Jednoduchá automatická aktualizace výrazně napomáhá bezpečnosti webů používajících WordPress

Před několika dny se objevila zajímavá studie srovnávající bezpečnost známých redakčních systémů podle aktuálně používaných (nainstalovaných) verzí. WordPress vyšel z tohoto testu velmi dobře a nechal za sebou nejen phpBB a Joomlu (což nebylo nic obtížného), ale i Drupal. Tento úspěch je nutné přičíst zejména jednoduché automatické aktualizaci, která je neustále vylepšována. A o co tedy v testu přesně šlo?

Provedený test zkoumal bezpečnost redakčních systémů trochu jiným způsobem než obvykle. Společnost Qualys, která se zabývá bezpečností webů, totiž vytvořila nový nástroj (open source) s názvem BlindElephant (Slepý slon), který umožňuje automaticky prozkoumat instalované webové aplikace a zjistit i aktuálně používanou verzi známých redakčních systémů. Ve zmiňované studii tedy nebyla detailně testována nejnovější verze a hledány konkrétní bezpečnostní problémy, ale náhodně bylo prověřeno velké množství webů a zjišťována jejich aktuálně používaná verze redakčního systému. A protože jsou bezpečnostní problémy jednotlivých verzí obecně známé, tak mohly být všechny identifikované verze jednoduše označeny podle toho, zda obsahují nějaké kritické bezpečnostní ohrožení. Výsledkem je pak výstižný přehled, který shrnuje kolik procent aktuálně používaných instalací konkrétního systému obsahuje nějaké bezpečnostní riziko a případný hacker ho tak může zneužít. Konkrétní výsledky pro WordPress, Drupal, Joomlu a phpBB si můžete prohlédnout na přiložených obrázcích nebo si stáhnout přímo citovanou studii.

Nejhorších (spíše odstrašujících) výsledků dosáhl systém phpBB (100 % webů obsahuje kritické bezpečnostní riziko), dále následuje Joomla (92 %) a Drupal (70 %, zde může být ale hodnota nepatrně nižší, protože verze 5.22 byla omylem označena za nebezpečnou). Naopak pouze 4 % instalací WordPressu obsahuje kritické bezpečnostní riziko (a dalších 21,5 % pak střední riziko). Nejstarší zcela bezpečnou verzí je WordPress 2.8.5, zatímco pokud máte WordPress 2.5.1 (či starší), tak rozhodně co nejdříve aktualizujte. Zajímavé je také poměrně časté nasazení RC verzí WordPressu 3.0, který sice ještě nebyl v době testu oficiálně vydán, ale uživatelé se ho už evidentně nemohli dočkat.

Pro úplnost je třeba dodat, že průzkum probíhal v USA a v Česku by byly výsledky (nejen) WordPressu asi trochu slabší, a to vzhledem k oblíbeným restrikcím ze strany českých hostingů (zejména těch levnějších). Určitě by ale bylo zajímavé tento nástroj (napsaný v Pythonu) využít také v Česku a prozkoumat místní servery.

A co z toho všeho nakonec vyplývá? WordPress se během svého vývoje soustředil zejména na uživatele, aby byla jejich práce s redakčním systémem jednoduchá a bezproblémová. A nenechal stranou ani automatické aktualizace, takže pro většinu jeho uživatelů je velmi jednoduché aktualizovat vždy na nejnovější verzi (a “otravná” lišta s upozorněním na novou verzi také často donutí uživatele k akci). A pokud vám automatická aktualizace třeba z nějakého důvodu nefunguje a nevíte si rady (ale máte snahu problém vyřešit), prohlédněte si náš článek na toto téma nebo popište konkrétní problém v našem fóru, kde se vám pokusíme pomoci. Aktualizace malých verzí je obecně bezproblémová, přechod na novou velkou verzi obvykle také, i když se mohou objevit drobné problémy spočívající zejména v nekompatibilních pluginech či šabloně.

Již dříve sice existovaly názory na to, že by měly být uživatelé k aktualizaci WordPressu donuceni, případně by mohla proběhnout i automaticky bez jejich zásahu (alespoň u malých bezpečnostních aktualizací), ale “diktátorský” přístup se (zatím) neprosadil a zvítězila uživatelská jednoduchost. Automatická aktualizace je velmi snadná (v podstatě jen dvakrát kliknete myší), což vede mnohé uživatele k tomu, že uchovávají svou instalaci WordPressu stále aktuální.

A nakonec přidáme už jen odkaz na vtipný nápad, jak by mohlo vypadat upozornění na novou verzi u opravdu zastaralého (a tudíž nebezpečného) WordPressu. Můžete sice zkusit aktualizaci WordPressu přeskočit (tlačítko Skip), ale sami uvidíte, že jediným možným řešením je aktualizovat :-).

Aktualizace (13.8.2010): Po zveřejnění výsledků studie došlo k mnoha upřesňujícím reakcím uživatelů, takže nakonec byly výsledky ještě trochu pozměněny (Drupal 69 %, Joomla 91 %, phpBB pouze 51 % střední riziko, u WordPressu zůstalo vše při starém). Největší změny prodělalo hodnocení phpBB (podrobnosti), aktuální studii si můžete prohlédnout zde (.pdf). I když tedy studie nakonec obsahovala v původní verzi několik chyb a také má určité metodologické nedostatky (viz komentáře pod článkem), určitě jde o zajímavý způsob hodnocení bezpečnosti instalovaných aplikací, který může být postupně dále zdokonalován. Cílem tohoto článku bylo zejména poukázat na výhody snadné automatické aktualizace WordPressu a nikoli hodnotit konkrétní redakční systémy. Děkuji také všem, kteří napsali svůj názor a upřesnili tak čtenářům některé zajímavé poznatky.

Nejoblíbenější hosting pro WordPress WEDOS.cz

9 komentářů u „Jednoduchá automatická aktualizace výrazně napomáhá bezpečnosti webů používajících WordPress“

  1. Můžu mluvit za Drupal a musim říct, že ta studie je špatně postavená. Trochu jsem to konzultoval i s Jakubem Suchým z Drupal Security Teamu. Blind Elephant testuje pouze verzi systému, ale vůbec netestuje, zda je daná chyba aktivní.

    a) Drupal je modulární a kromě 5 základních povinných modulů (system, user, node, filter, block) obsahuje dalších cca 20 volitelných modulů obsažených v základní instalaci. Mnoho chyb bylo odhalena právě v těchto volitelných modulech, ale ne každý je má aktivní. Např. modul OpenID měl již několik “kritických oprav”, ale já ho nepoužívám ani na jednom webu…

    b) Kromě updatu na vyšší verzi je možné použít i patch, který opravuje pouze security chyby a nic víc. Hodně webů se pouze patchuje – je to snadnější než otestovat znovu celý web na nové verzi.

    c) Mnoho chyb předpokládá, že uživatel je přihlášen a má již nějaká poměrně vysoká práva (např. edit page) a pomocí nějakého triku získá práva ještě vyšší (např. administer site). Mnoho webů je ale určeno jen pro anonymní uživatele.

    d) V Drupalu i v dalších systémech jsou obvykle větší průšvihy obsažené v modulech či tématech třetích stran. Třeba v Drupalu je jich už přes 6 tisíc a hlídají se to hůř než jádro. Moduly třetích stran studie zcela opomíjí.

