A tegnapi napon este érkezett ügyfélszolgálatunkhoz egy segítség kérő levél, melyben az ügyfelünk kérezte mit tehetne, mert az oldala a megnyitás után adathalász és egyéb, gyanús oldalakra irányítja a látogatókat.
Minden bővítmény frissítve, rendszeresen ellenőrizve, az oldalt több vírusellenőrzőn átfuttatta, és semmi gyanús nincsen. Ellenőriztük mi is, és valóban, kb 2-3 másodperccel az oldal megnyitása után már egy kártékony oldalon találtuk magunkat. A Google Chrome egyből figyelmeztetett is, hogy gyanús oldalon vagyunk.
Hogyan lehet ez, és mit lehet tenni ez ellen?
Ügyfelünk javára váljon, hogy sok mindent megtett a hiba kizárásához:
- Frissen tartja a WordPress-t
- Frissített minden bővítményt és ezt rendszeresen megteszi
- Volt biztonsági bővítmény az oldalán
- Végzett víruskeresést saját gépről és online eszközökkel is, nem hoztak eredményt
Hol volt a probléma?
Sajnos egy olyan bővítményt használt, melyet közel 3 éve nem frissített a tulajdononsa.
Ez speciel a Yozu related post bővítmény volt. Mivel évek óta nem frissítették, a hackerek találtak benne egy olyan biztonsági rést, melynek segítségével tetszőleges kódot tudtak elhelyezni az oldalon, akik ezt használták. Technikai részletek itt találhatóak angolul.
A WordPress csapata elég gyorsan reagált és elérhetetlenné tették a bővítményt, sőt, maga a bővítmény készítője is elég gyorsan írt a támogatási fórumba, hogy kapcsoljuk le a bővítményt azonnal. De ilyenkor ez már kevés lehet, mert ha nem keresünk rá, ha nem tévedünk fel a támogatási fórumra, akkor bizony nem tudjuk hol a gond. Ezt a bővítményt több mint 60.000 weboldal használja aktívan. Egy részük még biztos, hogy e cikk írásának pillanatában is fertőzött.
A tanulság:
Amikor WordPress bővítményt keresünk oldalunkhoz nézzük meg, mikor frissült utóljára. Ez telepítéskor látható. Ha több mint 2 éve, akkor egyátalán ne telepítsük. 1 éven túli frissítés is már gyanús.
És még néhány tanács:
- Ellenőrizzük, hányan telepítették már az adott bővítményt. Ha csak néhányan, akkor inkább keressünk népszerűbb bővítményt.
- Nézzük meg az értékeléseket is. Ha 3 csillag vagy ettől kevesebb akkor inkább ne telepítsük, sok bajunk lesz vele.
- Váltsunk PHP 7.1-re és nézzük meg azzal is megy e a bővítmény. Ha nem működik azzal, akkor inkább ne telepítsük.
A bejelentés után 1 órával mi megoldottuk a problémát azzal, hogy lekapcsoltuk az adott oldalon a kártékony bővítményt. Nyilván ezzel még nincs vége a történetnek, mert az ügyfélnek most másik bővítmény után kell néznie, ami betölti a régi szerepét és ismét foglalkozni kell az oldallal.
Ezért érdemes a már telepített bővítményeket is átnézni időnként, hogy mikor frissültek. Ha magára hagynak egy bővítményt, akkor azt vagy fel fogja valaki tőrni előbb-utóbb, vagy nem fog működni az újabb WordPress verziókkal, esetleg PHP változatokkal.
