Отказ от своевременного обновления WordPress "убивает" WEB-сайты

Некачественное обновление, а иногда полное игнорирование обновления, очень часто приводит к тому, что сайты, построенные на системе управления контентом WordPress, остаются открытыми для атак со стороны злоумышленников. К такому выводу пришли британские специалисты информационной безопасности, представляющие интересы компаний WP White Security и Enable Security. Проанализировав в течение 3 дней в середине прошлого месяца 42106 сайтов, созданных на базе CMS WordPress и входящих в первый миллион сайтов рейтинга Alexa, специалисты обнаружили, к своему удивлению, 74 версии используемого программного обеспечения. Причем только 18.5 процента из проанализированных сайтов имели CMS, обновленную до последней на сегодняшний день версии, WordPress v.3.6.1.

Исследование было начато 12 сентября, на следующий день после выхода новой версии CMS, при этом абсолютное большинство сайтов осталось на старой версии. Статистика такова: 6859 сайтов продолжали использовать WordPress v.3.5.1 (c 8 задокументированными уязвимостями), 2204 сайтов осталось на версии 3.4.2 (12 уязвимостей) и 1655 сайтов – на версии 3.5 (10 уязвимостей).

«Это значит, что 73.2 процента работающих инсталляций на движке WordPress оказались уязвимыми сайтами с дырами в безопасности, которые могут быть обнаружены специальными утилитами в автоматическом режиме», говорится в докладе White Security. «Для злоумышленника будет достаточно пары минут для того, чтобы запустить утилиту для автоматического обнаружения уязвимостей и воспользоваться ими».

Есть вариант сбросить с себя "головную боль" с уязвимостями и обновлениями CMS сайта или блога - перенести сайт на Битрикс. Это довольно популярная CMS от лидера российского рынка "софта", компании 1С. Перенос сайт на Битрикс, дело малозатратное, в сети есть множество компаний которые Вам помогут перенести или сделать сайт на Битрикс.

Одной из причин, которая заставляет владельцев сайтов отказаться от мгновенного обновления движка является попытка дождаться, когда другие обнаружат в новой версии очередные уязвимости. Другие не спешат ставить обновление, опасаясь нарушения работы сайта или нарушения работы установленных ранее плагинов. Специалисты отмечают, что более всего страдают из-за своей осторожности те сайты, на которых используются слабые пароли доступа.

О необходимости в быстром обновлении CMS говорит случай, возникший в США, когда сразу несколько сайтов высокого уровня на WordPress (например, Mercury Science and Policy at MIT, National Endowment for the Arts и The Pennsylvania State University) были скомпрометированы крупной ботнет сетью. Этот случай указывает на возможность проведения более мощных атак в будущем, включая атаки с подбором паролей по алгоритму «brute force», которые уже проводились в апреле этого года для того, чтобы отсеять сайты с наиболее высоким уровнем защиты и применить к ним наиболее затратные способы взлома типа DDoS атак.

Кстати говоря, такие хакерские акции становятся в последнее время нормой и проводятся не только против сайтов на движке WordPress, но и против Joomla и Drupal.

«Сайты на WordPress становятся легкой добычей для хакеров, поддерживаемых национальными освободительными движениями, электронными армиями и технологическими экстремистами, которые в любой момент могут встать с кровати не с той ноги и натворить беды», говорит Стивен Гейтс, главный инженер по безопасности компании Corero Network Security.