כמו הרבה פוסטים אחרים כאן, הכול התחיל מדיון בפייסבוק שערכתי אל מול מישהו, אותו מישהו יכל "להשבע" ש-Wordpress היא מערכת לא מאובטחת, ובאופן חד משמעי היא יותר מסוכנת ממערכות אחרת.
למה אני כל כל בטוח בעצמי? נראה בהמשך.
אז ברור שאי אפשר פשוט לסיים את הפוסט בתשובה אחת.
פשוט מכיוון שעולם מערכות הקוד הפתוח הוא עולם שלא נגמר, ואני לא בטוח שנכון להשוות תוכנה לניהול יומנים (אשר משתמשים בה מספר קטן של משתמשים) אל מול תוכנת CMS שונות עם מליוני אתרים ברחבי העולם.
על מנת להשאר ראלי, אני אשווה ברשותכם (באמצעות נתונים) בין 3 מערכות פופולריות: WordPress, Drupal, Joomla.
את ההשוואה נעשה לפי כמות הפרצות שנעשו למערכות (והתוספים שלהן) במהלך השנים 2013-2014, כאשר חילקנו את הפרצות ל-3 קטגוריות:
- low: פרצות בעלות השפעה נמוכה על המערכת או פוטנציאל פגיעה כלכלית נמוכה באתר
- medium: הסיכוי לאיבוד או גניבת מידע כתוצאה מהפריצה גבוה
- high: סיכוי וודאי להשחתת וגניבת מידע + ביצוע אסקלציה מרמת הקוד לרמת השרת (במידה וזה אינו מאובטח דיו)
נכון, מדובר במדגם מייצג בלבד מכיוון שחלק מהפרצות חמורות יותר מאחרות (גם אם נמצאות על אותו רמת סיכון).
למה? מכיוון ש(לדוגמא) פרצה קריטית מסוף 2014 למערכת דרופל אשר אפשרה לבצע SQL Injection, גניבת ססמאות וחומרים מהאתר (PSA-2014-003) מכל גרסאות הדרופל שקדמו לגרסה 7.32 היא ללא ספק משמעותית יותר מפרצה למודול של wordpress שאומנם סיכן את האתר באותה המידה אבל התפוצה שלו נמוכה בהרבה.
היבט נוסף במדגם המייצג הוא הפופולריות של המערכות עצמם – ככול שהמערכת פופולרית יותר, יש לה יותר תוספים, וכאשר יש לה יותר תוספים.. יש יותר אפשרויות שהמערכת תפרץ (וזאת מכיוון שפרצה לתוסף היא בעצם שוות ערך לפרצה למערכת).
מקור: Incpasula
ממצאים
| שנה | מערכת | פרצות ברמה נמוכה | פרצות ברמה בינונית | פרצות ברמה גבוהה | סה"כ פרצות |
| 2013 | WordPress | 3 | 75 | 10 | 89 |
| Drupal | 32 | 60 | 3 | 95 | |
| Joomla | 0 | 15 | 2 | 17 | |
| 2014 | WordPress | 2 | 49 | 5 | 56 |
| Drupal | 4 | 19 | 1 | 24 | |
| Joomla | 0 | 10 | 4 | 14 |
* מקורות: national vulnerability database ו-exploit-db
מה זה אומר?
האמת? כלום, המאמר הוא בעיקר "סקרנות אקדמית" ומטרתו לתת את המידע למשתמשים (שלפעמים, ניזונים ממקורות לאו דווקא מדוייקים).
האם בגלל המאמר תפסיקו להשתמש במערכת כזו או אחרת? בבקשה לא.
- העבר לא תמיד מצביע על העתיד
- כל המערכות שהוזכרו הן מצויינות בתחומן – וכמו כל מערכת קוד פתוח, דורשות עדכונים שוטפים למערכת, לתוספים, לויג'טים ולערכות העיצוב.
המערכות הללו הן יעד עליון בכל הקשור לפריצה לאתרים וזאת רק בגלל הפופולריות הגוברת שלהן.
הן לא יותר או פחות מאובטחות מכל מערכת אחרת, הייתרון הגדול שלהן מבחינתי: הפופולריות העצומה שלהן מביאה- יחד עם צבא של של האקרים, גם צבא שלם של מפתחים וקהילה תומכת.
כלומר, גם כאשר יוצאת פרצה לאוויר העולם – היא נסתמת במהירות.ולכן, אם תקפידו לבצע עדכונים כהלכה, אני מבטיח לכם שהסבירות שהאתר שלכם יפרץ (בהנחה שחברת האחסון שלכם עושה את העבודה ומפעילה שירותים המיישמים WAF) – נמוך ושואף ל-0.
שבת שלום!
כחלק מהתפקידים שלי בחברה, אני אחראי על תוכניות ההכשרה של עובדים חדשים.
חי ונושם Hosting, קוד פתוח ו-Linux (ויש גם מילה טובה ל-Windows)
- ריבוי אתרים בחשבון = סיכון אבטחה - יולי 16, 2017
- Let's encrypt – תעודות SSL, ובחינם! - ינואר 17, 2017
- PHPMailer Exploit - דצמבר 28, 2016
השאר תגובה