Αμέσως μετά τη κατασκευή ενός website, μια εταιρία θα ζητήσει από τον ιδιοκτήτη να αναλάβει δύο ακόμη υπηρεσίες. Η μια είναι η φιλοξενία και η δεύτερη, είναι η συντήρηση της ιστοσελίδας. Η φιλοξενία ξέρουμε (συνήθως) τι περιλαμβάνει. Σε τι είναι απαραίτητη όμως η συντήρηση της ιστοσελίδας; γιατί κάποιες φορές θα πρέπει να την αναλάβει ειδικός;
Για να συνεχίσω με τα ερωτηματικά που ταλανίζουν τους ιδιοκτήτες γύρω από το θέμα. Αν συγκρίνουμε το κόστος της ετήσιας φιλοξενίας που μπορεί να βρει ένας ιδιοκτήτης μόνος του, με τις τιμές που ζητούν οι εταιρίες για φιλοξενία και συντήρηση, οι τελευταίες είναι από αρκετά μεγαλύτερες έως εξωπραγματικές. Γιατί να μην αναζητήσει ο ιδιοκτήτης μόνος του το χώρο φιλοξενίας του website του;
Και σε όσον αφορά τη συντήρηση της ιστοσελίδας, μπορεί ο ιδιοκτήτης να τη κάνει μόνος του;
Σοβαρή ευπάθεια δημοφιλούς plugin, και άλλες ιστορίες
Σε αυτό το άρθρο δεν θα δούμε παρά επιφανειακά τις απαντήσεις σε αυτά τα ερωτήματα. Περισσότερο θα αφήσουμε να ανακαλύψει ο καθένας μόνος του τις απαντήσεις μέσα από τα δύο γεγονότα που στάθηκαν αφορμή για το άρθρο αυτό. Η πρώτη αφορά μια εντελώς πρόσφατη ευπάθεια που ανακαλύφθηκε στο δημοφιλές plugin ninja formes. Και η δεύτερη, τα προβλήματα που παρουσιάστηκαν με τη τελευταία αναβάθμιση του εξίσου δημοφιλούς yoast seo.
Παρ΄ όλα αυτά. Μια γενική απάντηση στο τελευταίο ερώτημα της προηγούμενης ενότητας μπορεί να δοθεί. Αλλά πριν από αυτό, θα είναι χρήσιμο να δούμε (έστω και πρόχειρα) τι περιλαμβάνει η συντήρηση ιστοσελίδας.
Συντήρηση ιστοσελίδας: τι περιλαμβάνει και τι αφορά;
Η κάθε ιστοσελίδα είναι, ή θα πρέπει να είναι, ένα δυναμικό σύνολο λογισμικού. Οι απανταχού ανά τον κόσμο hackers αναζητούν τρύπες ασφαλείας στα προγράμματα που εκτίθενται στο παγκόσμιο ιστό και κυρίως στις ιστοσελίδες. Ένα στατικό, μη αναβαθμισμένο λογισμικό δίνει χρόνο να μελετηθεί και να βρεθούν (ή να δημιουργηθούν) τρόποι πρόσβασης προς αυτό. Ένα λογισμικό που δεν αναβαθμίζεται συχνά, αργά ή γρήγορα θα χακαριστεί.
Έχουμε αναφέρει πολλές φορές στο παρελθόν ότι στο χώρο της ιστοσελίδας οι φράσεις “ασφάλεια ιστοσελίδας” και “ενημέρωση προγραμμάτων” πηγαίνουν μαζί. Επίσης, έχουμε τονίσει ότι σε καμία περίπτωση μια ιστοσελίδα δεν είναι 100% ασφαλείς, όσα μέτρα προφύλαξης κι αν πάρουμε. Έτσι, η συχνή λήψη αντιγράφων ασφαλείας του site (back up) είναι μια από τις απαραίτητες ρουτίνες την οποία θα πρέπει να συνηθίσει ο ιδιοκτήτης ενός site.
