Сразу после недавнего обновления WordPress до версии 4.9.5 мы решили провести небольшое исследование, чтобы узнать, как быстро обновляются крупные WordPress-сайты. То, что мы выяснили, нас повергло в шок. Почти 49% всех сайтов на WordPress в топ 10000 Quantcast не использовали самую последнюю, безопасную версию WP. И 33% сайтов не обновлялись уже достаточно долгое время.
«Wordpress – платформа номер один в глобальной доле CMS для создания веб-сайтов», — отмечает Адам Коэн, веб-разработчик и эксперт по безопасности с 15-летним опытом. – «Учитывая количество веб-сайтов, запущенных на WordPress, это также самая популярная платформа и для злоумышленников. Если они найдут какие-либо дыры, то это позволит получить доступ к сотням тысяч сайтов».
Многие веб-сайты не обновляются до последних версий WP. Эти сайты открыты для свежих уязвимостей.
Методология и основные выводы
Чтобы провести наш опрос, мы создали инструмент для сканирования главных страниц сайтов в топ 10000 Quantcast. Сканирование было проведено 5 апреля 2018 года – спустя пару дней с момента выхода WordPress 4.9.5. За это время (двое суток) любой сайт, на котором настроено автоматическое обновление, был бы уже обновлен до последней версии.
В топ 10000 сайтов от Quantcast только 17% всех главных страниц веб-ресурсов работали на WordPress. Очевидно, что общее количество сайтов на WP гораздо выше, поскольку WP может применяться для реализации блогов или других участков сайта. Из-за сложностей сканирования разных участков сайта мы решили остановиться только на анализе главных страниц веб-ресурсов.
Вот наши основные выводы:
- 17% сайтов в топ 10000 Quantcast работают в целом на WordPress
- 93% этих сайтов на WordPress используют последнюю, самую безопасную версию WP
- 07% WordPress сайтов не используют последнюю версию WP
- 58% WordPress сайтов пропустили уже как минимум два минорных обновления
- 33% топовых WordPress сайтов пропустили уже как минимум два крупных обновления
Отказ от обновления WordPress – прекрасный способ получить взломанный сайт
Давайте обсудим то, почему обновление так важно. Эта проблема является универсальной. Организации постоянно анализируют необходимость исправления, обновления и совершенствования своих систем с учетом связанных с этим затрат – как с позиции цены, так и с позиции простоев/перебоев бизнеса. И это касается не только WordPress сайтов.
«Многие люди отказываются от обновлений WordPress, поскольку они обеспокоены тем, будет ли сайт работать так же стабильно, как и раньше», — говорит Пол Бишофф, эксперт по безопасности и приватности в Comparitech. – «Плагины WordPress, к примеру, могут перестать функционировать. Если вы внесли изменения в тему, но не создавали для этого дочернюю тему, такие изменения могут пропасть при обновлении темы. Если вы ведете онлайн-бизнес, перспектива простоев может показаться более дорогостоящей, чем риски атак или распространения вредоносных программ».
Старший веб-разработчик и эксперт WordPress Кен Доус предупреждает владельцев сайтов о том, что WordPress требует постоянного внимания.
«Крупнейшая проблема безопасности WordPress (или любого другого типа сайтов) – заставить людей понять, что наличие сайта сродни заведению своего домашнего животного», — говорит Кен. – «Если вы не позаботитесь о нем – о его кормлении, уходе, прививках и т.д., — то у вас будут проблемы».
Уход за сайтом – это постоянное обновление WordPress до последних версий, а также обновление плагинов.
WordPress выпускает обновления не просто так
Для WordPress, как и для любого другого программного обеспечения, регулярно выпускаются обновления. Они несут в себе новые возможности, а также улучшения безопасности. И кибер-преступники обращают внимание на то, что именно было исправлено.
«Взломщики зачастую не находят уязвимостей в программах своими силами», — отмечает Бишофф. – «Когда издатель ПО, такой как WordPress, выпускает патч, включающий обновления безопасности, он дает хакерам понять, что уязвимость существует во всех прошлых версиях. Если вы не обновляете WordPress, то вы становитесь удобной целью для хакеров. Чем дольше вы ждете, тем более уязвимыми вы становитесь».
Почти половина сайтов WordPress в топ 10000 Quantcast не имеет последнего обновления, что вызывает тревогу. Еще опаснее то, что более трети сайтов находятся на старых версиях – как минимум за две версии до последней.
«Если ваш сайт будет взломан, его очень сложно восстановить. Взломщики, которые попали на ваш сайт, создадут новые скрытые точки входа, и если вы их не прикроете, то злоумышленники всегда легко вернутся на ваш сайт. Для бизнеса это невероятно опасно», — говорит Маздак Мохаммади, глава канадской WordPress студии BlueBerryCloud.
«Хорошая новость состоит в том, что WordPress упрощает обновление системы и плагинов через консоль. Ваш веб-разработчик способен легко это сделать за вас, либо вы можете попросить доступ к консоли и самостоятельно все обновить. Это не ракетостроение, здесь нет ничего сверхсложного. Если обновление не сработает, то WordPress автоматически откатится к моменту, предшествующему обновлению».
С взломом WordPress может столкнуться любой
Ни малый, ни средний бизнес не обладает иммунитетом против взлома. Доклад Symantec, опубликованный в 2017 году, показал, что в прошлом году 74% малого и среднего бизнеса становились целью взломщиков. National Cyber Security Alliance отметил, что 60% компаний, задействованных в малом и среднем бизнесе, закрываются в течение 6 месяцев с момента утечек данных.
