Jeżeli samodzielnie stworzyłeś swoją stronę za pomocą dostępnych w sieci darmowych aplikacji typu CMS np. Wordpress, Joomla itp. postaraj się uniknąć popularnych zaniedbań administratorów/twórców tego rodzaju serwisów. Poniżej krótki opis problemu i podstawowych zasad bezpieczeństwa.
WordPress czy Joomla to systemy zarządzania treścią rozpowszechniane na licencji GNU General Public License i są dostępne bezpłatnie jak i wiele tego rodzaju aplikacji. Ataki na strony z przestarzałymi lub dziurawymi wersjami tych aplikacji są bardzo powszechne w sieci.
Korzystając z tego rodzaju aplikacji każdy użytkownik musi miećświadomość, że kod takich aplikacji jest ogólnie dostępny i instytucje zrzeszające programistów i wydające (rozpowszechniające) tego rodzaju aplikacje nieustannie pracują nad zgłoszonymi/wykrytymi lukami wydając poprawkami bezpieczeństwa, które udostępniane są jako “aktualizacje”. Nie aktualizowanie samego CMS’a czy też zainstalowanych do niego rozszerzeń, dodatków, szablonów powoduje, że aplikacja staje się podatna na nadużycia. Brak aktualizacji bezpieczeństwa systemu na komputerze czy bazy wirusów w programie antywirusowym użytkownika logującego się do serwera czy też zaplecza strony ma tutaj również bardzo wielkie znaczenie.
Niestosowanie się do powyższych podstaw bezpieczeństwa powoduje, że krążące po sieci roboty szukające znanych (wykrytych) luk w niezaktualizowanych skryptach natrafiają na taką stronę, po to by potem na nią przeprowadzić atak. Cel takiego włamania w większości przypadków nie jest związany ze zniszczeniem strony a raczej ma związek z przejęciem kontroli nad stroną i wykorzystanie strony do dalszych włamań czy też innych nadużyć.
Nieaktualizowana strona lub niewłaściwie zabezpieczona przez wykrytą w niej lukę jest infekowana złośliwym oprogramowaniem, które najczęściej uzyskuje możliwość zapisu na stronie (serwerze) własnego fragmentu kodu, który wykonuje już to do czego został napisany. Dlatego tak ważne jest by na bieżąco przeprowadzać aktualizację używanych skryptów i nie korzystać z podejrzanych źródeł.
Podstawowe zasady bezpieczeństwa to:
- Nie instalowanie oprogramowania które pochodzi z podejrzanego źródła lub jest podejrzanie tanie (dotyczy samego WordPress’a, pluginów, szablonów jak i pozostałego oprogramowania)
- Na bieżąco przeprowadzane aktualizację WordPress -a, szablonów, pluginów, systemu operacyjnego komputera jak i zainstalowanego oprogramowania antywirusowego w tym bazy wirusów.