A múlt héten gyakorlatilag semmi másra nem volt időm, mint levelezni – a tárhelyszolgáltatóval, amelynek viszonteladói vagyunk, a tárhely-ügyfelekkel, akiknek szolgáltatunk, és a WP-Suli meg a Facebook-oldalunk olvasóival, akik követnek minket és hallgatnak ránk a WordPress rendszerrel kapcsolatos kérdésekben.

Elsősorban szeretnék köszönetet mondani mindazoknak, akik a támogatásukról, az együttérzésükről biztosítottak minket, vagy éppen a segítségüket ajánlották fel. Hálás vagyok együttműködésükért és türelmükért.

Érdekes volt azonban néhány ügyfelünk illetve olvasónk reakciója, amelyet a legtöbb esetben az ismeretek hiánya okozott. Hoax, túlzott aggodalmaskodás, sőt, paranoia (ilyen szavakat használtak a kételkedők), vagy valóban nagyobb veszélyben vannak a WordPress alapú oldalak, mint más rendszerek?

Először is néhány tény a múlt hétfői (június 3-i), az egyik szerverünket ért támadásról.

1. Nem konkrétan a szervert támadták, nem a szerver volt veszélyben, hanem a WordPress weboldalak. Csak a WordPress alapú weboldalakat érte a támadás.

2. A szolgáltató technikai személyzete megvédte a szervert és a WordPress alapú weboldalakat, egyes oldalak esetében kb húszperces leállás volt, de a legtöbb ügyfelünk nem is vett észre semmit az egészből.

3. A támadást jelző “riasztórendszer” (valószínűleg nem ez a jó kifejezés rá, viszont talán így a legérthetőbb) elsőként azt naplózta, hogy az All-In-One-SEO-Pack nevű bővítmény a megszokottól eltérően viselkedik, ezért a technikai személyzet (akiknek nem feladatuk ismerni a WordPresst, pláne nem kódszinten) azt látta, hogy ezt a bővítményt tiltaniuk kell, hogy megvédjék a szerveren lévő weboldalakat, WordPress alapúakat és egyebeket egyaránt.

4. A következő napokban folyamatosan figyelték, hogy mi történik a szerveren, hogy a lehető legjobb intézkedéseket léptethessék életbe. A naplózási adatok soha azelőtt nem tapasztalt méretű botnet támadását mutatták, a számadatokat pénteken (június 7-én) közöltem is az előző napi bejegyzésem végén.

5. A WordPress oldalak elleni támadás azóta is tart. Mivel a támadók IP-címe kivétel nélkül külföldi szervereket mutat, ezért a tárhelyszolgáltató megkezdte ezeknek az IP-cím tartományoknak a letiltását. Mára többezer IP-címet tiltottak ki.

6. Nem volt elég az All-In-One-SEO-Pack memóriafoglalási kísérlete (amiről utólag kiderült, hogy nem szokatlan, na de honnan tudhatta volna ezt a szerver naplója?), de ezzel egyidőben óriási hálózat szállt rá a WordPress oldalak belépési felületére, a wp-login.php fájlt támadták többtízezer “zombi” gép segítségével (erről már részletesen írtam csütörtökön, lásd elsősorban a 7. és 8. pontokat, valamint a Silihost Kft hozzászólását).

Paranoiásak vagyunk?

Hozzá kell tennem, hogy én viszonteladója vagyok a tárhelynek, nem üzemeltetője, nem tudom, hogy pontosan mi történik szerveroldalon, és nem is értek hozzá. Ezért mindig meg kell kérdeznem a technikai személyzetet, és azt írom le, amit ők mondanak. Ha ők azt mondják, sőt, naplóbejegyzésekkel és számadatokkal is bizonyítják, hogy a WordPress oldalak ellen állandó, nagyszámú behatolási kísérletet tapasztalnak, akkor el kell hinnem nekik, végtére is ez az ő szakmájuk.

 

Azonban néhány dolgot tisztáznunk kell a tárhelyszolgáltatással kapcsolatban.

