Více než milión internetových stránek, které využívají publikační systém WordPress, se stalo terčem hackerských útoků poté, co se začátkem února v tomto systému objevila kritická chyba.

Provozovatel platformy sice obratem vydal novou verzi 4.7.2, mnoho uživatelů však nemá zapnuty automatické aktualizace systému a bez ručního schválení bezpečnostní záplaty jsou jejich weby nadále zranitelné a snadno napadnutelné.

„Dva dny po vydání opravy jsme si všimli výrazného nárůstu útoků,“ řekl serveru Infosecurity-magazine.com Mark Maunderovi, ředitel společnosti WordFence, dodavatele stejnojmenného bezpečnostního pluginu pro WordPress. „Útoky pokračovaly a 6. února jsme zaznamenali novou variantu útoku, která obcházela naše bezpečnostní řešení a využívala chyb ve firewallu jiných dodavatelů,“ dodal.

Hackeři mezi sebou soutěžili, kolik webů „položí“

Kritická chyba aktivovala neobvyklé množství hackerů, kteří mezi sebou začali soutěžit, kolik internetových stránek fungujících na WordPressu poškodí. „Za pouhých 48 hodin jsme zaznamenali přes 800 tisíc útoků využívajících této konkrétní zranitelnosti WordPressu,“ uvedl šéf společnosti WordFence.

Někteří hackeři dokonce napadali již poškozené stránky a měnili je ke svému obrazu, aby zvýšili počet úspěšných zásahů. WordFence zaznamenal případ jediného hackera s přezdívkou MuhmadEmad, který úspěšně zaútočil na 350 tisíc webů využívajících WordPress.

„Jde o jednu z nejhorších zranitelností WordPressu v historii,“ konstatuje šéf WordFence. „Intenzivně pracujeme na tom, abychom pomohli uživatelům této platformy, ale pokud si neaktualizují WordPress na poslední verzi a nevyužívají dostatečně silný firewall, nedokážeme je ochránit,“ dodal.

WordPress je mezi hackery všeobecně oblíbený, protože má velmi široké uplatnění. Ze všech používaných systémů pro správu obsahu na internetu má největší podíl na trhu, celosvětově na něm funguje šest z deseti webů.

WordPress je oblíbeným cílem útoků

Ruku v ruce s oblíbeností této publikační platformy ale roste i zájem hackerů. Podle loňského průzkumu společnosti Sucuri, který se zaměřil na infikované stránky na internetu, byly tři čtvrtiny z více než 11 tisíc analyzovaných webů napadeny díky chybě ve WordPressu.

„Základním bezpečnostním pravidlem při používání publikačních systémů a systémů pro správu obsahu je jejich pravidelná a pokud možno bezodkladná aktualizace. Rozhodně se vyplatí mít zapnutou automatickou aktualizaci,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.

Uživatelé by podle Dvořáka měli používat i kvalitní a prověřená bezpečnostní řešení, která je ochrání před škodlivými kódy. „Spoléhat na to, že jednou za čas ručně zaktualizujete systém, protože vám v něm už delší dobu svítí červené upozornění, že používáte zastaralé verze, je opravdu krátkozraké,“ dodává Dvořák.