Znów ataki na WordPressowe blogi

Wygląda na to, że w ostatnim tygodniu znów nasiliły się ataki (głównie spamerów wykorzystujących zaatakowane blogi do niecnych praktyk SEO) na blogi korzystające z silnika WordPressa. Stało się to na tyle powszechne, że nawet sam Arrington (ech, niestety to nie on, to Nik Cubrilovic) z wysokości swojego Techcruncha raczył zauważyć i opisać zmasowane przejęcia blogów, spowodowane dziurami w nieaktualnych wersjach WordPressa.

Tu mała dygresja: nie żebym uważał Arringtona za wyrocznię, ale wszystko co pojawi się na Techcrunchu jest od razu szeroko komentowane i cytowane (jak choćby ostatnie doniesienia o wycenie udziałów w Naszej-klasie), więc za moment czeka nas zalew informacji o hackowanych blogach. A ja niniejszym dołączyłem do techcrunch-wannabies, kopiujących bez pamięci i opamiętania wszystko to, co zostanie napisane na zagramanicznych blogach ;) Zawsze chciałem to zrobić ;)

Problem generalnie nie jest nowy, ja też zdążyłem już namawiać do uaktualnienia WP do najnowszej wersji, ostatnie ataki na szczęście dotyczą wersji już nieaktualnych i są wykonywane z użyciem podobnych metod i narzędzi co wcześniejsze. Nie wiadomo nic o tym, aby najnowsza wersja WP 2.5.1 była narażona na jakieś problemy. A w całym tym zamieszaniu, zwanym już Search Engine Redirection Hack, chodzi o przekierowanie ruchu z wyszukiwarek, głównie Google, choć nie tylko, na specjalnie spreparowane strony. Ruchu, który kierowany był na na zaatakowany blog i na niego by trafił, a tak trafia na strony spamera. Czarny SEO normalnie. O szczegółach i stosowanych przez hakerów metodach oraz o sposobach rozpoznania i usuwania zagrożenia bardzo dokładnie pisze Donncha O Caoimh, link do jej artykułu jest też ciągle dostępny na pulpicie administratora WordPressa.

Jak podkreślają wszyscy zatroskani bezpieczeństwem naszych (tak, Twojego też, i mojego, i całej reszty) blogów autorzy, najważniejsze jest uaktualnienie silnika WP do najnowszej wersji. Przyjazny (uaktualnienie WordPressa jest łatwiejsze niż się wydaje) tutorial upgrade’u WP znajdziecie na blogu Theme Lab oraz oczywiście na stronach wordpress.org. Konieczne jest też regularne aktualizowanie wtyczek. Na szczęście sam WordPress, jak i wtyczki potrafią już informować o istnieniu nowej wersji, a nawet oferują automatyczną aktualizację.

Poza posiadaniem najnowszej, wolnej od błędów wersji, równie ważne jest regularnie wykonywanie backupu bazy (wpisy, komentarze i opcje) oraz pozostałych plików składających się na instalację WordPressa. Trochę już pisałem o zabezpieczaniu bloga, te informacje są nadal aktualne.

7 myśli na temat “Znów ataki na WordPressowe blogi”

  1. Oh tak, złe SEO ;). Sami jesteście sobie winni. Jak nie śledzicie na bieżąco aktualizacji WP to zaraz takie posty, że spamerzy, że black SEO itp.

  2. Piszesz, jakbyś się poczuwał: „sami jesteście winni, nie śledzicie…”
    Przecież faktem jest że to spamerzy wykorzystują dziury dla zdobycia ruchu, ale nikt nie mówi że SEO jest złe ;)

    A takie posty sa właśnie po to, żeby informacja dotarła do tych co nie śledzili na bieżąco

  3. Nie korzystam z darmowych rozwiązań – właśnie głównie z tego powodu. Co z tego, ze są takie informacje jak nikt tego nie bierze na serio. Zmieni zdanie, jak zastanie zaatakowany. Przerabiałem już to nie raz, wiem jak to jest ;)

  4. Na wp 2.5.1 i 6 też pewnie znajdą sposób. Podstawa to robić kopie bazy danych systematycznie. W tedy w razie włamu mamy wgrywamy wszystko na nowo.

Dodaj komentarz