Отказ от своевременного обновления WordPress "убивает" WEB-сайты

Виталий Стриж, 07 октября 2013 в 01:16. 9

Отказ от своевременного обновления WordPress убивает WEB-сайты

Некачественное обновление, а иногда полное игнорирование обновления, очень часто приводит к тому, что сайты, построенные на системе управления контентом WordPress, остаются открытыми для атак со стороны злоумышленников. К такому выводу пришли британские специалисты информационной безопасности, представляющие интересы компаний WP White Security и Enable Security. Проанализировав в течение 3 дней в середине прошлого месяца 42106 сайтов, созданных на базе CMS WordPress и входящих в первый миллион сайтов рейтинга Alexa, специалисты обнаружили, к своему удивлению, 74 версии используемого программного обеспечения. Причем только 18.5 процента из проанализированных сайтов имели CMS, обновленную до последней на сегодняшний день версии, WordPress v.3.6.1.

Исследование было начато 12 сентября, на следующий день после выхода новой версии CMS, при этом абсолютное большинство сайтов осталось на старой версии. Статистика такова: 6859 сайтов продолжали использовать WordPress v.3.5.1 (c 8 задокументированными уязвимостями), 2204 сайтов осталось на версии 3.4.2 (12 уязвимостей) и 1655 сайтов – на версии 3.5 (10 уязвимостей).

«Это значит, что 73.2 процента работающих инсталляций на движке WordPress оказались уязвимыми сайтами с дырами в безопасности, которые могут быть обнаружены специальными утилитами в автоматическом режиме», говорится в докладе White Security. «Для злоумышленника будет достаточно пары минут для того, чтобы запустить утилиту для автоматического обнаружения уязвимостей и воспользоваться ими».

Есть вариант сбросить с себя "головную боль" с уязвимостями и обновлениями CMS сайта или блога - перенести сайт на Битрикс. Это довольно популярная CMS от лидера российского рынка "софта", компании 1С. Перенос сайт на Битрикс, дело малозатратное, в сети есть множество компаний которые Вам помогут перенести или сделать сайт на Битрикс.

Одной из причин, которая заставляет владельцев сайтов отказаться от мгновенного обновления движка является попытка дождаться, когда другие обнаружат в новой версии очередные уязвимости. Другие не спешат ставить обновление, опасаясь нарушения работы сайта или нарушения работы установленных ранее плагинов. Специалисты отмечают, что более всего страдают из-за своей осторожности те сайты, на которых используются слабые пароли доступа.

О необходимости в быстром обновлении CMS говорит случай, возникший в США, когда сразу несколько сайтов высокого уровня на WordPress (например, Mercury Science and Policy at MIT, National Endowment for the Arts и The Pennsylvania State University) были скомпрометированы крупной ботнет сетью. Этот случай указывает на возможность проведения более мощных атак в будущем, включая атаки с подбором паролей по алгоритму «brute force», которые уже проводились в апреле этого года для того, чтобы отсеять сайты с наиболее высоким уровнем защиты и применить к ним наиболее затратные способы взлома типа DDoS атак.

Кстати говоря, такие хакерские акции становятся в последнее время нормой и проводятся не только против сайтов на движке WordPress, но и против Joomla и Drupal.

«Сайты на WordPress становятся легкой добычей для хакеров, поддерживаемых национальными освободительными движениями, электронными армиями и технологическими экстремистами, которые в любой момент могут встать с кровати не с той ноги и натворить беды», говорит Стивен Гейтс, главный инженер по безопасности компании Corero Network Security.

Публикации по теме
Facebook потеряла доверие юзеров в 2018 году 03 апреля 2020, 12:33 Facebook потеряла доверие юзеров в 2018 году

Причиной этому послужили слухи о передаче виртуальным ресурсам конфиденциальных данных о пользователях сторонним организациям.Опрос проводили сотрудники аналитического агентства Toluna. Они составили список неудачников среди технологических компании. Лидером антирейтинга стала соцсеть Facebook. Она...

Google внедрила в Android «Сообщения» защиту от спама 03 апреля 2020, 10:32

Корпорация представила обновление, которое поможет защититься от SMS-спама.На данный момент обновлением приложения от Google может воспользоваться ограниченное число пользователей. Счастливчик, получивший возможность воспользоваться новыми функциями в Android «Сообщения», получает специальное...

Google внедрила в Android «Сообщения» защиту от спама
Пользователи «Яндекс» определили самые интересные события 2018 года 03 апреля 2020, 08:22 Пользователи «Яндекс» определили самые интересные события 2018 года

Возглавили список два противоречивых события: зимняя Олимпиада в Южной Корее и трагедия в кемеровской «Зимней вишне».Пользователи поисковой системы «Яндекс» определили самые интересные события уходящего 2018 года. Лидерами рейтинга оказались зимние Олимпийские игры в южнокорейском Пхенчхане и...