    Zmíněná “studie” je hodně velký výstřel do tmy. Pokud Blind Elephant nebude rozlišovat minimálně instalované moduly, jsou jeho výsledky (alespoň co se týče Drupalu) k ničemu. Konkrétně já třeba weby neupdatuju, když to není skutečně potřeba. (Tzn přečtu si Security Advisory a updatuju jen, pokud zjistím, že popsaný scénář útoku, lze realizovat na mé konfiguraci.) Jediné co se z té studie dá vzít je orientační přehled o počtu verzí a fakt že automatická aktualizace WordPressu přispěla k tomu, že drtivá většina uživatelů používá jeho aktuální verze…

  2. Wojtha: Díky za komentář! Jako každá studie vychází i toto srovnání z nějaké metodiky, která nemůže být nikdy zcela ideální.

    Stejně jako u Drupalu, mnohé z bezpečnostních chyb WordPressu by nebylo možné v “ohrožených verzích” opravdu realizovat, protože uživatelé příslušnou funkcionalitu prostě nepoužívali (neměli ji zapnutou, např. registrace uživatelů, XML-RPC, atd). Pokud se nepletu, tak byl prostě hodnocen celý instalační balíček a pokud by se braly v potaz opravdu “napadnutelné” instalace, bylo by asi číslo o dost nižší u obou systémů.

    Pluginy (moduly) jsou čím dál větším problémem i na straně WordPressu a vzhledem k jejich počtu jsou v podstatě neuhlídatelné a nekontrolovatelné.

    Zmíněná studie se i se zmíněnými metodickými nedostatky snažila měřit všem systémům stejně a došla k nějakým interpretovaným závěrům. Můžeme o nich diskutovat, pro zajímavost si prohlédnout přehled verzí jednotlivých systémů a pochválit WordPress za jednoduchou automatickou aktualizaci (i když i tady jsou mezery, např. kvůli několika souborům je aktualizována celá instalace, což je tak trochu zbytečné), která určitě zabezpečení výrazně prospívá (málokdo bude ručně instalovat kvůli nějaké chybce novou verzi či patch). Určitě nechci nějak hodnotit, zda je bezpečnější WordPress nebo Drupal (objektivně a přesně to snad ani není možné), cílem tohoto článku bylo upozornění na tuto studii, která se o to jedním z možných způsobů pokusila.

  3. Bohužel takovéto výzkumy rozšiřují mýty o bezpečnosti aplikací. phpBB3 je naopak jedna z nejbezpečnějších webových aplikací posledních let. Měla jen jednu středně kritickou díru od vydání a čtyři málo závažné.

    Ta jedna chyba se objevila ve verzi 3.0.7 a znamenala, že se přes RSS dalo dostat k některým jinak skrytým příspěvkům. Dva týdny na to byla vydána opravná verze 3.0.7-PL1. Žádné jiné verze kromě této nebyly zasaženy. Výzkum předpokládá opak, navíc mícha naprosto nesouvisející verze phpBB2 a phpBB3.

    Autora výzkumu jsme již kontaktovali a mylné informace byly opraveny.

    P.S.:Takovouto statistiku bych již nenazýval odstrašující, naopak za velmi příznivou: http://secunia.com/advisories/product/17998/?task=statistics

  4. Vojtěch Vondra: Díky za vysvětlující komentář. Kdybych s publikací tohoto článku ještě dva dny počkal, tak mohly být uvedeny už opravené údaje. Data jsem převzal tak, jak byla uvedena ve studii a i když s Drupalem mám alespoň nějaké zkušenosti, tak phpBB moc neznám.

    Doplnil jsem na konec článku aktuální hodnoty z nové verze studie a přidal odkaz i na váš upřesnějící článek.

  5. Nápad je to určitě dobrý, je to první rozsáhlejší studie, která se zaměřuje na rozšířenosti jednotlivých verzí, je jen škoda těhle chyb, které to znevažují. Díky za publikaci doplňujícího komentáře k článku.

  6. Metodologicky se jistě jedná o ne zcela dotaženou studii. Explicitní vyjádření bezpečnosti testovaných systémů není zcela odpovídající povaze studie, na druhou stranu velmi dobře ilustruje přístup jednotlivých systémů ke jejich uživatelům a zároveň uživatelů k systémům.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *