Nawracające infekcje na stronie www – WordPress (case study)

W ostatnim czasie zgłosił się do nas klient z typowym dla nas problemem – Google odrzuca reklamy Adwords, ponieważ strona zawiera złośliwe przekierowania na inne witryny internetowe. Powodem tego problemu był zainfekowany CMS WordPress. Zlecenie potraktowaliśmy dość standardowo najpierw czyszcząc i usuwając wszystkie zainfekowane pliki na serwerze, następnie aktualizując wszystkie wtyczki i skrypty oraz konfigurując reguły bezpieczeństwa.

W jednej z kolejnych rozmów telefonicznych wychwyciliśmy informację, że nie jesteśmy pierwszą firmą, która próbuje naprawić tą stronę WordPress. Nie byliśmy też drugą, ale dokładnie trzecią firmą która podjęła się naprawy tej strony www. W poprzednich przypadkach kolejne włamania następowały w odstępach 2-3 tygodni od czasu podjęcia ostatnich działań naprawczych.

Ta informacja dała nam do myślenia i postanowiliśmy przeprowadzić standardowy audyt całej instalacji WordPress. Na pierwszy odstrzał poszły dwie wtyczki, które nie miały wsparcia i aktualizacji kolejno od 4 i 2 lat. Sprawdziliśmy ich funkcje, uznaliśmy za zbędne i z czystym sumieniem usunęliśmy. Reszta zainstalowanych wtyczek była nam znana i aktualna więc zostawiliśmy je w spokoju.

Strzałem w dziesiątkę okazało się sprawdzenie templatki, z której korzysta strona. Konkretnie szablon „Avada” dostępny na popularnej platformie themeforest. Avada zainstalowana u klienta w wersji 3.4.2, gdy najbardziej aktualna to v 5.4. Bardzo szybko dotarliśmy do informacji, że AVADA do wersji 5.1.5 była podatna na ataki typu XSS oraz CSFR. Co więcej, w internecie dostępnych jest mnóstwo instrukcji jak wykorzystać luki bezpieczeństwa w tej templatce. Oznacza to mniej więcej tyle, że każdy gimnazjalista znający angielski i mający średnie pojęcie o programowaniu z takim poradnikiem bez problemu włamie się na stronę WordPress wykorzystującą nieaktualny motyw Avada.

Jedyną słuszną drogą, do zapewnienia bezpieczeństwa tej witryny www był zakup i aktualizacja motywu. W ten sposób staliśmy się trzecią i mamy nadzieję, że ostatnią firmą, która naprawiała tą stronę www.

Konkluzja:

Jeżeli Twoja strona WordPress korzysta z kupnych szablonów, koniecznie sprawdź czy Twój motyw nie wymaga aktualizacji.