Gần 50% website WordPress không được bảo mật một cách đúng mức

Sau khi cập nhật gần đây của WordPress lên phiên bản 4.9.5, chúng tôi đã quyết định thực hiện một ít nghiên cứu để xem các trang WordPress cập nhật nhanh như thế nào – và bao nhiêu trang còn nhiều bản update chưa cập nhật. Những gì chúng tôi tìm thấy là khó thuyết phục để nói rằng ít nhất. 49% các trang web WordPress trong Quantcast Top 10,000 không chạy phiên bản mới nhất, an toàn nhất của WordPress. Và 33% còn chưa update cả các bản cập nhật trước.

“WordPress là nền tảng số một toàn cầu được sử dụng để xây dựng trang web”, Adam Cohen , chuyên gia phát triển web và chuyên gia bảo mật có hơn 15 năm kinh nghiệm cho biết. “Với số lượng các trang web được chạy trên nền tảng WordPress lên đến hàng triệu, nó cũng là nền tảng phổ biến nhất cho các tin tặc tấn công. Bởi vì nếu họ tìm thấy bất kỳ khai thác, nó có thể được nhân rộng trên hàng trăm ngàn trang web. ”

Quay lại với thực tế là nhiều trang web không cập nhật với phiên bản mới là một mối quan tâm rất lớn. Các trang web này đang phát nhanh và lỏng lẻo với các lỗ hổng được biết đến. Đây là cách bạn bị tấn công.

Phương pháp luận và các phát hiện chính

Để thực hiện cuộc khảo sát của chúng tôi, chúng tôi đã tạo ra một công cụ để thu thập dữ liệu trang chủ của mọi trang web trong Quantcast Top 10,000 . Thu thập dữ liệu được thực hiện trên ngày 05 tháng 4 2018 hai ngày sau khi phát hành WordPress 4.9.5. Với 48 giờ kể từ khi phát hành chính thức, bất kỳ trang web nào được cấu hình để cập nhật tự động đều đã làm như vậy.

Trong số 10.000 kết quả Quantcast, 17% trang chủ trang web chạy trên WordPress. Tổng số trang web có thể sử dụng WordPress cho blog của họ hoặc các phần khác của trang web của họ rõ ràng là cao hơn nhiều, nhưng do tính phức tạp và tốn thời gian của việc quét như vậy, chúng tôi chọn để ở chỉ với trang chủ.

Dưới đây là những phát hiện chính của chúng tôi:

  • 17% các trang web trong Quantcast Top 10,000 chạy chủ yếu trên WordPress
  • 50,93% các trang web WordPress đang chạy phiên bản mới nhất, an toàn nhất
  • 49,07% các trang web WordPress không chạy phiên bản mới nhất
  • 33,58% các trang web WordPress ít nhất có hai bản chưa cập nhật

Không cập nhật WordPress là một cách tuyệt vời để bị tấn công

Hãy nói về lý do tại sao điều này rất quan trọng. Và trước khi chúng ta tiến xa hơn, hãy hiểu rằng đây là một vấn đề cơ bản. Các tổ chức liên tục cân nhắc nhu cầu vá, cập nhật và bảo mật hệ thống của họ với chi phí liên quan, cả về giá cả và thời gian ngừng hoạt động / gián đoạn đối với doanh nghiệp. Đó cũng không chỉ giới hạn ở các trang web WordPress.

Paul Bischoff, chuyên gia bảo mật và người bảo vệ quyền riêng tư cho Comparitech.com , nói: “Nhiều người bỏ qua các bản cập nhật WordPress vì họ lo lắng rằng chúng sẽ tác động đến sự ổn định của trang web” . “Ví dụ, các plugin WordPress có thể ngừng hoạt động. Nếu bạn đã thực hiện thay đổi chủ đề nhưng không đặt những thay đổi đó vào một chủ đề con, những thay đổi đó có thể bị xóa trong bản cập nhật tiếp theo. Nếu bạn đang quản lý một website kinh doanh trực tuyến, thì việc website không thể hoạt động tốn kém hơn so với nguy cơ của phần mềm độc hại hoặc tấn công. ”

Nhà phát triển web cao cấp và chuyên gia WordPress Ken Dawes nhanh chóng cảnh báo các chủ trang web rằng WordPress cần sự chú ý liên tục.

