Nebezpečné zapomenuté pluginy

Na první pohled to možná vypadá, že máte na webu všechno v pořádku, šablona i pluginy jsou z oficiálních zdrojů a pravidelně aktualizované, ale přesto se najednou ozval poskytovatel hostingu, že došlo k napadení WordPressu a musíte s tím rychle něco udělat. Co a proč se mohlo stát?

Příčina problému často spočívá v tom, že jsou sice některé pluginy nahlášené jako nebezpečné, ale nijak se o tom nedozvíte (pokud zrovna aktivně nesledujete novinky z této oblasti).

Administrátoři oficiálního adresáře pluginů sice začnou většinou ihned jednat a konkrétní plugin prověří, ale následně ho pouze odeberou z nabídky, aby si ho už noví uživatelé nemohli instalovat. Ale co všichni ostatní, kteří ho už dlouho používají? Bohužel se to nijak nedozví, zatímco roboti pravidelně procházejí weby a hledají sebemenší možnost k útoku.

Osobně to moc nechápu a docela by mě zajímalo, proč není pouze odstraněna možnost stažení instalačního balíčku, zatímco stránka s pluginem by mohla zůstat aktivní s nějakým výrazným upozorněním. Ale hlavně to neřeší fakt, že se o tom nijak nedozví správce webu, kde je nebezpečný plugin používán.

Jak takový plugin vlastně poznáte? Moc jednoduše bohužel ne, protože se nikde neobjeví žádná pořádná notifikace, že byste si na něj měli dát pozor. Existuje jeden nenápadný trik, kdy na stránce s přehledem pluginů chybí odkaz “Zobrazit podrobnosti”, který je napojen na oficiální adresář pluginů a místo něj tam uvidíte “Navštívit web pluginu”. Ale tento odkaz může chybět i z jiných důvodů, např. pokud jde o nějaký prémiový plugin (mimo oficiální adresář) nebo jste si ho nechali vytvořit na zakázku. Většinou až poslední možností je právě fakt, že byl plugin odebrán z oficiálního adresáře. A i tady to nemusí být pokaždé kvůli bezpečnosti, takže to není možné brát jako jasné pravidlo a každý musí sám zapátrat na příslušných místech.

WordPress_nenapadne_oznaceni_nebezpecnych_pluginu

Autor sice občas plugin opraví a zase se v adresáři zobrazí, ale pokud má zrovna dovolenou, tak to může klidně nějakou dobu trvat. A zatím nevíte, jestli máte hledat náhradu nebo raději počkat. A pozor, ani samotná dočasná deaktivace pluginu nemusí někdy stačit (záleží na konkrétní bezpečnostní chybě).

Schválně se podívejte na některé příklady, žádný z nich už v adresáři nenajdete (a možná znáte mnohé další):

  • Codestyling Localization (chyba)
  • Fourteen Extended (chyba)
  • qTranslate (chyba)
  • SEO Redirection (chyba)
  • A třeba i oblíbený Adminer byl (snad jen dočasně) odstraněn kvůli bezpečnostní chybě.

Ještě nedávno šlo o velmi oblíbené pluginy a stále se s nimi na různých webech setkávám, bohužel většinou v okamžiku, kdy došlo k napadení. Dokonce i dnes si o těchto pluginech někdo něco zajímavého přečte (nevšimne si starého data), někde si je na internetu dohledá (protože nejsou v oficiálním adresáři pluginů) a nainstaluje. Nedělejte to, opravdu se to nevyplatí.

A jaké jsou možnosti automatické kontroly? Pokud nechcete pravidelně procházet a kontrolovat přehled používaných pluginů, tak existuje několik způsobů, jak tento problém řešit. Osobně jsem zkoušel třeba Plugin Vulnerabilities (vlastně taková databáze bezpečnostních chyb) a pokud ho pravidelně aktualizujete, tak upozorní (i emailem) na možné bezpečnostní problémy, kterých byste si jinak nemuseli všimnout. Dalším pokusem je plugin No Longer in Directory, který neřeší specificky bezpečnost, ale pouze upozorní, že byl plugin odstraněn z oficiálního adresáře a je tedy minimálně podezřelý (může to být ale i z jiných důvodů).

Ideálním řešením by ale bylo, kdyby se objevilo přímo něco ze strany vývojářů WordPressu. Bohužel to však podle diskuzí (na které jsem narazil) zatím moc nevypadá :-( Na jednu stranu jsou některé často používané pluginy kvůli bezpečnosti aktualizovány i bez souhlasu uživatelů, ale mnoho dalších zůstává bohužel zcela zapomenuto s potenciálně nebezpečnými důsledky.

Nejoblíbenější hosting pro WordPress WEDOS.cz

2 thoughts on “Nebezpečné zapomenuté pluginy”

  1. No, já vidím tlačítko “Zobrazit podrobnosti” i u pluginu Adminer, dokonce je i funkční a přímo v administraci se mi podrobnosti zobrazí, ale v registru pluginů opravdu není. Zvláštní, každopádně bych se na to, že u odstraněných pluginů nebude možnost zobrazit podrobnosti, raději nespoléhal.

  2. @František Zatloukal: Rozhodně je to podivné, včera jsem ho také na jednom webu aktualizoval na nejnovější verzi 1.4.5 a také tam vidím u nové verze “Zobrazit podrobnosti”. Možná existuje nějaký stav, že bude brzy opraven, tak ho nechávají v administraci aktivní (ale nedovolují ho instalovat novým uživatelům), zatímco ostatní jsou zcela odebrány, nevím, ještě jsem se s tím nesetkal…

    Nejnovější informace je dostupná zde. Adminer (asi nikoli samotný plugin, ale přímo intergovaný nástroj) má patrně stále problémy s bezpečností a musíme počkat až budou opraveny :-(

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *