Strony WordPress przybierają różną formę – tworzone są z nich blogi, portale firmowe, strony SEO czy też inne witryny użytkowe. Chcemy dziś zwrócić uwagę na inną, bardzo powszechną i dosyć niebezpieczną przypadłość, która uderza w strony na WP, a mianowicie o aktualizacje samego systemu, jak i wtyczek czy tez zainstalowanych motywów.
Zacznijmy od tego, że każda instalacja WordPress jest inna i zawiera inny zestaw wtyczek czy też motywów – to rzecz zrozumiała. WP jest na tyle obszernym i dostępnym skryptem CMS, że nie sposób trafić na dwie identyczne strony o takim samym zestawie pluginów. Mimo to, bardzo często w sieci pojawiają się wtyczki czy też motywy, które można pobrać za darmo – ostrzegamy – nie róbcie tego (za chwilę wyjaśnimy dlaczego).
Innym grzechem użytkowników WP jest całkowita ignorancja na tle aktualizacji WP. Skrypt sam przypomina o konieczności aktualizacji, ale nie przeprowadza operacji (prócz aktualizacji silnika WP, o ile zaznaczymy taką opcję w ustawieniach), gdyż w przypadku wtyczek czy motywów warto stworzyć backup. Dlatego aktualizowanie dodatków pozostaje w geście użytkownika. Wystarczy dwa kliknięcia, aby wtyczki same zostały zaktualizowane.
Co grozi stronie niezaktualizowanej lub zawierającej wtyczki z nielegalnych źródeł?
Aby zmotywować Was do aktualizacji, przedstawimy historię strony, która nie była aktualizowana od momentu jej tworzenia. Był to zwykły blog branżowy o gotowaniu. Właścicielka strony pisała na nim przepisy i tworzyła swoją grupę odbiorców. Niestety, pewnego dnia próbując zalogować się na swój serwis, jej oczom ukazały się dziwne chińskie znaczki na stronie głównej, a próba wejścia do panelu strony spełzła na niczym (automatyczne przekierowanie na strony hazardowe/reklamowe). Okazało się, że portal został zaatakowany przez hakerów, którzy zmienili kod strony i jej treść. Pomógł backup i gruntowna analiza wtyczek. Okazało się, że właścicielka zainstalowała darmową wersję (pobraną z nielegalnego źródła) wtyczki odpowiadającej za snippety przepisów kulinarnych.
Podobna historia miała miejsce z jedną ze stron firmowych – tam jednak hakerom pomógł przestarzały WordPress i jedna z wtyczek, która nie była aktualizowana przez 5 lat!
Dlatego apelujemy – aktualizujcie swoje strony na WP – dzięki temu, zamykacie furtkę dla hakerów, którzy wykorzystują luki w starych kodach wtyczek.