Rezygnujemy z obsługi WordPress
Rezygnujemy z utrzymywania na naszym serwerze skryptu WordPress.
Niniejsza decyzja jest podyktowana konkretnymi wydarzeniami. Chodzi dokładnie o przełamanie zabezpieczeń na jednym koncie hostingowym przez instalację ze strony klienta skryptu do zarządzania treścią, popularnego CMS-a o nazwie WordPress. Skrypt ten jest dostępny dla wszystkich i każdy może zaglądać w jego kody źródłowe. Jest to o tyle niebezpieczne że gdy sprytny złodziejaszek lub przestępca internetowy odkryje lukę w zabezpieczeniach to może swobodnie atakować miliony witryn internetowych. Popularność skryptu WordPress powoduje że praktycznie 3/4stron internetowych jest opublikowanych właśnie na skrypcie znanym jako WordPress.
Podjęte środki zaradcze są zbliżone siłą do podobnej decyzji jaką już wcześniej podjęliśmy. Mianowicie, nasza firma zrezygnowała z udostępniania kont DEMO służących do testowania ustawień serwera. Taka możliwość jest tak samo niebezpieczna jak skrypt z lukami w zabezpieczeniach. Niniejszą sytuację opisywaliśmy już na naszym blogu, zapraszamy do zapoznania się z całym artykułem.
Dlaczego podjęto taką decyzję ?
Jeden z naszych klientów postanowił zainstalować na próbę skrypt WordPess w podkatalogu swojej witryny. Niby tylko w celach poznawczych. Jednak skrypt po zainstalowaniu pozostał bez ingerencji i był dostępny z poziomu wyszukiwarki gdyż nieopatrznie ktoś dodał link prowadzący do tego podkatalogu. Po kilku tygodniach, okazało się że przez ten właśnie skrypt, komuś udało się dostać na to wydzielone konto FTP i wrzucić pliki programu do rozsyłania spamu.
Na szczęście ustawienia serwera spowodowały że skrypt do wysyłania wiadomości typu SPAM, był bezużyteczny. Zabezpieczenia wprowadzone przez naszych administratorów skutecznie zablokowały możliwość użycia naszej maszyny w niecnych celach.
To zdarzenie po raz kolejny pokazuje jak niebezpieczne są tak zwane popularne skrypty oparte o licencję open-surce, gdzie do kodu ma dostęp każdy kto pobierze pliki za darmo z internetu. Takie postępowanie jest skrajnie nieodpowiedzialne. Umieszczenie dziurawych skryptów na serwerach powinno być obwarowane karami lub grzywnami.
Właściciele stron szczególnie opartych o skrypty ogólnodostępne powinni zdawać sobie sprawę jakiego zagrożenia dostarczają sieci serwerów jak i internautom. W czasie gdy każdy może zbudować stronę opartą o skrypt CMS-a typu WordPress, takich niebezpiecznych miejsc w internecie przybywa. Właściciele stron opartych o darmowe skrypty już na starcie są obarczeni faktem braku umiejętności grzebania w kodzie strony i używania takich języków jak HTML, PHP czy JS. To powoduje że nie znają zagrożeń jakie sprowadzają na sieć internet.
Przestępca uzyskujący dostęp do 1000 witryn opartych o CMS typu WordPress przez wykrycie tylko jednej luki w zabezpieczeniach otrzymuje dostęp do milionów internautów odwiedzających te witryny WWW. Jest to tak duża pokusa dla osób szukających możliwości zainfekowania komputerów internautów w celu wyłudzania wrażliwych danych lub w celu instalacji oprogramowania do kopania kryptowalut, że każda osoba o słabym kręgosłupie moralnych skorzysta z nadarzającej się okazji aby powiększyć swój majątek nawet za cenę spotkania z policją.