Είναι δύσκολο να γίνουν αυτά από τον ιδιοκτήτη της ιστοσελίδας;
Το Back up
Το πιο εύκολο του σύμπαντος είναι να αρχίσω να εξιστορώ περί του πόσο δύσκολο είναι να πάρεις back up στα αρχεία της ιστοσελίδας σου. Τι λάθη μπορούν να συμβούν, πόσο θα πελαγώσεις αφού δεν ξέρεις και πως θα χαθούν ολοκληρωτικά τα αρχεία σου, θα κρεμάσει το pc, θα καεί ο σκληρός δίσκος και τελικά θα εκραγεί ο υπολογιστής μαζί με το μισό τετράγωνο της γειτονιάς αν δεν πληρώσεις πανάκριβα έναν “ειδικό” να αναλάβει το back up σου.
Ή από την άλλη, μπορούμε να δούμε ότι τα πράγματα εδώ δεν είναι ιδιαίτερα περίπλοκα. Αλλά προσοχή! Ούτε και τόσο απλά όσο πιθανόν να μοιάζει επιφανειακά.
Να αναφέρω κατ΄ αρχάς το εξής. Πλέον πολλές από τις εταιρίες hosting στην Ελλάδα έχουν στις βασικές παροχές τους την αυτοματοποιημένη, καθημερινή λήψη back up των σελίδων που φιλοξενούν. Επιπλέον, με σχετικά απλά βήματα μπορεί να γίνει η επαναφορά ενός site σε κάποια από τις προηγούμενες εκδόσεις του, αν αυτό κριθεί αναγκαίο από τον ιδιοκτήτη – είτε επειδή έπεσε θύμα κακόβουλης επίθεσης, είτε επειδή απλά έκανε λάθος στη διαχείριση και έβλαψε τμήμα της ιστοσελίδας του. Με την αναζήτηση λοιπόν κατάλληλου χώρου φιλοξενίας και με λίγη ενασχόληση μόνος του, όποτε αυτό χρειαστεί, έχει σχεδόν εξασφαλίσει το θέμα της χρονοβόρας λήψης αντιγράφων ασφαλείας του site του.
Όμως γιατί “σχεδόν”;
“Συγνώμη, μας χάκαραν”
Πριν από δύο περίπου χρόνια, μια γνωστή εταιρία hosting του εξωτερικού έκανε την εξής δημόσια ανακοίνωση. Ζητούσε συγνώμη από όλους τους πελάτες της για το λόγο ότι οι ιστοσελίδες τους… είχαν χαθεί. Όπως ανέφερε η εταιρία, ένας πρώην εργαζόμενός της αποχώρησε από αυτή και πριν το κάνει αυτό, φρόντισε να κάνει άνω κάτω τους server τηςσβήνοντας – εκτός των άλλων – τόσο τα websites που φιλοξενούνταν εκεί, όσο και τα όποια αντίγραφα ασφαλείας είχαν κρατηθεί. Η εταιρία τελείωσε την ανακοίνωσή της λέγοντας ότι το 1/3 των site που φιλοξενούσε ήδη είχε επαναφερθεί, ενώ συνέχιζαν να εργάζονται σκληρά ώστε να καταφέρουν να επαναφέρουν όσο το δυνατόν περισσότερα από τα site που φιλοξενούσαν στους χώρους της.
Το γεγονός ήταν μοναδικό, αλλά κι εξίσου διδακτικό. Δεν αρκεί η επανάπαυση από το back up που παίρνει η εταιρία φιλοξενίας. Όπως έδειξε το παραπάνω παράδειγμα, το οτιδήποτε είναι δυνατόν να συμβεί. Ο ιδιοκτήτης λοιπόν που δεν έχει αναθέσει κάπου αλλού τη συντήρηση της ιστοσελίδας του θα πρέπει να είναι εξασφαλισμένος. Πέρα από τα καθημερινά, αυτόματα buck up, θα πρέπει ανά τακτά διαστήματα να λαμβάνει αντίγραφα ασφαλείας και ο ίδιος.
Ούτε κάτι τέτοιο όμως είναι δύσκολο. Ένα από τα απαραίτητα plugins για μια WordPress ιστοσελίδα που έχουμε συχνά πυκνά συστήσει από αυτές τις σελίδες είναι το Duplicator. Το εγκαθιστάτε, ακολουθείτε τις οδηγίες του κι έχετε όσο συχνά αποφασίζετε εσείς ένα αντίγραφο των αρχείων του site σας και της βάσης δεδομένων του, στον υπολογιστή σας. Σε περίπτωση ανάγκης, το site σας εξακολουθεί να υπάρχει και μένει μόνο να επανεγκατασταθεί σε κάποιο χώρο φιλοξενίας.