1. A tárhelyszolgáltatónak (beleértve itt a partneremet, valamint saját magamat is) általában véve nem feladata, nem tiszte a tárhelyen elhelyezett kódok vizsgálata, és azok alapján a megoldás megkeresése. Tárhelyszolgáltatóként a feladatunk az, hogy megvédjük a szervert, bármi áron. Ez megtörtént. A szerveren nemcsak az én ügyfeleim vannak, hanem további többszáz weboldal is, amelyeket meg kell védenünk. Megtettük. (A többes szám első személy rájuk fizikailag, rám csak jogilag vonatkozik 🙂 )

2. Tudomásul kellene végre venni, hogy ha valaki ingyenes rendszert használ, az bizonyos kockázatokkal jár: nem kaphat hozzá azonnali technikai támogatást. Ha a szerverrel lett volna baj, azt a mi dolgunk elhárítani. Csakhogy nem a szerverrel volt a baj, mert kizárólag a WordPress alapú oldalakat támadták. Az viszont nem a tárhelyszolgáltató dolga, hogy kiderítse, mi a WordPress baja, hanem meg kell védenie az összes ügyfelét, azokat is, akik nem WordPress alapú oldalt használnak. A technikai támogatást jelen esetben a WordPress, és/vagy a szóban forgó WordPress-bővítmény fejlesztőitől kellett volna megkapnunk, ez azonban – éppen az ingyenesség miatt – sajnos nem minden esetben érkezik gyorsan, és elfogadható módon.

3. Tudomásul kellene végre venni, hogy ha valaki nyílt forráskódú rendszert használ, az bizonyos kockázatokkal jár: könnyebben esik támadások áldozatául. Különösen, ha az a bizonyos rendszer piacvezetővé válik. Korábban a WordPress volt a legbiztonságosabb, mostanra sajnos ez elmúlt. Ezt a helyzetet azonban kezelni kell és lehet, sőt, megelőzni is kell és lehet. Éppen ezért szedtem össze a legfontosabb biztonsági intézkedéseket, amelyeket minden WordPress felhasználónak ismernie kell, és ezért írtam erről egy átfogó bejegyzést csütörtökön (most linkelem be harmadszor 🙂 ).

Vajon miért van az, hogy a WP-Suli több, mint 3.000 olvasója közül, akik e-mailben is kaptak értesítést erről az igen fontos bejegyzésről, a mai napig mindössze 197-en vették a fáradtságot, hogy elolvassák a cikket?

“Nekem az furcsa, hogy Titeket nagyon gyakran érintenek a felfedezett biztonsági rések” – írta egy kollégám. Igen: mi ugyanis elmondjuk, hogy minket érintenek! Van olyan ügyfelem, akinek én csináltam a weboldalát, de nem nálam van a tárhelye, és elmondta, hogy az ő szerverüket is érte támadás, az ő oldala is leállt (nagyjából ugyanakkor, mint nálunk), de a tárhelyszolgáltató nem szólt egy szót se, sőt, amikor rákérdezett, hogy mi történt, először majdnem egy napig semmit nem válaszoltak, azután sunnyogni kezdtek. Egy másik ügyfelem esetében pedig a tárhelyszolgáltatója minden előzetes figyelmeztetés nélkül letiltotta a wp-login.php fájlját illetve a wp-admin felületét, így most nem tud belépni, hogy szerkessze a weboldalát.

Mi a jobb: ha azonnal szólunk, hogy baj van, együttműködést és türelmet kérünk, aztán megoldjuk a problémát, és ezt folyamatosan kommunikáljuk – vagy az, ha agyonhallgatjuk a támadást, és nem válaszolunk a kérdésekre?

Másrészt: azért érintenek minket gyakran a felfedezett biztonsági rések, mert nálunk rengeteg (több, mint ötszáz!) WordPress alapú oldal fut. Nem tudom biztosan, de nagy valószínűséggel a legtöbb, vagy az egyik legtöbb WordPress-oldalt futtató szerver a miénk Magyarországon. Ezért érintenek minket fokozottan a WordPress biztonsági hibái, de ezért is reagálunk rájuk gyorsan és szakszerűen, nem pedig elhallgatva a problémákat.

Azt is írta még a kolléga: “fura dolog, hogy 14 milliónál is több letöltéssel bír az AIOSEOP, és pont nálatok jön ki olyan dolog, amit támadásnak vesz a szerver”. No igen. Mindig van egy első eset. Nem?

A múlt heti tapasztalatok nyomán most teljesen átalakítjuk a tárhelyszolgáltatásunkat. Dedikált szervert állítunk üzembe, ahol kizárólag WordPress alapú weboldalak kapnak helyet, és más feltételek lesznek érvényben, mint a többi weboldal esetében. Erről időben fogok tudósítani, és úgy gondolom, hogy egy kiváló, és a maga nemében egyedülálló szolgáltatás bevezetésének leszel majd tanúja.