS kde zdrojak obecne neni k dispozici tak nejak mnohem hure dela. U CMS na miru vidim take vyhodu v moznosti oslovit primo jeho tvurce a za upravy mu samozrejme zaplatit. Jinak napriklad zakaznicke zmeny v kodu masove nasazovaneho systemu vyjdou stejne tak draho jako zmeny v kodu masivne nasazovaneho systemu. Nedej boze kdyz se komunita rozhodne jit jinym smerem, nez zakaznik potrebuje. Ani jeden z programatoru to nebude delat zadarmo. A kdo preci jen zadarmo nebo za smesnou cenu delat bude, necht se hlasi u me, mam pro nej spoustu prace.
Max avatar 5.2.2016 17:43 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Pěkný pokus o další flejm. Bezpečnost closed vs. oss source, to je hodně staré téma, ale třeba se ještě někdo chytne ;-)
Zdar Max
Měl jsem sen ... :(
5.2.2016 18:56 Bill Gates
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Napadlo vas nekdy kolego, ze existuje i věcná a faktická diskuze a ne jen vase domněnky o flamech a obvykle i vasich pocitech o tom jak jsme vsichni trolove? Koukám s vami je ta diskuze docela těžká, jak neni po vašem, tak je zle. No, co uz.... :) by me zajimalo, jestli jste takovy i osobne nebo jen na netu.... to musi byt tedy radost.
5.2.2016 20:21 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Tehdá jsem na internetu četl něco o útokách na bankomaty, kdy se na platební kartu, do toho magnetického proužku zapsalo prostě něco jinak než ten bankomat očekával, následkem toho tam něco přeteklo a útočník byl schopen vytáhnout peníze i bez jakýchkoliv autorizací. Samozřejmě je otázka jestli útočník náhodou nebyl insider a neměl přístup ke zdrojovým kódům, ale dle útoků jinde (třeba USB host na entertainment systémech v letadlech) bych spíš řekl, že někdo to jen zkoušel tak dlouho, až mu to prostě prošlo a zdrojáky toho kam útočil prostě nepotřeboval. Z tohoto pohledu tedy beru closed-source jen jako pocit falešné bezpečnosti, protože člověk co se na to zaměří spíš ty zdrojáky nepotřebuje.
Max avatar 5.2.2016 22:49 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Pročetl jsem nemálo flejmů na toto téma a nikdy to nikam nevedlo, nechápu tedy, proč bych se do takové diskuse měl zapojovat. Nikam to nepovede, oba jsme si své názory sdělili a nemám zapotřebí to nějak dále rozebírat, jak už jsem řekl, nikam to nepovede, jen ztráta času.
Zdar Max
Měl jsem sen ... :(
5.2.2016 19:10 R
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Je to len iluzia bezpecnosti, security by obscurity. Nenapadne ti to sice nejaky skript a neumiestni na web reklamu. Ale ked sa k tomu dostane clovek, ktory ma zaujem to hacknut, tak sa vyskusa skutocna bezpecnost a ta byva velmi pochybna. Kod niekolko takychto systemov som videl a bola to tragedia. A do toho kodu som nepozeral len tak pre srandu - analyzoval som hacknuty server.
6.2.2016 11:55 Bill Gates
Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
Souhlasim s iluzi bezpecnosti kolem security by obscurity a chapu to. Z praxe ale presto radeji pouziju vlastni CMS bez verejne dostupneho kodu (vyvoj od 2005, overeno v produkcnim prostredi nekolika firem) pro projekt uz kvuli rychlosti oprav (ve svem kodu se orientuji mnohem lepe nez v cizim), opravu muzu zaradit do hlavni vyvojove vetve hned a ne az uzna za vhodne komunita, ktera problem nemusi vubec vnimat jako problem, pricemz pro zakaznikuv projekt to muze byt obrovsky problem.

Vyhody vidim i ve vyvoji uprav na klic, tedy specialit, ktere se me vyviji mnohem rychleji na vlastnim kodu nez na cizim. Chyby seka kde kdo, i ja i kdokoliv jiny kdo se podili na masove vydavanem projektu. Zkusenostmi a letitou praxi v oboru se jim muzeme lepe vyhnout, zkratka vime co delame. Stava se mi ze napisu slozitejsi kus kodu na jeden zatah, ktery po prvnim pouziti bezvadne funguje. I tohle se mi obvykle zda podezrele a funkcnimu kodu napsanemu "from the scratch" take neverim, takze dukladne overuji a trapim ho.

Souhlasim take s prasackosti kodu ktere jsem take mel moznost videt. Obvykle byli autory mladi lide bez zkusenosti cerstve po studiu, kdy teoreticke znalosti jsou dobre, praxe vsak nulova a mysleni nad tim jak kod funguje, treba kontrola vstupnich dat, osetreni vsech chybovych stavu, vyjimek, atd... to je nekdy opravdu na facku.

I u nas ve firme takoveho jednoho blba vystudovaneho mame, ktery neni schopen osetrit ani existenci nazvu databaze. Ze mu mysql řve ze DB neexistuje ho nezajima, klidne nasledne provede do neexistujici db select, cimz mu jeho app spadne na hubu na neosetreny exception a opravit to musim ja testy mimo aplikaci, protoze on neni schopen. Takze prvne provedu testy scriptem a pak az (pokud vse projde) pustim tu jeho zprasenou app od ktere nemam zdroje (jinak bych to davno opravil).

Jinak tedy u meho CMS zakaznik ma zdroje. Muze si je editovat, auditovat, dale vyvijet po konzultaci a ma je zaplaceny. Pokud to i pres zaplaceni hodi na net, nenadelam nic, zpet to nevratim, tim to ale prestava byt "muj kod" a jeho uziti je na vlastni riziko. Klient se tim ale dostava do pozice kdy nakresli / otiskne profil sveho klice od bytu, tento verejne vystavi a ocekava ze mu byt nikdo nevykrade a nikdo si klic nevyrobi. Jako by reze si pod sebou vetev.

Ono neni vse cerne a bile. Neni jen opensource a closedsource. Existuje mnoho variant mezi tim ktera kazda ma sve vyhodi i nevyhody. Otazka taky jak je co treba klientem preferovano. Jeden preferuje uzavreny kod a security by obscurity, s cimz ja take nesouhlasim, a druhy opensource aplikaci, coz ne vzdy muze byt uplne to nejlepsi reseni, napriklad jako u wordpresu a jeho snadnou hacknutelnosti verejne zdokumentovanymi chybami drive nez klient zajisti upgrade jim vyuzivane aplikace coz take nemusi byt vzdy tak jednoduse pruchozi.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.