Με αυτούς τους τρόπους το 1ο από τα δύο βασικά θέματα της συντήρησης ιστοσελίδας που αφορούν την ασφάλειά της, λύνεται. Σχετικά εύκολα, και σχετικά φθηνά.
Αναβάθμιση προγραμμάτων: αυτό κι αν είναι(;) εύκολο
Θέματα. Plugins. Μεταφράσεις. Και το ίδιο το WordPress. Αυτά είναι τα προγράμματα που σε τακτά χρονικά διαστήματα χρειάζονται αναβάθμιση σε μια WordPress ιστοσελίδα.
Κάθε φορά που υπάρχει διαθέσιμη αναβάθμιση σε κάποιο από τα ενσωματωμένα προγράμματα, στον πίνακα ελέγχου ανάβει μια κόκκινη σημείωση. Πατώντας σε αυτήν ο διαχειριστής μεταβαίνει στη σελίδα με τις διαθέσιμες ενημερώσεις. Τις μαρκάρει, πατάει το κουμπάκι “Ενημέρωση Πρόσθετων”, περιμένει λίγα δευτερόλεπτα (ή λεπτά) και είναι έτοιμος. Τόσο απλό.
Ή μήπως όχι;
Για να δούμε: τι μπορώ να κάνω ώστε να σας τρομάξω, να το παρουσιάσω δύσκολο και να σας πείσω να πληρώσετε κάποια εταιρία για να πατήσει το κουμπάκι για εσάς;
Υπάρχει πρόβλημα;
Λοιπόν, βρήκα τι. Θα σας πω ότι μπορεί να φαίνεται απλό αλλά δεν είναι. Πως μπορεί τις περισσότερες φορές η αναβάθμιση να γίνει απροβλημάτιστα, αλλά θα υπάρξουν κάποιες περιπτώσεις που η αναβάθμιση ενός plugin θα παρουσιάζει ασυμβατότητες με κάποιο άλλο. Στην εύκολη περίπτωση το plugin δεν θα λειτουργεί. Στη μέση περίπτωση η σελίδα θα κρεμάσει. Και στη δύσκολη (και καθόλου απίθανη) περίπτωση, θα είναι αδύνατη η πρόσβαση στο περιβάλλον διαχείρισης της ιστοσελίδας. Τα χέρια μας ξαφνικά βρίσκονται δεμένα, η ιστοσελίδα βρίσκεται εκτός αέρα.
Και σε αυτό το σημείο θα σας εκπλήξω. Αν διαβάζετε συχνά τα άρθρα της σελίδας μας, μπορείτε να έχετε ήδη φανταστεί ότι η συνέχεια θα περιλαμβάνει κάτι σαν “υπερβολές, τα πράγματα δεν είναι ακριβώς έτσι” κτλ κτλ. Στη περίπτωση αυτή όμως δεν ισχύει, τα πράγματα είναι όπως αναφέρονται. Τα όσα γράφονται παραπάνω δεν είναι καθόλου απίθανο να συμβούν.
Θυμηθείτε τι ανέφερα στην αρχή: το άρθρο αυτό γράφεται με αφορμή κάποια προβλήματα που εμφανίστηκαν τις τελευταίες ημέρες σε ορισμένα δημοφιλή plugins. Τα παραδείγματα θα τα δούμε παρακάτω, για την ώρα όμως θα δούμε τους τρόπους αντιμετώπισής τους.
Πως το λύνουμε;
Ευτυχώς, εύκολα. Δυστυχώς, για την επίλυση απαιτείται μια στοιχειώδη εξοικείωση με τα αρχεία που αποτελούν ένα WordPress site, καθώς και με του panel του χώρου φιλοξενίας (plesk, cPanel κτλ).
Αν έχουμε πρόσβαση στα αρχεία της ιστοσελίδας μας θα ακολουθήσουμε τα παρακάτω βήματα.
- Θα σημειώσουμε τα προγράμματα που αναβαθμίσαμε και προκάλεσαν το “κρέμασμα” της ιστοσελίδας μας.
