• תפריט
אינטרנט

20% מהתוספים הפופולריים לוורדפרס הם דלת סתרים להאקרים

חברת האבטחה הישראלית צ'קמרקס חשפה כי רבים מתוספי פלטפומת הבלוגים הפופולרית כוללים פרצות שפושעי סייבר יודעים לנצל היטב. 67 מיליון אתרים מבוססים על וורדפרס, ביניהם אתרי ה-CNN, רויטרס ועוד

עומר כביר 11:1118.06.13

ל-20% מתוך 50 התוספים הפופולריים של פלטפורמת הבלוגינג וורדפרס יש פרצות אבטחה שהופכות את האתרים שמשתמשים בהם לפגיעים למתקפות – כך לפי דו"ח חברת אבטחת המידע הישראלית צ'קמרקס (Checkmarx).

וורדפרס היא אחת הפלטפורמות הפופולריות ביותר לבניית אתרים, ו-67.2 מיליון אתרים מבוססים עליה, ביניהם בלוגים ששייכים ל-CNN, לוול סטריט ג'ורנל, לסוכנות רויטרס, לסוני לאיביי ולרבים אחרים. בעת ביצוע הבדיקה, בינואר השנה, התוספים המדוברים הורדו מהמאגר של וורדפרס 18 מיליון פעמים. בנוסף, שבעה מתוך עשרת התוספים הפופולריים ביותר שמיועדים למסחר מקוון, שהורדו יותר מ-1.7 מיליון פעמים, חשופים אף הם לפריצה.

 

סכנה למשתמשים ולבעלי האתרים. וורדפרס סכנה למשתמשים ולבעלי האתרים. וורדפרס

 

הפרצות האמורות חושפות את האתרים שהתקינו אותם למתקפות בסיסיות שניתנות לביצוע ללא ידע רב ובאמצעות כלים שזמינים להורדה ברשת, דוגמת SQL Injection, שמאפשרת להחדיר שורות קוד למאגר נתונים לצורך שינוי פעולות או שליפת מידע. הן נמצאו בטווח רחב של סוגי תוספים: כאלו שמאפשרים ליצור עגלת קניות, תוספים חברתיים, תוספים ליצירת גרסת מובייל לאתר ותוספים לניהול תוכן.

 

חברת האבטחה הזהירה את המפתחים

 

לפי הדו"ח של צ'קמרקס, הפרצות אותרו בבדיקה שנערכה בינואר והחברה העבירה התראה על כך למפתחיהם. ואולם, מקץ חצי שנה רק שישה תוספים העלו עדכונים שמתקנים את כל הפריצות שנתגלו: BuddyPress, שמאפשר להפוך את האתר לרשת חברתית, BBPress, שמאפשר להוסיף מערכת פורומים לאתר, E-Commerce ו-Woo Coommerce, שמספקים כלים ליצירת חנות מקוונת, ו-W3 Total Cache ו-Super Cache, שמספקים כלי אופטימיזציה לביצועי האתר.

 

מחברי הדו"ח ממליצים לבעלי אתרים מבוססי וורדפרס לנקוט בכמה צעדים שיסייעו להפחית במעט את סיכוני האבטחה שלהם. ראשית, להוריד תוספים רק ממאגרים מוכרים, כמו זה של wordpress.org. אף שאין בכך ערובה להיות התוסף בטוח לשימוש, הימצאותו במאגר כזה מצמצם משמעותית את הסיכון שבהתקנת תוסף זדוני. כמו כן, מומלץ לעדכן את כל התוספים לגרסה האחרונה ביותר שלהם (מערכת וורדפרס מתריאה בברור מתי יש עדכונים לתוסף, ומומלץ שלא להתעלם מהתראות אלו), ולהסיר תוספים שלא נעשה בהם שימוש.
בטל שלח
    לכל התגובות
    x