En oppdatert hjemmeside er en sikrere hjemmeside. Det føles som vi har sagt det utallige ganger før, men den fremste årsaken til at en hjemmesde blir hacket er at den inneholder funksjoner med sikkerhetshull. Ofte er det ikke hjemmesiden i seg selv, men tillegg/plugins som er sårbare. Dette stemmer også om man bruker WordPress.

Sikkerhetsfirmaet Sucuri har akkurat sluppet en sikkerhetsrapport, med en analyse av over 11 000 hackede hjemmesider for første kvartal 2016. Rapporten inneholder mange interessante ting, men vi la spesielt merke til 2 detaljer.
 

- 3 stk WordPress-tillegg står bak 25% av alle hackede WordPress-sider.

Det finnes nærmere 45 000 WordPress-tillegg i det offisielle registeret (og mange flere andre steder), og 3 spesifikke tillegg er med på hver fjerde hackede WordPress-side. Disse tilleggene er: Slider Revolution (RevSlider), Gravity Forms og TimThumb.





Slider Revolution er et tillegg for bildekarusell/bytte bilder som har over 1.5 millioner brukere. Tillegget inkluderes på mange populære WordPress-temaer (hos Themeforest, under katergorien WordPress, vises over 1000 treff på Slider Revolution), så mange brukere er ikke en gang klar over at deres hjemmesider er sårbare.
Når ett av de større sikkerhetshullene i Slider Revolutions ble avdekket, fant man over 100 000 infiserte hjemmesider. Over 11 000 domenenavn ble da svartelisted hos Google.

Gravity forms er et av de mest populære tillegg for kontaktskjemaer, med over 1 million brukere. Tidligere versjoner av dette tillegget har vært sårbare for opplasting av (skadelige) filer via kontaktskjemaett. Med filene opplastet til webserveren har det vært enkelt å hacke og ta over hjemmesider.
 
TimThumb brukes til å feks kutte til, zoome og endre størrelse osv på bilder. Dens sårbarheter bør de fleste WordPress-brukere nå kjenne til.  I 2012 stod bla TimThumb bak halvparten av alle hackede WordPress-sider, men dette er nå nede på 8%. TimThumb er et PHP-skript som mange tillegg og temaer bruker, så eksakt brukerantall er vanskelig å si. Mange utviklere har dog de seinere årene gått bort fra TimThumb.

Hvordan bør man håndtere disse tilleggene?

Nå blir ikke en WordPress-side automatisk hacket bare fordi man har noen av disse tilleggene, men om du har noen av disse og vil være sikkert på at din side ikke er sårbar, har vi noen enkle tips:

1. Sjekk dine tillegg/plugins
Først og fremst bør man sjekke om man har har noen av disse tilleggene installert i WordPress. Logg inn på din hjemmeside og sjekk i administrasjonsgrensesnittet for WordPress (wp-admin) under kontrollpanel -> oppdateringer. Om du har WordPress-nettverk må du sjekke under "nettverksadmin". Om et av dine tillegg/plugins trenger oppdatering, gjør det umiddelbart!

2. Sjekk ditt WordPress-tema
Mange temaer/themes inkludere disse sårbare tilleggene. Om du er usikker på om ditt tema gjør dette, besøker du hjemmesiden til utvikleren av temaet (eller den hjemmesiden du lastet ned teamet fra). Der sjekker du for disse tillegg (det skal komme tydelig fram hva som brukes, eller kan du spørre utvikleren om det)
Mange temaer som man kjøper, oppdateres ikke automatisk (eller via WordPress admingrensesnittet). Sørg for at du har den siste versjonen av ditt tema.

3. Søk etter sårbarheter i TimThumb
TimThumb er som kjent et skript som mange temaer og tillegg bruker, man kan ikke se det på den vanlige lista over tillegg i WordPress. For å sjekke om man har en sårbar versjon av TimThumb på sin hjemmeside, kan man installere og bruke tillegget TimThumb Vulnerability Scanner.
Dette tillegget kan også oppdatere TimThumb til nyeste versjon!

4. Velg et sikrere webhotell
En av de enkleste måtene å få en sikrere hjemmeside på er å velge et sikrere webhotell. Med webhotellet hos ISPHuset Nordic er hjemmesiden beskyttet med en kraftig brannveggsløsning, som bla stopper kjente WordPress-angrep, automatisk sjekk for virus og skadelig kode, og mye annet.
NB! Selv med et sikkert webhotell må man oppdatere sin WordPress-side (tillegg/temaer) fortløpende.

 

- WordPress-brukere er bedre på oppdatering av sine hjemmesider

Når man leser slike sikkerhetsrapporter kan man lett få inntrykk av at WordPress er verdens mest usikre system, men sånn er det faktisk ikke.
Faktisk er WordPress-brukere flinkere enn mange andre til å oppdatere, og sikre sine hjemmesider. Av de CMS (webpubliseringsystem) som Sucuri testet, var WordPress klart best oppdatert.
Slik ser oversikten ut:



At WordPress er enklere å oppdatere enn mange andre CMS har stor betydning her.
Sikkerhetshull og problem med WordPress kommer mer og mer i søkelyset, også i tradisjonell media.
Dette er ikke rart siden halvparten av alle hjemmesider baseres på nettop WordPress.
Uansett er det moro at så mange WordPress-brukere faktisk holder sine hjemmesider oppdaterte!