Bulgarian (BG)
Компрометирани WordPress сайтове са били използвани от около 12 000 фишинг сайта през февруари. Това е повече от 7% от всички блокирани подобни атаки през втория месец на годината. Става ясно, че 11 уникални IP адреса са участвали в злонамерената кампания.
Блоговете, които използват хостинга на безплатната платформа WordPress, също са разпространявали злонамерен софтуер. NetCraft са блокирали повече от 8% злонамерени URL адреси, които са принадлежали на блогове в тази система. Това са данни само за месец февруари.
Данните в абсолютна стойност
WordPress е най-често използваната платформа за хостинг на блогове в последните години. Последното проучване на NetCraft показва, че има почти 27 милиона сайтове на тази платформа. Те са разпределени на 14 милиона IP адреси и 12 милиона домейн имена. Много от тези блогове са уязвими на атаки срещу паролите. Това е процес, който се улеснява от широко разпространената употреба на функцията „по подразбиране” за избора на администратор.
Странното в случая е, че няма нито един блог, който да се хоства от Automattic, услуга подобна на тази на WordPress. WordPress.com предоставя хостинг на милиони блогове, които използват софтуера и отворения код на системата. Клиентите на този вид хостинг услуга могат да изберат дали да закупят имена на домейни. В случай, че не искат собствено такова, те са свободни да получат име, което излгежда така: username.wordpress.com.
Главният изпълнителен директор на Automattic, Matt Mullenweg, е един от основателите и на платформата за хостинг на блогове WordPress, по време на стартирането й през 2003 г. Новата компания все още помага в развитието на функциите на WordPress. Такова познаване за продукта вероятно обяснява защо блоговете, които използват хостинг услугата на Automattic са значително по-сигурни.
Повечето автори на блогове могат сами са повишат нивото на сигурността си. Всеки може да свали софтуера на WordPress и да го включи в собствения си сайт. Някои хостинг компании предлагат и инсталация с „един клик”, за да се улесни процесът максимално. Блогърите, които използват софтуера, трябва да са сигурни и затова трябва да носят отговорността да обновяват софтуера си. Естествено много от тях не се занимават с това.
Парадоксалните жертви
Историята показва и много случаи, в които експерти по сигурността са се оказвали жертва на пропуските в хостинга на WordPress. Например през 2007 година, когато Computer Security Group към University of Cambridge разбират, че техният блог, Light Blue Touchpaper, чийто хостинг е бил поверен на WordPress, е уязвим по много начини.
Предимствата на новите версии
Версиите на WordPress след 3.7 вече могат автоматично да се актуализират. В тях са предвидени WordPress файлове, които директно се записват на сървъра. Тук трябва да се отбележи, че тази мярка може да се окаже много неефективна. Причината е, че атакуващият може да спре автоматичното обновяване на софтуера, което ни връща в началната точка на проблема.
По време на съществуването си WordPress често са били обвинявани за проблемите в сигурността. Причината може да се крие както в техния отворен код, така и в плъгините, които идват от трети страни. Все пак хостингът на толкова много сайтове винаги е бил предизвикателство. Трудностите, свързани със сигурността са големи в технологичния свят.
