Jeszcze raz… Dlaczego MUSISZ aktualizować wtyczki WordPress? Na przykładzie strony media.ferrari.com

16 maja, 2023

„Zhackowano” serwer WWW hostowanej domeny „media.ferrari.com”, ponieważ administrator witryny od 4 lat nie kliknął przycisku „aktualizuj” dla popularnej wtyczki W3 Total Cache, która do wersji 0.9.3 była podatna na odczytanie dowolnych plików z serwera WWW. Wtyczka z najnowszą obecnie wersją 2.3.2 została pobrana już ponad milion razy przez osoby zarządzające instancjami WordPressa.

Od wydania wersji 0.9.3 i ujawnienia nań podatności CVE-2019-6715, minęło już 4 lata. Może to być sygnałem dla innych atakujących, że dla Ferrari niektóre domeny nie są kluczowe, jeśli chodzi o bezpieczeństwo całej infrastruktury. Karygodny błąd, brak monitorowania urządzeń, niewykonany audyt inwentaryzacji oprogramowania i serwerów, brak procedur, błędy ludzkie…

Doprowadziło to do potencjalnego wycieku danych klientów Ferrari. Na szczęście dla Ferrari znaną lukę w pluginie W3 Total Cache odkryli etyczni badacze, którzy zdemaskowali podatny serwer i równie szybko Ferrari zareagowało na zgłoszenie.

Kilka dni temu inna popularna wtyczka „Essential Addons for Elementor” została wykorzystana do ataków i także zalecana jest aktualizacja.

System WordPress jest bezpiecznym CMS-em do zarządzania treścią, jednak należy przestrzegać określonych procedur, aby nie narazić się na ujawnienie danych bądź na utratę kontroli nad stroną internetową.

Karygodnym błędem jest, aby zapomnieć o stronie internetowej, nawet jeśli jest to stare i nieużywane już zaplecze cyfrowe. Niezaktualizowana strona, brak aktualizacji dla PHP, Apache/Nginx, pakietów dystrybucji Linuksa na serwerze, może to stanowić o słabym punkcie, który na pewno zostanie zauważony przez hakerów.

Skorzystaj z poradnika 9 kroków do zabezpieczenia WordPress

Bez cienia wątpliwości zaleca się pilną aktualizację wszystkich wtyczek oraz rdzenia WordPressa do najnowszych wersji. Jeśli nie jest to możliwe online, należy wykonać kopię zapasową i przetestować zmiany na kopii strony.

Zachęcamy do przeczytania naszego poradnika o zabezpieczaniu strony WordPress dla początkujących. Poradnik znajduje się pod tym linkiem i porusza następujące zagadnienia:

  1. Uważaj, komu zlecasz opiekę nad stroną i jaki hosting wybierasz.
  2. Używaj protokołu HTTPS.
  3. Zadbaj o aktualizacje wtyczek, motywu i core WordPressa.
  4. Wykonuj i sprawdzaj regularnie kopie zapasowe.
  5. Usuń niepotrzebne wtyczki i motywy.
  6. Zabezpiecz logowanie do panelu administratora.
  7. Monitorowanie hostingu, dostępności strony internetowej.
  8. Czy korzystać z wtyczek do zabezpieczania WordPress?
  9. Narzędzie WPScan: sprawdź podatności WordPress.

Czy ten artykuł był pomocny?

Oceniono: 3 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]