En uppdaterad hemsida är en säkrare hemsida. Det känns som vi har sagt det hur många gånger som helst, men den främsta orsaken till att en hemsida blir hackad är att den innehåller funktioner med säkerhetshål. Ofta är det inte hemsidan i sig, utan dess tillägg, som är sårbara. Detta stämmer synnerligen väl om man använder WordPress.
Säkerhetsfirman Sucuri har precis släppt en säkerhetsrapport, med en analys av över 11 000 hackade hemsidor det första kvartalet 2016. Rapporten innehåller många intressanta saker, men vi fastnade särskilt för två detaljer.
– Tre WordPress-tillägg bakom 25 % av alla hackade WordPress-sidor
Det finns närmare 45 000 WordPress-tillägg i det officiella registret (och många fler på andra platser), men ändå är tre specifika tillägg med på var 4:e hackad WordPress-sida. Dessa tillägg är Slider Revolution (RevSlider), Gravity Forms och TimThumb.
Slider Revolution är ett tillägg för bildspel som har över 1,5 miljoner användare. Tillägget inkluderas med många populära WordPress-teman (Hos Themeforest, under kategorin WordPress, får man över 1 000 träffar på Slider Revolution), så många användare är inte ens medvetna om att deras hemsidor är sårbara.
När ett av de större säkerhetshålen i Slider Revolution upptäcktes så hittade man över 100 000 infekterade hemsidor. Över 11 000 domännamn blev då svartlistade av Google.
Gravity Forms är ett av de mest populära tilläggen för formulär, med över 1 miljon användare. Tidigare versioner av detta tillägg har varit sårbara för uppladdning av (skadliga) filer via dess formulär. Med filerna uppladdade på webbservern har det sedan varit enkelt att hacka och ta över hemsidor.
TimThumb och dess sårbarheter bör de flesta WordPress-användare känna till nu. 2012 stod TimThumb bakom hälften av alla hackade WordPress-sidor, men nu det nere på 8 %. TimThumb är ett PHP-script som många tillägg och teman använder, så exakt användarbas är svår att avgöra. Många utvecklare har dock gått ifrån TimThumb de senare åren.
– Hur bör man agera med dessa tillägg?
Nu blir en WordPress-hemsida inte automatiskt hackad bara för att man har något av dessa tillägg. Man om man känner igen något av tilläggen och vill vara säker på att ens hemsida inte är sårbar så har vi några enkla tips för det.
1. Kontrollera din WordPress-installation
Först och främst bör man kontrollera om man har något av dessa tillägg installerade i WordPress. Logga in på din hemsida och kontrollera det i WordPress administrationsgränssnitt (wp-admin) under ”Panel” och ”Uppdateringar”. Om du har ett WordPress-nätverk behöver du kontrollera detta under nätverksadmin. Om ett tillägg behöver uppdateras, gör det då omgående.
2. Kontrollera ditt WordPress-tema
Många teman inkluderar dessa sårbara tillägg. Om du är osäker på ditt tema, besök då hemsidan för utvecklaren av temat (eller den hemsida där temat laddades ner) och kontrollera detta (det brukar vara rätt tydligt angivet, annars kan man fråga utvecklaren om det). Många teman som man köper uppdateras inte automatiskt (eller via WordPress administrationsgränssnitt). Se till att du har den senaste versionen av ditt tema.
3. Sök efter sårbarheter i TimThumb
TimThumb är som bekant ett script som många teman och tillägg använder, man kan inte hitta det under den vanliga listan med tillägg i WordPress. För att kontrollera om man har en sårbar version av TimThumb på sin hemsida kan man installera och använda tillägget TimThumb Vulnerability Scanner. Detta tillägg kan även uppdatera TimThumb till en nyare version.
4. Välj ett säkrare webbhotell
Ett av de enklaste sätten att få en säkrare hemsida är att välja ett säkrare webbhotell. Med webbhotell hos FS Data är hemsidan skyddad med en kraftfull brandväggslösning, som bl a stoppar kända WordPress-attacker, automatiska säkerhetskontroller och mycket annat. Även med ett säkert webbhotell bör man givetvis se till att uppdatera sin WordPress-hemsida fortlöpande.
– WordPress-användare är bättre på att uppdatera sina hemsidor
När man läser säkerhetsrapporter så är det lätt att få ett intryck av att WordPress är världens mest osäkra system. Så är dock inte fallet. Faktum är att WordPress-användare är bättre än många andra på att uppdatera och säkerställa sina hemsidor. Av de CMS (innehållshanteringssystem) som Sucuri testade så var WordPress klart bäst uppdaterat.
Här är andelen dåligt uppdaterade CMS i säkerhetsrapporten:
Att WordPress är enklare att uppdatera än många andra CMS har stor betydelse här. Säkerhetshål och problem med WordPress uppmärksammas även mer, även i traditionell media. Det är inte så konstigt heller, då hälften av alla hemsidor på nätet baseras på WordPress. Oavsett är det roligt att så många WordPress-användare ändå håller sina hemsidor uppdaterade.
Om du har några frågor eller funderingar kring detta, lämna då gärna en kommentar här nedan.