הגנה על אתרי וורדפרס

מ-0 ל-100, מ-CMS  לא מוכר למערכת מובילה בעולם הפיתוח הוובי, ממילה שרק אנשי פיתוח מכירים למושג שכמעט כל אדם כיום מכיר למרות שאינו מתחום טכנולוגיית המידע.

במאמר זה נסקור את הנושאים הבאים:

– על וורדפרס והפופולאריות של המערכת.
– על המתקפות והחולשות לאתרי וורדפרס.
– על אילו צעדים והגנות מומלץ ליישם על אתרי וורדפרס וארגונים שמשתמשים במערכת.

הכירו את המערכת לניהול תוכן או בראשי תיבות באנגלית CMS הידועה וורדפרס (WordPress) שהושקה לראשונה בשנת 2003 עם פונקציונליות מאוד בסיסית שהיית מיועדת להקמה של אתרי בלוג קטנים ופשוטים, כיום היא המערכת בסיס לשליש מאתרי האינטרנט בעולם, עם המערכת בונים אתרים מכל הסוגים, מבלוגים קטנים ועד אתרי ענק של החברות הגדולות בעולם.

עם הצלחה גדולה מגיעה אחריות גדולה ואיתה לא מעט אתגרים, וורדפרס היא מערכת נוחה ויחד עם זאת, מגיעים איתה שלל של מתקפות וחולשות שיש במערכת שניתן לגורם זדוני לנצל. קבוצות התקפיות ואנשים בעלי רקע ומניע שונה מנצלים פירצות ויודעים שמערכת וורדפרס הינה שמישה בלא מעט ארגונים בסדר גודל גלובאלי, עקב שמערכת וורדפרס משרתת ארגונים רבים, יש מחקר רב סביב המערכת ויכולתיה, כתוצאה מכך הם משקיעים מחקר ואיסוף במקורות גלויים וסגורים על מנת לקצר את דרכם להגיע אל תוך מסדי נתונים רגישים שיש בכל ארגון בעזרת ניסיון מציאת חולשות זמינות וחדשות שעוד לא תוקנו על ידי אנשי האבטחת מידע בעדכון גרסה של המערכת וורדפרס או תוסף המותקן במערכת.

סביב כל מוצר/מערכת פופולארית ישנה קהילה אשר מפתחת פונקציונליות שונה למערכת אשר תורמת למשתמשיה, אלו יכולים להיות תוספים (Plugins) שמשפרים את המערכת, כלים ותבניות עיצוב מוכנות מה שהופך את העבודה במערכת ליותר נוחה וכן הלאה, אנשים אלו תורמים את השיפורים לקהילה לשימוש החופשי והרחב, יחד עם זאת, מגיעים בעיות כאשר אין פיקוח על אותם כלים או תוספים כאשר זה נעשה על ידי אנשים פרטיים בעקבות זה יכולים להתגלות חולשות באותם תוספים והמפתחים לא מתקנים את החולשות, כתוצאה מכך עלול תוסף אשר נמצא בתוך מערכת של ארגון להישמש כחולשה, דבר אשר יכול להוביל לניצול החולשה על ידי גורם זדוני ולגרום לדלף נתונים או להשחטת הארגון מבפנים, דבר אשר פוגע במוניטין החברה או עלול להוביל לתביעות משפטיות.

ישראל, כמדינה מובילה בענף הסייבר, או בכינויה "סטרט-אפ ניישן" (Start-Up Nation). יחד עם התהילה הגדולה מגיעים גם לא מעט צרות, נפל בחלקנו להיות מטרה לתוקף מאורגן לנצל חולשה באחד מהספקים הגדולים בארץ לאחסון אתרים הלא הוא UPress, יהיה קל לנחש שניצול החולשה התגלה בתוסף שמותקן באתרי הוורדפרס המאוחסנים בארגון, כתוצאה מהתקיפה ניזוקו והושחטו כ-150,000 אתרים ישראלים. קישור:

https://www.israelhayom.co.il/article/763105

 


ישנן מספר מתקפות וניצול חולשות נפוצות בקרב אתרי וורדפרס אשר נציג במאמר:

1. גרסה ישנה של המערכת/תוסף – במצב כזה יותר נוח וקל לתוקפים לנצל חולשות באתר לא מעודכן כשכל האפשרויות פתוחות לפניו והוא בקלות יכול למצוא חולשות ידועות באינטרנט בתור CVE של אותה גרסה אשר הוא מתכנן לתקוף. יחד עם זאת כאשר מתגלות חולשות בגרסאות השונות, יוצאים עדכונים על מנת לתקן אותן. כל שעלינו לעשות הוא לדאוג שתמיד כל התוספים שלנו מעודכנים וכך גם גרסת הוורדפרס, מומלץ לשים את זה על אוטומט.

2. התקפת מניעת שירות (DDOS Attack) – מתקפת מניעת השירות מתבצעת בכך שנשלחות בקשות רבות במספר אל נכסי הארגון, תהליך המאיט את נכסי הארגון ובמקרים יותר חמורים מונע כל שימוש בנכסי הארגון בסביבת הארגון המותקף. המלצתנו היא להשתמש בשירותים המסתירים את כתובת השרתים שלנו, זה דבר אשר יכול לעקב את התוקף או להוות מכשול עבורו. אנו ממליצים שימוש בשירותי DNS המשמש בתור הגנה שעומדת "בחזית" אל מול מתקפות מניעת שירות אשר "לוקחת על עצמה" את כל הבקשות ובכך מונעת השבתה של נכסי הארגון.

3. נוזקה/קוד זדוני – מטרתו להגיע לתוך הסביבה של הצד המותקף (הקורבן) בדרך עקיפה, ישנן מספר שיטות שמנסים להחדיר קוד זדוני או תוכנה לתוך ארגונים, זה קורה דרך מתקפות פישינג מכוונות על עובדי ארגון תוך בקשה להורדת קבצים מסויימים, במקרה שלנו וכחלק מהמאמר בו אנו מדברים על וורדפרס, לרוב זה קורה על ידי הורדה של תוספים או תבניות עיצוב שונות ממקורות ללא פיקוח או לא מוכרים שמכילים בתוכם קוד זדוני שעלול לקבל אחיזה במחשב העבודה שלכם וכתוצאה מכך יכול להעביר כל מידע או נתונים אשר נמצאים במחשב העבודה שלכם לצד התוקף. במקרים רבים בהם נוזקה מקבלת אחיזה בתוך ארגון, לוקח זמן רב עד אשר מתגלה החומרה של המצב, לצערנו, ישנם ארגונים שאינם מודעים כלל ואין להם אינדקציה האם יש להם דלף נתונים רגיש. אנו ממליצים לעבוד באופן קבוע רק מול גורמים שאנו סומכים עליהם, לא ללחוץ על קבצים וקישורים שמופיעים לנו במרחב הרשת ואף שאנו מקבלים הודעות/מיילים מאנשים שאנו מכירים באופן אישי, מומלץ להחמיר ולשאול לכבוד מה הקישור או הקובץ שנשלח על ידי שיחת טלפון ישירה. בנוסף לכל ההמלצות, אם אתם בעלי האחריות וההחלטה בארגון, חובה לבצע תדרוך עובדים בנושא אבטחת מידע תוך הגברת עירנות העובדים. מודעות, עירנות מוגברת עם סדר וארגון מנצחים את הכל!

 

לסיכום, וורדפרס היא מערכת נהדרת שעושה את עבודתה נאמנה, כפי שאנו למדים היום וככל שעובר הזמן ולאור האירועים המתרחשים במרחב הסייבר העולמי אנו מבינים שאין דבר כזה להיות 100% מאובטח, מה שנשאר לנו זה:
1. לדאוג שכל המערכות שלנו מעודכנות.
2. להוריד ולהשתמש בתוספים ותבניות עיצוב מגורמים שאנו סומכים עליהם בלבד.
3. ליישם מערכות הגנה שציינו במאמר כמו: שרתי DNS חיצוניים.
4. להגביר מודעות אבטחת מידע בקרב אנשים שבסביבתנו.
5. להתייעץ עם הטובים ביותר.

רד-אנטרי מספקת שירותי הגנה לאתרי וורדפרס ומבדקי חדירות.