- Στα αρχεία του WordPress, θα αναζητήσουμε τον φάκελο wp_content και αμέσως μετά
– το φάκελο wp_themes, αν υποπτευόμαστε ότι η ζημιά έγινε έπειτα από αναβάθμιση του θέματος, ή
– το φάκελο wp_plugins, αν ο κατεργάρης είναι κάποιο από τα πρόσθετα προγράμματα. - Στο καθένα από τους φακέλους βρίσκουμε τους υποφακέλους με τα προγράμματα που αναβαθμίσαμε. Στο τέλος της γραμμής του φακέλου ανιχνεύουμε την επιλογή “rename”, και αλλάζουμε το όνομα του προγράμματος.
- Ανανεώνουμε τη σελίδα του site μας. Αν το συγκεκριμένο πρόγραμμα ήταν υπεύθυνο για το κρέμασμα, τότε το site θα φορτωθεί κανονικά. Αν όχι, συνεχίζουμε την ίδια διαδικασία με τα υπόλοιπα προγράμματα, μέχρι να βρούμε αυτό που δημιούργησε το πρόβλημα.
Βρίσκοντάς το, έχουμε πλέον πρόσβαση στη διαχείριση του site μας, το οποίο βρίσκεται και πάλι στον αέρα. Αλλά δεν έχουμε τελειώσει ακόμη. Το πρόγραμμα που δημιούργησε το πρόβλημα πλέον δεν λειτουργεί, η λειτουργία της σελίδας είναι προβληματική. Πρέπει να την επαναφέρουμε στη προηγούμενη κατάσταση. - Αν το hosting μας παίρνει back up, καλούμε το τμήμα υποστήριξής του να μας καθοδηγήσει πως φέρνουμε τη σελίδα σε προηγούμενη κατάσταση. Αν διαθέτουμε εμείς οι ίδιοι τα αντίγραφα στον υπολογιστή μας, θα χρειαστούμε ένα πρόγραμμα σαν το File Zilla για να μας βοηθήσει στο ανέβασμα του server.
- Η ιστοσελίδα μας είναι και πάλι λειτουργική. Αναβαθμίζουμε όλα τα υπόλοιπα προγράμματα εκτός από το προβληματικό. Περιμένουμε τη νέα του ενημερωμένη έκδοση για να το αναβαθμίσουμε, ή το αντικαθιστούμε με κάποιο άλλο πρόγραμμα που εκτελεί παρόμοια λειτουργία.
Κι αν δεν έχουμε back up;
Να έχουμε.
Είναι προφανές πως χωρίς την ύπαρξη αντιγράφων ασφαλείας (back up) θα υπάρχει πρόβλημα. Η τακτική λήψη τους είναι ένα από τα βασικά θέματα ασφαλείας για την ιστοσελίδα και δεν θα πρέπει να την αμελούμε. Αλλά αν παρ΄ όλα αυτά βρεθούμε σε τέτοια κατάσταση, και πάλι υπάρχει λύση. Θα αναζητήσουμε και θα εγκαταστήσουμε τη παλαιότερη έκδοση του προγράμματος, του θέματος ή του WP και η σελίδας μας θα βρίσκεται στην ουσία στη προηγούμενη κατάστασή της.
Τελικά μπορεί ο ιδιοκτήτης να αναλάβει τη συντήρησης της ιστοσελίδας του μόνος του;
Όπως είδαμε η συντήρηση ιστοσελίδας είναι μια διαδικασία που ξεφεύγει λίγο από την απλή διαχείρισή της, τα πράγματα όμως δεν είναι καθόλου τραγικά. Η συντήρηση μπορεί να γίνει σχετικά εύκολα, θα απαιτηθούν όμως από τον διαχειριστή τέσσερα πράγματα. Πρώτα απ΄ όλα να έχει μια σχετική γνώση της δομής των αρχείων του WordPress και να μη φοβάται να παρέμβει σε αυτά. Έπειτα να έχει εξοικείωση με το σύστημα διαχείρισης του χώρου φιλοξενίας του – το pleck, cPanel η ό,τι αυτός διαθέτει. Τρίτον:
Να διαθέτει τον απαραίτητο χρόνο να πραγματοποιεί τακτικά τη συντήρηση ιστοσελίδας. Για τη λήψη των αντιγράφων ασφαλείας, για την τακτική αναβάθμιση των νέων ενημερώσεων, αλλά και για την επαναφορά του site στη παλαιότερη έκδοση, όταν αυτό χρειαστεί.
