Názor k článku Čistění napadeného WordPressu: jak jsem hledal a vyhodil útočníka z webu od Vláďa Smitka - Zde musím zareagovat jako člověk, který opečovává českou...

Zde musím zareagovat jako člověk, který opečovává českou WordPress komunitu, a zároveň odvirování WP webů patří k jeho profesi.

Postup v článku nepovažuji za příliš dobrý… Rozhodně chybí forenzní část tohoto úkolu - je velmi důležité zjistit jak se nákaza na web dostala - zranitelností, cracknutím hesla, z prostředí, přes ftp atd. Ať už z logů, nebo analýzou používaných pluginů a šablon a jejich známých zranitelností. První, co je potřeba udělat je web odstřihnout od internetu, jinak může dále působit škody, infikovat návštěvníky, ničit reputaci ip adres, vytahovat informace z vnitřní sítě, další úniky dat. Není dobré něco zkusit odstranit a čekat, co se bude dít. Na změny souborů existuje vedlejší projekt WP CLI, který umí verifikovat checksumy a nepatřičné soubory ve WP jádru, pluginech a šablonách. Tento check lze provádět jednoduše automatizovaně.

Další důležitou součástí řešení incidentu je audit a reakce na uniklé údaje - útočník může mít hesla k účtům a databázi, různé api klíče, hesla k smtp, osobní údaje a podobně…

A pak samozřejmě návrh opatření pro minimalizaci opakování problémů.

Obecně je problém, že se o takové weby a jejich prostředí často stará někdo, kdo problematice příliš nerozumí a nechce se vzdělávat… Je sada vcelku jednoduchých postupů, které bezpečnost poměrně dost zvýší.

Protože se snažím šířit osvětu už velmi dlouho, tak bych doporučil své přednášky https://youtube.com/playlist?list=PLQ4qTpEj65qSCF2mqG9-ylZNvtz_tNEw_&si=PZ7WucZqF7z3jg_u

17. 1. 2024, 21:14 editováno autorem komentáře