אתר High-Tech Bridge מדווח כי במהלך שנת 2018 הותקפו ונפרצו עשות מיליוני אתרים מבוססי מערכות ניהול תוכן, ביניהן גם אתרי וורדפרס. למעשה, ניכר כי כ-46% מהפריצות לאתרים מבוססי CMS היו לאתרי וורדפרס, על אף עדכוני הגירסה ותיקון פרצות אבטחה. נסקור להלן מספר נוזקות וורדפרס קריטיות בשנת 2018:
BabaYaga – תוכנה זדונית ממוקדת שהתגלתה על ידי צוות Wordfence של Defiant בחודש יוני 2018, הינה אחת הנוזקות הזעירות המזיקות ביותר לאתרי וורדפרס בשנת 2018. עם זאת, ראוי לציין שהיא מסקרנת, שכן ההתנהגות והפרוטוקולים שלה הם יוצאי דופן, אולי אפילו ייחודיים, בין נוזקות. BabaYaga היא נוזקה מוחכמת מאד, בעלת מנגנון התחמקות וטכניקות הדבקה מחדש, מה שהפך אותה לקשה להדברה. אתרי וורדפרס נגועים בנוזקה אירחו דפים מוסתרים מלאים בספאם שנועד למשוך מנועי חיפוש ולנתב מבקרים לחנויות מקוונות מזויפות. ככל הנראה הרוויח מפעיל הנוזקה על כל רכישה שבוצעה בחנות המזויפת. המאפיינים המוזרים ביותר של BabaYaga, כללו פונקציונליות ייחודית שנועדה לשמור על אתרים נגועים, כך שאפילו עדכוני גירסה לא פגעו בה. מעל לכל, יכלה הנוזקה להסיר נוזקות אחרות שהיו עלולות להגיע לאתר וורדפרס הנגוע (ממש כמו אנטי וירוס), במטרה לאפשר רק לנוזקה הזו לפעול באתר.
XSS – Cross Site Scripting – טבעה של וורדפרס, בדומה למערכות ניהול תוכן אחרות (CMS) וכן המבנה המודולרי שלה המבוסס על פלאגינים, אומר כי הפלאגינים עשויים להיות יעדי תקיפה בדיוק באותה מידה כמו כלל הפלטפורמה. למעשה, יש לציין כי פרצות אבטחה בפלאגינים נפוצים יותר מאשר פרצות אבטחה בליבת וורדפרס. זה היה המקרה של תוסף האצת דפי לנייד – פלאגין AMP אשר זוהה על ידי צוות Wordfence בנובמבר 2018. פלאגין AMP הכיל פרצת XSS ואפשר לכל משתמש בעל הרשאות "מנוי" או מעל, להכניס קוד זדוני באתר וורדפרס. פרצת אבטחה זו נבעה ככל הנראה מהיעדר בדיקות אבטחה טרם שחרור הפלאגין לקהילת וורדפרס. למרות שהפלאגין תוקן די במהירות, לא כל בעלי אתרי וורדפרס עדכנו את גירסת הפלאגין ובאותה תקופה נרשמו מעל 100,000 התקנות שלא עודכנה גירסתן.
פלאגין GDPR – פלאגין זה נועד לאפשר הפעלה ויישום תקנות ההגנה על הפרטיות והוא מציג אירוניה מצערת, היות והתוסף התמקד בציות לתקנות אבטחת פרטיות, אולם הסיכון שהוא הציב לכ- 5000 בעלי אתרי וורדפרס היה גבוה: פרצת אבטחה אשר נתנה אפשרות להגדרת הרשאות ויצירת משתמשים זדוניים באמצעות חשבונות ניהול וורדפרס בעלי הרשאות מלאות. מצב זה גרם לכך שפרצת האבטחה של פלאגין GDPR איפשרה למשתמשים זדוניים שליטה מלאה באתר וורדפרס ואפשרות ליצירת "דלתות אחריות". גם פרצת אבטחה זו תוקנה במהירות, אולם אין ספק כי גרמה נזק ללא מעט בעלי אתרי וורדפרס.
עדכוני גירסה מזויפים – ככל שמערכות ניהול תוכן כמו וורדפרס הופכות להיות פופלריות יותר, עולה הסיכון כי הן תעמודנה תחת מתקפות. לרוב, המתקפות מוגבלות לפלטפורמה אחת, אולם מתקפה זו במהלך הרבעון הראשון של שנת 2018 הייתה לא רק נגד וורדפרס, אלא גם נגד אתרי ג'ומלה ודרופל. אתרים נגועים היו מפנים מחדש את משתמשי הקצה אל עמוד אינטרנט של עדכון, המתארח באתר אינטרנט אחר שנפרץ, בדרך כלל מותאם לדפדפן המשתמש. אם המשתמש נפל על עדכון מזויף, סוס טרויאני היה מועבר אליהם אשר נתן אפשרות גישה מרחוק להאקרים.
הפניה לאתרי הונאה – בחודש יולי 2018 נחשפה תוכנית הפצה של נוזקות אשר כ- 10,000 בעלי אתרי וורדפרס נפלו קורבן שלה. מטרת ההפנייה הייתה לגרום לתעבורה נכנסת לאתר הונאה, כאשר התעבורה הזו שימשה לעזור לאתר ההונאה להיראות לגיטימי עבור AdTerra – פלטפורמת הצעות מחיר בזמן אמת למפרסמים. ההאקר למעשה יצר לעצמו "מוניטין טוב" באמצעות גניבת התעבורה וכך יכול היה לרכוש שטחי פרסום באמצעות AdTerra. ההאקר הפנה מחדש את התעבורה לדפים המאחרים את הפרסומות שלו, פרסומות אשר הכילו נוזקות, סוסים טרויאניים ובוטים.
בוטנט מאורגן – בעוד שתוספי וורדפרס נוטים להיות פגיעים יותר מאשר ליבת וורדפרס להתקפות האקרים, אין זה תמיד המקרה במידה והאקרים יכולים למצוא פרצת אבטחה גם לאתר וורדפרס מעודכן בגירסה האחרונה וכך היה המקרה של הבוטנט המאורגן אשר התגלה בחודש דצמבר 2018 על ידי צוות. התגלה על ידי צוות Wordfence. ההאקרים השתמשו במתקפות Brute Force במטרה להשיג שליטה על אתרי וורדפרס וכאשר הצליחו, הזריקו קוד ובוטנט שנועדו לתקוף אתרי וורדפרס אחרים. כ- 20,000 אתרי וורדפרס בעולם נפלו קורבן למתקפה זו.
אחסון אתרים איכותי, מקצועי ומיומן עשוי לעזור לבעלי אתרי וורדפרס להימנע ממתקפות האקרים ושתילת נוזקות באתרי וורדפרס. אחסון וורדפרס של Jetla פועל משנת 2006 ומתמחה בתחום אחסון וורדפרס. אצלנו תוכלו ליהנות מאחסון וורדפרס מקצועי, אמין ובטוח. אחסון אתרים הכולל ניטור ובקרה 24/7/365 ובמקרה אסון, תוכלו תמיד לשחזר את אתר הוורדפרס שלכם מתוך פאנל ניהול אחסון האתר וכל זאת – בלחיצת כפתור.