Na první pohled to možná vypadá, že máte na webu všechno v pořádku, šablona i pluginy jsou z oficiálních zdrojů a pravidelně aktualizované, ale přesto se najednou ozval poskytovatel hostingu, že došlo k napadení WordPressu a musíte s tím rychle něco udělat. Co a proč se mohlo stát?

Příčina problému často spočívá v tom, že jsou sice některé pluginy nahlášené jako nebezpečné, ale nijak se o tom nedozvíte (pokud zrovna aktivně nesledujete novinky z této oblasti).

Administrátoři oficiálního adresáře pluginů sice začnou většinou ihned jednat a konkrétní plugin prověří, ale následně ho pouze odeberou z nabídky, aby si ho už noví uživatelé nemohli instalovat. Ale co všichni ostatní, kteří ho už dlouho používají? Bohužel se to nijak nedozví, zatímco roboti pravidelně procházejí weby a hledají sebemenší možnost k útoku.

Osobně to moc nechápu a docela by mě zajímalo, proč není pouze odstraněna možnost stažení instalačního balíčku, zatímco stránka s pluginem by mohla zůstat aktivní s nějakým výrazným upozorněním. Ale hlavně to neřeší fakt, že se o tom nijak nedozví správce webu, kde je nebezpečný plugin používán.

Jak takový plugin vlastně poznáte? Moc jednoduše bohužel ne, protože se nikde neobjeví žádná pořádná notifikace, že byste si na něj měli dát pozor. Existuje jeden nenápadný trik, kdy na stránce s přehledem pluginů chybí odkaz “Zobrazit podrobnosti”, který je napojen na oficiální adresář pluginů a místo něj tam uvidíte “Navštívit web pluginu”. Ale tento odkaz může chybět i z jiných důvodů, např. pokud jde o nějaký prémiový plugin (mimo oficiální adresář) nebo jste si ho nechali vytvořit na zakázku. Většinou až poslední možností je právě fakt, že byl plugin odebrán z oficiálního adresáře. A i tady to nemusí být pokaždé kvůli bezpečnosti, takže to není možné brát jako jasné pravidlo a každý musí sám zapátrat na příslušných místech.

Autor sice občas plugin opraví a zase se v adresáři zobrazí, ale pokud má zrovna dovolenou, tak to může klidně nějakou dobu trvat. A zatím nevíte, jestli máte hledat náhradu nebo raději počkat. A pozor, ani samotná dočasná deaktivace pluginu nemusí někdy stačit (záleží na konkrétní bezpečnostní chybě).

Schválně se podívejte na některé příklady, žádný z nich už v adresáři nenajdete (a možná znáte mnohé další):

• Codestyling Localization (chyba)
• Fourteen Extended (chyba)
• qTranslate (chyba)
• SEO Redirection (chyba)
• A třeba i oblíbený Adminer byl (snad jen dočasně) odstraněn kvůli bezpečnostní chybě.

@bueltge Any idea what happened to the Adminer plugin? It is no longer found in the WP repository.

— Denise VanDeCruze (@solchica) August 1, 2016

Ještě nedávno šlo o velmi oblíbené pluginy a stále se s nimi na různých webech setkávám, bohužel většinou v okamžiku, kdy došlo k napadení. Dokonce i dnes si o těchto pluginech někdo něco zajímavého přečte (nevšimne si starého data), někde si je na internetu dohledá (protože nejsou v oficiálním adresáři pluginů) a nainstaluje. Nedělejte to, opravdu se to nevyplatí.

A jaké jsou možnosti automatické kontroly? Pokud nechcete pravidelně procházet a kontrolovat přehled používaných pluginů, tak existuje několik způsobů, jak tento problém řešit. Osobně jsem zkoušel třeba Plugin Vulnerabilities (vlastně taková databáze bezpečnostních chyb) a pokud ho pravidelně aktualizujete, tak upozorní (i emailem) na možné bezpečnostní problémy, kterých byste si jinak nemuseli všimnout. Dalším pokusem je plugin No Longer in Directory, který neřeší specificky bezpečnost, ale pouze upozorní, že byl plugin odstraněn z oficiálního adresáře a je tedy minimálně podezřelý (může to být ale i z jiných důvodů).

Ideálním řešením by ale bylo, kdyby se objevilo přímo něco ze strany vývojářů WordPressu. Bohužel to však podle diskuzí (na které jsem narazil) zatím moc nevypadá :-( Na jednu stranu jsou některé často používané pluginy kvůli bezpečnosti aktualizovány i bez souhlasu uživatelů, ale mnoho dalších zůstává bohužel zcela zapomenuto s potenciálně nebezpečnými důsledky.