fbpx
Introdu un termen de cautare si apasa Enter

#fourthweek – Actualizarile de software

Acesta este cel de-al patrulea articol din seria “Ce face un website vulnerabil?”. Saptamana trecuta am impartasit cu voi cele mai comune erori de configurare, inclusiv actualizarile de software. In aceasta saptamana ne-am propus sa detaliem subiectul actualizarilor si problemele de securitate ce pot decurge din acestea.

Actualizarea website-ului este una dintre cele mai simple si usoare masuri de mentinere a securitatii si, in acelasi timp, una dintre cele mai neglijate.

In special intreprinderile mici au tendinta de a neglija actualizarea website-ului, considerand-o o masura care nu trebuie prioritizata si care consuma mult timp, periculoasa pentru buna functionare a website-ului (de multe ori se presupune ca o actualizare poate provoca dezactivarea website-ului) sau doar o masura fara beneficii concrete.

Prin urmare, in acest articol vom detalia avantajele unei actualizarii complete si corecte a website-ului, precum si problemele ce pot aparea ca efect al lipsei de actualizari.

Pentru inceput, vom stabili ce trebuie avut in vedere mai exact pentru actualizari:

  • sistem de gestionare a continutului (WordPress, Magento, Joomla, Drupal, etc.);
  • plugin-uri;
  • teme;
  • extensii;
  • server.

Inainte de a incepe o actualizare, fii sigur ca ai realizat un backup al website-ului! backup-ul regulat si complet este esential pentru a mentine website-ul in functiune. Este posibil sa crezi ca informatiile website-ului nu au fost modificate de la ultimul backup, insa baza de date se actualizeaza constant (cu utilizatori noi, date de logare etc.).

Apoi, actualizarile sunt necesare pentru ca fie unul dintre active prezinta o vulnerabilitate specifica ce necesita sa fie corectata, fie pentru ca website-ul a devenit, cu timpul, depasit si actualizarea va asigura o functionare optima si adaptarea nivelului de securitate la pericolele actuale ale internetului.

Acum, sa aruncam o privire asupra principalelor tipuri de actualizari.

Multe website-uri care au modificari constante in continutul lor utilizeaza un sistem de management al continutului (CMS) pentru a administra cu usurinta aceste modificari. In acest sens, multe organizatii aleg un CMS open source (oricine poate inspecta si modifica codul sursa) datorita avantajelor sale de necontestat: sistem usor de instalat, design usor de administrat, o varietate mare de functionalitati extra, potrivit pentru o gama larga de continut.

Totusi, un CMS open source este o sabie cu doua taisuri deoarece codul sursa poate fi expus atacatorilor externi ce pot identifica vulnerabilitati pe care sa le exploateze. Multe actualizari de CMS au ca scop corectarea vulnerabilitatilor care, in multe cazuri, sunt deja publicate. Actualizarile CMS ar trebui efectuate pe masura ce apar intrucat mereu vor  exista atacatori externi care verifica website-urile neactualizate pentru exploatarea vulnerabilitatilor.

In cazul CMS-urilor personalizate, actualizarile necesita o atentie sporita pentru ca functionalitatile adaugate pot continua sa aiba vulnerabilitati care ar fi trebuit corectate de catre actualizare. In acest cazuri, efectuarea de teste de penetrare cibernetica este recomandata pentru a te asigura ca vulnerabilitatile au fost remediate (in special cele publice).

In ceea ce priveste plugin-urile si temele, ambele au abilitatea de a deveni daunatoare chiar daca au fost sigure la inceput. Acest lucru se intampla cand plugin-ul/tema este vandut/vanduta, iar noul proprietar creeaza o noua versiune adaugand cod viciat. Un alt caz este acela in care o entitate/persoana reuseste sa se adauge ca proprietar al plugin-ului/temei si dobandeste posibilitatea de a adauga cod viciat. 

De asemenea, plugin-urile si temele pot fi viciate inca de la inceput. Prin urmare, trebuie sa acorzi o atentie sporita cand alegi plugin-urile si temele, sa le descarci numai din surse de incredere, sa le eviti pe cele gratis si expirate (nimic nu este gratis si in final s-ar putea sa platesti mai mult pe repararea breselor de securitate) si sa verifici cand au fost ultima data actualizate (pentru a vedea daca vulnerabilitatile au fost remediate). Plugin-urile si temele nu ar trebui instalate inainte de a fi verificate. Acestea reprezinta o buna fereastra pentru coduri viciate.  

In cazul extensiilor de browser, propriul computer este vectorul de atac. Ca si in cazul temelor si plugin-urilor, extensiile au nevoie de actualizari constante pentru a evita patrunderea codului viciat. In general, extensiile (viciate sau nu) sunt periculoase deoarece colecteaza o multime de date despre utilizatori (o extensie poate citi si schimba toate datele despre website-urile pe care le vizitezi, chiar daca este necesara aprobarea ta. In cazul in care nu iti dai acordul, extensia nu va fi instalata). Tocmai din cauza datelor pe care le colecteaza, extensiile sunt foarte tentante pentru hackeri, fiind tinta codurilor viciate (e.g. Practicle, o extensie Chrome pentru personalizarea Youtube a fost abandonata de programatorii ei, cumparata si transformata in adware).

Serverele web asigura functionarea unui website si conexiunea sa la internet. Precum celelale componente din structura unui website, un server neactualizat este o poarta deschisa pentru malware si virusi. De ce? pentru ca multe actualizari au ca scop remedierea vulnerabilitatilor, riscul fiind cu atat mai mare in cazul celor publice.

Deci, daca detii un website, ar trebui sa verifici daca cei care gazduiesc website-ul efectueaza actualizari constante si daca acestea sunt parte din pachetul de gazduire.

In ultima vreme, multe companii aleg servicii cloud in loc de server. In aceste cazuri, iti vei accesa datele utilizand internetul. Deci, trebuie sa ai in vedere ca prin utilizarea serviciilor cloud fara masuri suplimentare de securitate, iti expui toate datele si facilitezi accesul hackerilor. De asemenea, utilizand servicii cloud, impartasesti datele tale cu un centru de date utilizat si de altii si nu ai vizibilitate si control asupra administrarii si pastrarii datelor.

Sfat: Cele mai mult CMS-uri si plugin-uri furnizeaza actualizari automate. Totusi, poate ca aceasta nu este cea mai buna solutie pentru ca functionalitatea website-ului poate fi afectata. Iti recomandam sa-ti stabilesti o strategie care combina actualizarile automate cu cele manuale.

Iti recomandam sa citesti si celelalte articole ale noastre din seria “Ce face un website vulnerabil?”: Configurari necorespunzatoare, Sfaturi de securitate pentru detinatorii de website-uri, Erori de cod

Va putem ajuta sa stati in siguranta!

Stim, de asemenea, cat de importante sunt costurile.

Ar trebui sa citesti si

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.