“Vấn đề lớn nhất trong bảo mật WordPress (hoặc bất kỳ loại trang web nào khác) là làm cho mọi người nhận ra rằng có một trang web WP giống như có một con chó con”, Dawes nói. “Nếu bạn không chăm sóc nó – cho ăn, chải chuốt, tiêm chủng và những thứ tương tự – Bạn sẽ gặp vấn đề.”

Chăm sóc nó có nghĩa là thường xuyên cập nhật lên phiên bản mới nhất và giữ các plugin của bạn được cập nhật.

WordPress đang thực hiện những cập nhật này vì một lý do

Cũng giống như bất kỳ phần mềm nào khác, WordPress thường cập nhật bản cập nhật. Mặc dù các bản cập nhật này cũng cung cấp các tính năng mới, nhưng những cải tiến về bảo mật rất quan trọng.

Bischoff nói: “Người ta không nhận ra rằng tin tặc thường không tìm thấy các lỗ hổng trong phần mềm một mình”. “Khi một nhà xuất bản phần mềm như WordPress vạch ra một bản vá bao gồm bản cập nhật bảo mật, nó sẽ ngăn chặn tin tặc tấn công vào lỗ hổng đang tồn tại trong bất kỳ trang WordPress nào không thực hiện cập nhật. Nếu bạn không cập nhật, bạn là một mục tiêu. Bạn càng đợi lâu, bạn càng dễ bị tổn thương. ”

Gần một nửa số trang WordPress trong Quantcast Top 10.000 không cập nhật các bản update gần đây nhất là điều đáng báo động. Bên cạnh đó là hơn một phần ba, 33.58% số trang web còn hơn 2 bản update chưa cập nhật.

“Một khi trang web của bạn bị tấn công thì rất khó sửa chữa. Về cơ bản, tin tặc truy cập vào trang web của bạn rồi tạo ra các backdoor và kể cả khi bạn đóng tất cả, họ vẫn có cách để quay lại tấn công website của bạn. Kết quả là việc kinh doanh sẽ bị ảnh hưởng rất nhiều”, Mazdak Mohammadi, người đứng đầu của Canada WordPress Design Studio, BlueBerryCloud .

“Tin tốt lành là WordPress giúp bạn cập nhật cài đặt cùng với các plugin thông qua bảng điều khiển WordPress Admin. Người lập trình web của bạn nên có thể làm điều này cho bạn, nếu không bạn có thể truy cập và cài đặt. Nó rất dễ dàng để cài đặt, nếu bản cập nhật không thành công, WordPress sẽ tự động đưa trang web của bạn trở lại thời điểm trước khi bạn bắt đầu cập nhật ”.

Hack WordPress có thể xảy ra với tất cả mọi người

Các doanh nghiệp vừa và nhỏ thường nghĩ mình sẽ không bị tấn công. Đó là một quan niệm sai lầm phổ biến mà không được hỗ trợ bởi số liệu thống kê. Thực tế, Báo cáo về Nguy cơ năm 2017 của Symantec cho biết 74% doanh nghiệp vừa và nhỏ đã được nhắm mục tiêu vào năm ngoái. Và Liên minh An ninh mạng Quốc gia (National Cyber ​​Security Alliance) báo cáo rằng 60% các SMB sẽ không hoạt động trong vòng sáu tháng sau khi xảy ra vi phạm dữ liệu.

—>Trên 2000 trang web WordPress đang bị tấn công bởi mã độc keylogger

Nó có thể xảy ra với bạn.

“Bạn sẽ tìm thấy chủ trang web những người nói,” Tôi đã không cập nhật bất cứ điều gì trong năm qua và tôi chả bị ai tấn công tấn công! Vậy tại sao tôi phải cập nhật “Hoặc …” Website của tôi chỉ là 1 website bé, họ sẽ không quan tâm đến trang web của tôi “, Dawes nói. “Đó là một trò chơi số. Tất cả các trang web bị tấn công ngẫu nhiên mỗi ngày bởi hack-bot. Các chương trình chỉ cần đi qua danh sách các địa chỉ IP và tấn công bằng cách sử dụng danh sách các lỗ hổng đã biết, khai thác. Tất cả nhu cầu của công ty là để trang web của họ dễ bị tấn công bởi bot đúng vào đúng thời điểm. ”

