W ubiegłym roku ujawniono ponad 13 000 luk w zabezpieczeniach [WordPress](/blog/wordpress-security-risks), co stanowi ponad dwukrotny wzrost względem roku poprzedniego. Badacze bezpieczeństwa wykryli krytyczne podatności w wtyczkach używanych przez miliony stron. Operatorzy ransomware regularnie atakują strony WordPress ze względu na przewidywalną architekturę i rozległą powierzchnię ataku ekosystemu wtyczek (Patchstack i Sucuri publikują kwartalne raporty na ten temat).
Jeżeli firma korzysta z witryny WordPress, powierzchnia ataku znajduje się bezpośrednio na jej stronie głównej.
Dlaczego WordPress jest tak często atakowany
WordPress zasila około 40% wszystkich stron internetowych. Tak duże skupienie sprawia, że platforma jest wyjątkowo atrakcyjna dla atakujących: jeden exploit można zautomatyzować przeciwko milionom witryn jednocześnie.
Wtyczki stanowią główny wektor ataku. W repozytorium WordPress dostępnych jest ponad 60 000 wtyczek. Popularna wtyczka z niezałataną luką może w ciągu jednej nocy skompromitować dziesiątki tysięcy stron.
Motywy niosą podobne zagrożenia. Motywy premium z wątpliwych platform często zawierają backdoory lub podatny kod.
Sam rdzeń WordPress regularnie otrzymuje poprawki bezpieczeństwa, jednak aktualizacje bywają przyczyną awarii stron. Właściciele odkładają je więc na później. 42% zhakowanych witryn WordPress działało na przestarzałej wersji w chwili włamania.
Hosting współdzielony umieszcza witrynę na serwerze z setkami innych stron. Gdy sąsiednia witryna zostaje przejęta, atakujący mogą próbować przedostać się na pozostałe serwisy działające na tym samym serwerze.
Jak naprawdę wygląda atak na WordPress
Wstrzykiwanie spamu SEO
Hakerzy wstrzykują tysiące ukrytych linków do stron farmaceutycznych, hazardowych lub dla dorosłych w treść witryny. Pozycje w Google gwałtownie spadają. Odwiedzający widzą spam. Google umieszcza domenę na czarnej liście.
Ataki przez przekierowania
Odwiedzający są po cichu przekierowywani na złośliwe strony. Właściciel nie dostrzega problemu, ponieważ przekierowanie uruchamia się tylko przy określonych wzorcach ruchu. Organiczny ruch znika bez wyraźnej przyczyny.
Strony phishingowe
Atakujący tworzą fałszywe strony logowania pod adresem domeny firmy i wykorzystują je do przejmowania danych uwierzytelniających odwiedzających. Witryna staje się elementem aktywnego incydentu bezpieczeństwa.
Kopanie kryptowalut
Złośliwy JavaScript uruchomiony w przeglądarkach odwiedzających kopie kryptowalutę, wykorzystując ich procesor.
Ransomware
Rzadkie w przypadku małych stron, ale możliwe. Cała witryna zostaje zaszyfrowana, a właściciel otrzymuje żądanie zapłaty.
Odzyskanie witryny po każdym z tych scenariuszy kosztuje od 200 do ponad 2 000 EUR, do czego dochodzą dni przestoju i straty wizerunkowe.
Pułapka wtyczek bezpieczeństwa
Zabezpieczenie WordPressa wymaga wtyczek bezpieczeństwa. Jednak wtyczki bezpieczeństwa to też wtyczki: powiększają powierzchnię ataku, jednocześnie próbując ją chronić.
- Roczne subskrypcje (100-300 EUR rocznie za każdą)
- Regularne aktualizacje, które mogą psuć inne wtyczki
- Stały monitoring i konfiguracja
- Reguły zapory, które niekiedy blokują prawidłowy ruch
Różnica architektoniczna
Brak bazy danych wystawionej na internet. WordPress korzysta z bazy danych (MySQL), którą stale odpytują wtyczki i motywy. Statyczna witryna Next.js nie posiada bazy danych dostępnej z zewnątrz, do której można wstrzyknąć złośliwy kod.
Brak wykonywania PHP. WordPress uruchamia PHP przy każdym żądaniu. Next.js serwuje wstępnie zbudowane pliki HTML, co oznacza znacznie mniejszą powierzchnię ataku.
Brak odpowiednika ekosystemu wtyczek WordPress. Zależności to pakiety JavaScript (npm) zarządzane jawnie przez programistów, a nie rynek 60 000 opcji o zróżnicowanej jakości.
Platforma Vercel przejmuje część odpowiedzialności za bezpieczeństwo. Ochrona przed DDoS, TLS i edge caching są zarządzane przez zespół platformy Vercel. Kod aplikacji, przetwarzanie danych i treści pozostają odpowiedzialnością klienta.
Brak panelu administracyjnego WordPress. Atakujący chętnie celują w `/wp-admin`: to znany adres, łatwy do atakowania metodą brute force. Strona Next.js nie posiada równoważnego pojedynczego punktu podatności.
Ryzyko biznesowe
Automatyczne próby ataku są nieodłącznym elementem prowadzenia witryny WordPress przy jej obecnym udziale w rynku. Decyzja biznesowa sprowadza się do wyboru: kontynuować wydawanie czasu i środków na obronę rozległej powierzchni ataku, czy przejść na architekturę z fundamentalnie mniejszą podatnością.
webvise przeprowadza migracje witryn WordPress do Next.js w oparciu o wyceny o stałym zakresie i implementację wspomaganą przez AI. Migracje przynoszą zazwyczaj lepszą wydajność, niższe koszty utrzymania oraz mniejszą serwerową powierzchnię ataku.
Praktyki webvise są zgodne z normami ISO 27001 i ISO 42001.