Wordpress biztonsági fenyegetettség lépett életbe a napokban, részletek a Grant-IT cikkében.

18 feb Rendkívüli WordPress biztonsági sebezhetőség

A WordPress napjainkban egy közkedvelt tartalomkezelő rendszer (más néven CMS – Content Management System), mi is rendszeresen használjuk SaaS projektjeink kereteként, mert több feladatot is hatékonyan old meg helyettünk. Használatával a munkánkban arra tudunk koncentrálni, ami a mi hozzáadott értékünk, így a WordPress használata egyszerű szerszámmá válik az infrastruktúránkban.

Ahogy azonban a valódi szerszámokat, így a szoftvereket is rendszeresen karban kell tartani annak érdekében, hogy a munka biztonságos legyen velük és használatukkal pontosan azt az eredményt érjük el, amire számítunk.

Ennek érdekében érdemes az automatikus frissítések mellett odafigyelni és időben reagálni az olyan rendkívüli bejelentésekre, mint a mostani.

A WordPress 4.9.2. verzióig túlterheléses DoS támadással sebezhető

Ez azt jelenti, hogy a támadó egy gombnyomással elérhetetlenné teheti a weboldalt, és működésképtelenné teheti az azt futtató kiszolgáló szervert is. Az azonos erőforráson elhelyezett szolgáltatások (pl. levelezés, felhő tárhely, megosztott erőforrások) szintén elérhetetlenné válnak. Abban az esetben, ha a weboldal nem dedikált erőforráson fut (ahogy ez máig elterjedt gyakorlat a tárhelyszolgáltatóknál), az okozott túlterhelés a támadott weboldallal közös szerveren futó többi weboldalt is elérhetetlenné teheti.

Fontos tehát, hogy mindenki minél előbb a WordPress legújabb verziójára frissítsen, ugyanakkor érdemes megfontolni a váltást dedikált vállalati infrastruktúrára, mint amilyen a GrantSystem is, ezzel csökkentve a hasonló támadásoknak való kitettséget.

Mindenkit arra biztatunk tehát, hogy üzletmenetének folytonossága érdekében sürgősen frissítse a WordPress rendszerét a 4.9.2. verzió fölé. Ebben szívesen segítünk, valamint a WordPresses supporton kívül még számos ellenőrzési lehetőséget is tartogatunk a szoftveres szerszámosládánkban, amikkel szívesen állunk rendelkezésre.

(Az információért hálás köszönet AX-nak!)

Miért nem frissítik magukat automatikusan a WordPressek?

Ahogy azt több helyen is leírták már, ennek több oka is van:

  • A frissítési folyamat ideje alatt részben vagy egészen elérhetetlenné válik a weboldal. Ezért érdemes ezt kis forgalmú időszakban lefolytatni, a WordPress magától nem tudja mikor a legkevésbé zavaró a szolgáltatás-kiesés.
  • A frissítések telepítése mindig üzembiztonsági kockázattal jár: így ha nem minden úgy sikerül, ahogy kellene, akkor a weboldal elérhetetlenné válhat, ami a következő szakszerű beavatkozásig fennáll. Ezért érdemes készenlétben tartani ilyenkor olyan szakembereket, akik a felmerülő akadályokat gyorsan el tudják hárítani, a hibákat rövid időn belül tudják javítani.
  • Mentés: bár egyetlen szóval leírható mi ez, mégsem olyan egyszerű dolog. Lehet egy oldal nagyon nagy, így a mentése órákig tarthat, vagy akár napokig is, emiatt ennek a kezelését és állapotát pontosan a frissítés elé kell időzíteni. A mentés természetesen azért elengedhetetlen, hogy ha a frissítés sikertelen vagy hibába torkollik, akkor vissza lehessen állni a legújabb, hibátlan verzióra.