“Khi một lỗ hổng được tìm thấy trong một phiên bản của WordPress, tin tặc sẽ tạo ra một lỗ hổng cho lỗ hổng đó và sau đó đưa vào một mạng lưới rộng, thường là một cách tự động, tìm kiếm những người không cập nhật”, Greg Kelley, một EnCE cho biết thêm. Họ không quan tâm bạn là ai hoặc bạn làm gì, chỉ cần bạn có một trang web. Sau khi bị xâm nhập, hacker sẽ thấy những gì họ có thể nhận được từ trang web của họ như thông tin tài khoản và sau đó có thể cố gắng sử dụng thông tin đó để tấn công các hệ thống khác mà bạn có thể có. Ít nhất, hacker sẽ làm hỏng trang web của bạn hoặc sử dụng nó để lưu trữ dữ liệu quan trọng đối với họ (dữ liệu bị đánh cắp, hình ảnh bất hợp pháp, v.v ..). Kết quả, ít nhất, là mọi người sẽ biết rằng website bạn bị tấn công.

Hoặc, bạn có thể đi theo con đường của gần 60% các doanh nghiệp vừa và nhỏ bị tấn công và ngừng trệ việc hoạt động của mình

Những gì bạn cần làm để giữ cho trang web WordPress của bạn an toàn

Rõ ràng, điều quan trọng nhất mà bạn cần làm ngay bây giờ đó là cập nhật các phiên bản mới nhất , cả hai cho CMS của WordPress và cho các plugin mà bạn đang chạy với nó.

Bob Herman, đồng sáng lập và là Chủ tịch của IT Tropolis cho biết: “Khi các lỗ hổng về trình duyệt và các chủ đề được phát hiện và các biện pháp khắc phục được phát hành, bảng điều khiển trong trang quản trị của bạn sẽ cho biết bản cập nhật khả dụng . “Ngoài ra, luôn sử dụng các chủ đề con để bạn có thể cập nhật tất cả các chủ đề trong cài đặt mà không ảnh hưởng đến trang web của bạn. Wordfence là một plugin tuyệt vời để thông báo cho bạn các vấn đề quan trọng trong quá trình cài đặt của bạn. Và, nếu bạn không muốn cập nhật WordPress bởi vì một plugin có thể không tương thích với phiên bản mới nhất, thì có lẽ nó không phải là một plugin có giá trị sử dụng. Hầu hết các plugin được chấp nhận rộng rãi đều được cập nhật đồng bộ với WordPress để các lỗ hổng có thể được vá nhanh nhất có thể. ”

Cohen cũng có một số lời khuyên bổ sung:

Hãy đảm bảo rằng bạn thường xuyên cập nhật mật khẩu và đảm bảo rằng công ty hosting của bạn đang cập nhật các thư viện Linux / Unix, Php, và MySQL đều đặn (và cài đặt các bản vá nếu cần). Xóa các plugin hoặc chủ đề cũ khi không sử dụng hoặc khi chúng đã lỗi thời. Cài đặt một dịch vụ như Sucuri hoặc Wordfence để giám sát các tệp tin và truy cập vào trang web của bạn. ”

Nhưng trên tất cả đừng rơi vào cái bẫy của suy nghĩ rằng bạn không cần phải cập nhật bất cứ thứ gì vì bạn là website nhỏ.

Dawes nói: “Đó là một nền kinh tế sai lầm để *không * giữ mọi thứ được cập nhật. “Nếu một công ty không muốn cập nhật vì họ sợ rằng trang web của họ sẽ bị hỏng, thì họ cần phải nhận thức được nguy cơ trang web của họ bị xâm phạm và sẵn sàng chấp nhận những rủi ro đó mà trang web của họ sẽ bị tấn công. Và nếu trang web của công ty chứa thông tin cá nhân về khách truy cập trang web – tên, địa chỉ email, thông tin thẻ tín dụng, v.v. – Tốt hơn họ nên chấp nhận các rằng các yếu tố pháp lý sẽ chạm đến họ! ”

Như mọi khi, hãy để lại bất kỳ nhận xét hoặc câu hỏi nào bên dưới!

(Theo thesslstore)

Bình luận

Be the first to comment

Leave a Reply