Και τέταρτο και σημαντικό. Είναι χρήσιμο να ενημερώνεται από το χώρο της ιστοσελίδας για τυχόντα προβλήματα που παρουσιάζουν οι διάφορες αναβαθμίσεις. Αν μια έκδοση κάποιου plugin παρουσιάσει πρόβλημα, σε κάποιον επαγγελματία θα εμφανιστεί. Αυτός θα ενημερώσει το χώρο, το πρόβλημα θα γίνει γνωστό στη κοινότητα. Οι υπόλοιποι διαχειριστές δεν θα προχωρήσουν σε αναβαθμίσεις μέχρι το πρόβλημα να λυθεί.
Αλλά γιατί τα λέμε όλα αυτά; Ήρθε η ώρα να δούμε τις αφορμές που το ξεκίνησαν.
Ninja formes: πρόβλημα ευπάθειας στο λογισμικό του
Αντιγράφω από τη σελίδα isomnia:
Οι προγραμματιστές του δημοφιλούς plug-in του WordPress Ninja Forms, επιδιόρθωσαν την ευπάθεια με την τελευταία ενημέρωση. Μία ενημέρωση που πρέπει όλοι να εγκαταστήσουν, αφού η ευπάθεια θα μπορούσε να επιτρέψει σε hackers να εισάγουν κακόβουλο κώδικα για να πάρουν τον έλεγχο του website.
Η ευπάθεια Cross-Site Request Forgery (CSRF) επηρεάζει όλες τις εκδόσεις του Ninja Forms έως και την προτελευταία 3.4.24.1 και μπορεί να χρησιμοποιηθεί για επιθέσεις τύπου Stored Cross-Site Scripting (Stored XSS) σε websites που χρησιμοποιούν την πλατφόρμα WordPress. Ένας hacker θα μπορούσε να εκμεταλλευτεί την ευπάθεια, παραπλανώντας ουσιαστικά τον διαχειριστή της σελίδας να κάνει κλικ σε ειδικά κατασκευασμένους συνδέσμους στις φόρμες του plug-in, που εισάγουν κακόβουλο κώδικα Javascript.
Το Ninja Forms είναι εγκατεστημένο σε περισσότερα από 1 εκατομμύρια WordPress websites, αφού το plug-in επιτρέπει την εύκολη και γρήγορη προσθήκη οποιασδήποτε φόρμας, για συλλογή στοιχείων και δεδομένων από τους χρήστες.
Την ευπάθεια CSRF βρήκε το Wordfence, όπου και ανέφερε στους προγραμματιστές του Ninja Forms στις 27 Απριλίου. Οι προγραμματιστές κυκλοφόρησαν γρήγορα μία ενημέρωση για την επιδιόρθωση του ζητήματος. Μία ενημέρωση που ήρθε σε λιγότερο από μία ημέρα.
Περισσότερες πληροφορίες
Σε ανάρτηση blog, ο ειδικός ασφαλείας του Wordfence, Ram Gall, έδωσε περισσότερες πληροφορίες σχετικά με το πώς ένας hacker θα μπορούσε να αξιοποιήσει την ευπάθεια, εάν οι διαχειριστές δεν ενημερώσουν έγκαιρα το plug-in.
Ένας εισβολέας θα μπορούσε να χρησιμοποιήσει αυτή την ευπάθεια για να αντικαταστήσει ένα tag μέσα στην HTML, όπως το <head>, με κακόβουλο κώδικα Javascript. Αυτό θα προκαλούσε την εκτέλεση του κακόβουλου κώδικα σε σχεδόν κάθε σελίδα του site, καθώς η πλειοψηφία των σελίδων ξεκινούν με ένα tag όπως το <head>. Ο κακόβουλος κώδικας θα μπορούσε να χρησιμοποιηθεί για την προσθήκη ενός νέου λογαριασμού admin, την κλοπή cookies ή την ανακατεύθυνση των χρηστών σε άλλα sites. Αυτό θα είχε ως αποτέλεσμα, να μολυνθούν και οι επισκέπτες, εκτός από το ίδιο το site.
