Summer-of-Pwnage ehk hea näide selle kohta, miks peaks sisuhaldusi uuendama

Summer of Pwnage (ehk S0P) – on nö. vabakutseliste turvaekspertide ja häkkerite “rahvaüritus” (nende oma sõnutsi alates algajatest kuni “1337 h2xX0r173N1” välja), mis on korraldatud Hollandi firma Securify poolt.
Antud ürituse eesmärk on 30 päevaga leida mittefataalselt vigu WordPress (WP) sisuhalduses ja selle pluginates ning raporterida need vastavate rakenduste autoritele. Ehk tegu on siis 30 päevase “whitehat” häkkerite üritusega, kus vabakutselised isikud annavad tasuta oma panuse WP ja selle lisapluginate turvalisemaks muutmiseks. Kuidas üritus toimub: Securify poolt on tasuta antud kasutusse oma ruumid, ning välja jagatud VMWare virtuaalkeskkonnad, kus soovijad saavad oma oskusi/teadmisi proovile panna, leidmaks WP ja selle pluginate koodis erinevaid vigasi või ohte, mida pahalased saaksid ära kasutada.
Tänu mainitud üritusele ja isikutele on juba parandatud mõned vägagi populaarsete WP pluginate vead ja muudetud need seeläbi turvalisemaks.
Näidetena võib välja tuua pluginatest:
– Code Snippets
– WooCommerce
– Ninja Forms
– Google Forms
– Top 10 – Popular posts plugin for WordPress
– Master Slider
– SEO plugin for WordPress.
Kui juhtub et teil on kasutusel mõni nendest WP lisadest ja te ei ole neid uuendanud uusimale versioonile, on tõenäoline et mõni häkker/pahalane võib üritada teie veebilehel seda turvaauku ära kasutada! Sama käib ka WordPressi enda uuendamise ja ohtude kohta.

Kui teil on WP sisuhaldus kasutusel, hoidke kindlasti silm peal ka S0P leitud haavatavuste listil, et vajadusel võtta kasutusele mõni lahendus, kui teie kasutatavas pluginas on leitud mõni viga. Nimekiri leitud haavatavustest on leitav veebilehelt: https://sumofpwn.nl/advisories.html
S0P twitteri feed on leitav lingilt: https://twitter.com/sumofpwn #sumofpwn

Leitud vead ja pisike kronoloogia

– 20. Juuli seisuga (20 päevaga) oli leitud 40+ haavatavust WP ja selle lisades ning juba raporteeritud neist 18.
– 28. Juuli seisuga on vastavalt nende lehel olevale infole juba WP ja selle lisade omanikud ära suutnud parandada 21 haavatavust, millele lisaks on juba raporteeritud veel 4 haavatavust ja üritatakse omanikele teatada veel 86 WP ja selle lisade haavatavusest. Ehk kokku on WP sisuhalduse ja selle lisades leitud 111 viga/haavatavust/exploiti (ja veel on paar päeva jäänud…)

Mida tuleks teha – mõned soovitused

– Pöörduge oma veebimeistri poole et ta kontrolliks kas mõni plugin, theme või WP ise vajab teil veebimajutuskontol uuendamist.
– Kui teil on sisuhalduses mõni plugin või theme mida te ei kasuta aga ei taha ka uuendada, siis deaktiveerige ja eemaldage need!
– Kui teie WP ja/või plugina(te) versioonid on liiga vanad et neid otse uuendada, pöörduge oma veebimeistri poole palvega teie vana veebileht ja selle andmed migreerida uusimale versioonile.
– Kui teil on mingitel põhjustel oma veebimajutus kontol WWW kaudu ligi pääsetav näiteks eelmise veebilehe versioon (mida te ei soovi kustutada), siis palun piirake antud kaustale ligipääs .htaccess failiga (näidis leitav SIIT (alapealkiri: “Kuidas ise turvata wp-admin kausta”)) või arhiveerige antud leht väljapoole veebikausta (public_html) või varundage andmed/failid endale arvutisse (näidise varundamiseks leiab SIIT)
– Kui teil ei ole omal veebimeistrit aga soovite ise kätt proovida WP ja pluginate haldamises, on kõikidele meie klientidele vabalt kasutatav Installatroni rakendus DirectAdmin all, kus saate vajadusel olemasoleva veebilehe importida Installatroni alla, teha sellest ja andmetest varukoopia (või kloonida installatroni lisatud oma veebileht eraldi mõnda alamkausta, et seal testida uuendamist) Kui soovite lisainfot Installatroni importimise kohta, võtke ühendust meie kasutajatoega. Installatroniga saate hallata ka automaatseid varukoopiaid oma veebilehest kui ka automaatseid uuendusi.
– Kui teil ei ole oma veebimeistrit ja ei soovi ka ise proovida sisuhaldust ja selle lisasi uuendada võite pöörduda meie kasutajatoe poole vastava päringuga mõne meie koostööpartneri kontaktide jaoks, kes on spetsialiseerunud WP ja selle lisade installimisele/uuendamisele/haldamisele/puhastamisele/parandamisele.

Radicenter OÜ 2018