Это может случиться и с вами.
«Смешно, но вы можете найти владельцев сайтов, которые будут твердить: «я не обновлялся в течение многих лет, и меня никто не ломал! В чем дело?.. или: «Я просто веду свой блог, никому не мешаю, зачем меня ломать?», — отмечает Доус. – «Все это случайность. Все сайты ежедневно атакуются взломщиками при помощи ботов в рандомном порядке. Боты идут по списку IP-адресов и совершают атаки, связанные с популярными уязвимостями. В какой-то момент у ботов это может получиться».
«Когда уязвимость обнаруживается в версии WordPress, злоумышленники создают эксплойт для этой уязвимости, после чего сканируют широкую сеть, чтобы понять, кто не обновился», — добавляет Грег Келли из Vestige Digital Investigations. – «Им все равно, кто вы и что вы делаете. Важно лишь, что у вас есть сайт. После взлома хакер уже сможет понять, что можно взять с вашего сайта – к примеру, информацию об аккаунте, после чего он будет пытаться использовать эти данные в других системах. Хакер попросту уничтожит ваш сайт или будет использовать его для хранения каких-либо данных (украденная информация, нелегальные изображения и т.д.). Результатом может стать то, что ваш сайт лишится доверия и репутации».
Или вы можете пополнить список тех 60% компаний, которые закрылись.
Что сделать, чтобы WordPress сайт был в безопасности
Очевидно, самый простой совет, который вы могли бы ожидать – постоянно обновляйте WordPress и плагины.
«При обнаружении уязвимостей в темах или плагинах обычно незамедлительно выпускаются патчи, про которые вам просигнализирует ваша консоль», — отмечает Боб Герман, соучредитель и президент IT Tropolis. – «Всегда используйте дочерние темы, чтобы вы могли обновлять темы в своей установке WordPress и не терять свои правки. Wordfence – хороший плагин для уведомления о важных проблемах в вашей установке. Если вы не хотите обновлять WordPress, поскольку плагин может быть несовместим с последней версией системы, то в таком случае вам лучше подыскать другой плагин. Все популярные плагины обновляются практически синхронно с WordPress, поэтому уязвимости исправляются максимально быстро».
Коэн также дает некоторые советы:
«Убедитесь в том, что вы регулярно обновляете свои пароли. Также убедитесь в том, что ваша хостинг-компания ежегодно обновляет Linux/Unix, Php, и MySQL библиотеки (и ставит патчи при необходимости). Удалите старые темы и плагины, если они не используются. Установите сервис, подобный Sucuri или Wordfence, чтобы следить за файлами и доступом к сайту».
Но сначала прекратите думать о том, что вам не обязательно обновляться.
«Это ложная экономия – не обновляться, потому что сайт может перестать работать. Если сайт будет взломан, компания понесет большие затраты – к примеру, из-за риска утечек данных. И тогда уже наказание будет куда более серьезным!»
Источник: https://www.thesslstore.com
«Старая» — не значит необновляемая, WordPress поддерживает совместимость по старым веткам, вплоть до 3.7.x (!)
И с этой же ветки WP обновляется автоматически.
Плагины, тема — другое дело. Отключенное намеренно автообновление — тоже.
Статья-«пугалка», вообщем )
И забыли напомнить, что тем, у кого WP 4.9.3 нужно обновить его кнопочкой в консоли, автообновление для этой версии не работает, сломали…
Да, точно.
И + еще не так давно была статья о том, что многие ждут с момента выхода версии — не важно какой, минорной или мажорной — пока все не утрясется. А то было одно обновление, когда после него сразу следующее вышло.
Старые версии проверенные и опты разработчиков хватает для решения поставляемых задач.
>многие ждут с момента выхода версии — не важно какой, минорной или мажорной — пока все не утрясется.
после мажорной имеет смысл ждать, а тем у кого премиум темы и плагины, в особенности с встройками VisualComposer и подавно, VC постоянно отваливается и постоянно есть те, кто обновились недождавшись обновления VC, мучаются, страдают.
>было одно обновление, когда после него сразу следующее вышло.
после 4.9.3 сразу 4.9.4 вышло, потому что как раз автообновление и сломали
В статье не раскрыто, почему именно сайты не делают своевременное обновление. С одной стороны, вроде ведь так просто — нажал на кнопку в админке, и все обновилось. Но для крупных проектов это немыслимо.
1. Сначала нужно провести тестирование новых версий ядра, плагинов и темы на совместимость друг с другом. Для этого поднимают staging сайт, проводят обновления, проводят различные тесты, чтобы убедиться, что все хорошо. Это требует прилично времени
2. Во время обновления сайт лежит хотя бы минуту-две. Для крупных сайтов с высокой посещаемостью даже такой простой в работе может сказаться на получении прибыли.
3. В крупных проектах, как правило, ответственность за проект несет не один человек, а команда специалистов. И любые работы по сайту сначала проходят согласование, возможно даже в нескольких отделах компании. Это тоже требует времени.
Любое обновление чего бы то ни было это время-трудо-затраты на проверку всё ли работает после обновления, не отвалились ли плагины и т.д. Я не любитель обновлений, да и не вижу смысла перестраиваться со старого инструмента к которому привык, на новый без необходимости. Ладно бы были просто апдейты безопасности, но в WP могут и дизайн админки перекроить в неудобный, зато модный или еще что-то изменить не в лучшую сторону — обновления ради обновлений. В общем, на мой взгляд не стоит становиться рабом обновлений. If it ain’t broke, don’t fix it.