Αν και οι προγραμματιστές έχουν ήδη επιδιορθώσει την ευπάθεια, μόλις 170.000 χρήστες από τους συνολικά 1.000.000 που το χρησιμοποιούν, έχουν εγκαταστήσει τη σχετική ενημέρωση. Συνίσταται λοιπόν, να προβεί άμεσα ο οποιοσδήποτε έχει το Ninja Forms, στο WordPress site του, σε εγκατάσταση της ενημέρωσης ώστε να μην πέσει θύμα της ευπάθειας CSRF.
Αμέλεια
Θα επαναλάβω μια από τις τελευταίες φράσεις του άρθρου: μόλις 170.000 χρήστες από τους συνολικά 1.000.000 που το χρησιμοποιούν, έχουν εγκαταστήσει τη σχετική ενημέρωση.
Είτε εμφανίζεται ευπάθεια είτε όχι, συμβαίνει το εξής με όλες τις ενημερώσεις ασφαλείας, όλων των λογισμικών. Οι δημιουργοί τους τα επεξεργάζονται διαρκώς. Ανακαλύπτουν συχνά κενά ασφαλείας, και τα ενημερώνουν (συνήθως) πριν τα ανακαλύψουν άλλοι. Παράλληλα με την ενημερωμένη έκδοση, δίνουν στη δημοσιότητα τι καλύπτει η ενημέρωση, άρα τα κενά που έχουν βρεθεί. Το κενό ασφαλείας είναι πια σε κοινή θέα. Η κάθε ιστοσελίδα που το περιέχει είναι θέμα χρόνου και τύχης να χακαριστεί.
Πολλοί ιδιοκτήτες, είτε λόγω άγνοιας είτε καθαρής αμέλειας δεν προβαίνουν τακτικά στη συντήρηση ιστοσελίδας. Ενώ αφήνουν το λογισμικό τους ανημέρωτο για μεγάλα χρονικά διαστήματα. Η συμβουλή μου;
Ενημερώνετε συχνά τα προγράμματά σας, κάθε φορά που είναι διαθέσιμη μια νέα ενημέρωση γι΄ αυτά.
Αλλά προσοχή: όχι πάντα αμέσως.
Yoast SEO: νέες λειτουργίες
Είχε ανακοινωθεί αρκετά νωρίτερα, είχε προγραμματιστεί για τις 28 Απριλίου. Το δημοφιλές πρόσθετο yoast seo προχώρησε σε νέα έκδοση του λογισμικού του που περιελάμβανε νέες λειτουργίες. Τα προβλήματα που εμφανίστηκαν με την έκδοση αυτή ήταν τόσα πολλά, που πολλοί κατασκευαστές ιστοσελίδων είτε επέστρεψαν άμεσα στη προηγούμενη έκδοση είτε εγκατέλειψαν εντελώς το plugin στρεφόμενοι προς κάποιο παρόμοιο με αυτό. Η εταιρία, τις επόμενες ημέρες, αναγκάστηκε να προχωρήσει στην έκδοση δύο ακόμη ενημερώσεων με τις οποίες το πρόσθετο έγινε και πάλι λειτουργικό.
Παρόμοια προβλήματα έχουν εμφανιστεί και στο παρελθόν με διάφορα γνωστά και αξιόπιστα πρόσθετα προγράμματα. Τα προβλήματα που συσχετίζονται με αυτά λύνονται πάντα και σχετικά γρήγορα, αφού όμως έχουν κάνει προσωρινά τη ζωή δύσκολη των πρώτων που προχώρησαν στις αναβαθμίσεις. Οδηγώντας τελικά σε μια κατασταλαγμένη εμπειρία:
Φροντίζουμε να μένουμε ενημερωμένοι για τις όποιες αλλαγές στο χώρο. Κι εξακολουθούμε να ενημερώνουμε άμεσα όλο το απαραίτητο λογισμικό στην ιστοσελίδα που διαχειριζόμαστε. Η συντήρηση ιστοσελίδας δεν είναι δύσκολη. Είναι αναγκαία, και σε κάθε περίπτωση πρέπει να γίνεται με προσοχή.
