Отказ от своевременного обновления WordPress «убивает» WEB-сайты

Виталий Стриж, 07 октября 2013 в 01:16. 0

Отказ от своевременного обновления WordPress убивает WEB-сайты

Некачественное обновление, а иногда полное игнорирование обновления, очень часто приводит к тому, что сайты, построенные на системе управления контентом WordPress, остаются открытыми для атак со стороны злоумышленников. К такому выводу пришли британские специалисты информационной безопасности, представляющие интересы компаний WP White Security и Enable Security. Проанализировав в течение 3 дней в середине прошлого месяца 42106 сайтов, созданных на базе CMS WordPress и входящих в первый миллион сайтов рейтинга Alexa, специалисты обнаружили, к своему удивлению, 74 версии используемого программного обеспечения. Причем только 18.5 процента из проанализированных сайтов имели CMS, обновленную до последней на сегодняшний день версии, WordPress v.3.6.1.

Исследование было начато 12 сентября, на следующий день после выхода новой версии CMS, при этом абсолютное большинство сайтов осталось на старой версии. Статистика такова: 6859 сайтов продолжали использовать WordPress v.3.5.1 (c 8 задокументированными уязвимостями), 2204 сайтов осталось на версии 3.4.2 (12 уязвимостей) и 1655 сайтов – на версии 3.5 (10 уязвимостей).

«Это значит, что 73.2 процента работающих инсталляций на движке WordPress оказались уязвимыми сайтами с дырами в безопасности, которые могут быть обнаружены специальными утилитами в автоматическом режиме», говорится в докладе White Security. «Для злоумышленника будет достаточно пары минут для того, чтобы запустить утилиту для автоматического обнаружения уязвимостей и воспользоваться ими».

Есть вариант сбросить с себя «головную боль» с уязвимостями и обновлениями CMS сайта или блога — перенести сайт на Битрикс. Это довольно популярная CMS от лидера российского рынка «софта», компании 1С. Перенос сайт на Битрикс, дело малозатратное, в сети есть множество компаний которые Вам помогут перенести или сделать сайт на Битрикс.

Одной из причин, которая заставляет владельцев сайтов отказаться от мгновенного обновления движка является попытка дождаться, когда другие обнаружат в новой версии очередные уязвимости. Другие не спешат ставить обновление, опасаясь нарушения работы сайта или нарушения работы установленных ранее плагинов. Специалисты отмечают, что более всего страдают из-за своей осторожности те сайты, на которых используются слабые пароли доступа.

О необходимости в быстром обновлении CMS говорит случай, возникший в США, когда сразу несколько сайтов высокого уровня на WordPress (например, Mercury Science and Policy at MIT, National Endowment for the Arts и The Pennsylvania State University) были скомпрометированы крупной ботнет сетью. Этот случай указывает на возможность проведения более мощных атак в будущем, включая атаки с подбором паролей по алгоритму «brute force», которые уже проводились в апреле этого года для того, чтобы отсеять сайты с наиболее высоким уровнем защиты и применить к ним наиболее затратные способы взлома типа DDoS атак.

Кстати говоря, такие хакерские акции становятся в последнее время нормой и проводятся не только против сайтов на движке WordPress, но и против Joomla и Drupal.

«Сайты на WordPress становятся легкой добычей для хакеров, поддерживаемых национальными освободительными движениями, электронными армиями и технологическими экстремистами, которые в любой момент могут встать с кровати не с той ноги и натворить беды», говорит Стивен Гейтс, главный инженер по безопасности компании Corero Network Security.

Публикации по теме
Новости OSZone – всё 29 октября 2017, 14:26 Новости OSZone – всё

На сайте OSZone больше не будут публиковаться новости Microsoft, IT и железа. С февраля 2007 года у нас вышло почти 20 тысяч новостей по этим темам, и я хочу поблагодарить всех авторов, более 10 лет наполнявших ресурс свежими материалами. Отдельное огромное спасибо Алексею Алтухову, опубликовавшему свыше 10 тысяч...

В канале «Ранний доступ» появилась сборка Windows 10 17017 14 октября 2017, 10:15

В пятницу компания Microsoft выпустила не только кумулятивное обновление для финальной версии Windows 10 Fall Creators Update, но и очередную предварительную сборку для всех инсайдеров в канале «Ранний доступ». Раньше здесь было разделение между сборками Redstone 3 и Redstone 4 при выборе опции Skip ahead, но теперь этого...

В канале «Ранний доступ» появилась сборка Windows 10 17017
Выпущено обновление Windows 10 16299.19 14 октября 2017, 09:05 Выпущено обновление Windows 10 16299.19

Три дня осталось до начала распространения обновления Windows 10 Fall Creators Update среди всех пользователей этой операционной системы. В преддверии этого события компания Microsoft выпустила очередное кумулятивное обновление, которое пришло на смену вышедшему 11 дней назад обновлению 16299.15.Новая сборка получила...