Serverele iThemes, companie care dezvoltă tot felul de unelte ajutătoare pentru WordPress, de la teme, până la un plugin de securitate, au fost accesate fără drept, în urmă cu o săptămâna. Nu acesta este cel mai rău lucru, ci faptul că respectiva companie ţinea necriptate parolele utilizatorilor.
Se spune că WordPress este un sistem de administrare a conţinutului destul de sigur, chiar din fabrică, aşa că nu ar mai fi multe lucruri pe care trebuie să le faci pentru a-l securiza şi mai bine. În mare parte este adevărat, cu toate că mai sunt câteva lucruri pe care le poţi adăuga pentru o securizare şi mai bună, cum ar fi blocarea tentativelor de brute-force pe login, despre care am mai scris pe aici. WordPress este un CMS destul de sigur, atât cât poate fi ceva sigur în vremurile virtuale pe care le trăim, fiindcă are o comunitate foarte mare în spate, una care are grijă să acopere repede eventualele vulnerabilităţi descoperite.
Chiar dacă WordPress este un CMS destul de sigur, au apărut multe firme de securitate IT care vând unelte pentru o securizare şi mai bună a acestuia. Acest lucru este în regulă, chiar benefic, în măsura în care respectivele pluginuri vin cu lucruri în plus pentru a-ţi proteja mai bine datele.
Cu toate că unele sunt utile, mai ales pentru utilizatorii noi care au nevoie de informaţie şi de a dormi liniştiţi ştiind că au adăugat ceva în plus, despre care se presupune că le protejează şi mai bine site-ul, trebuie să mărturisesc faptul că nu sunt vreun mare fan al acestor pluginuri WordPress de securitate, fiindcă, pentru mine, nu le consider necesare. Nu folosesc aşa ceva, însă le-am testat pe cele mai importante pe localhost şi unele îngreunau site-ul, altele îl stricau de tot, în sensul că te securizau până nu mai funcţiona nimic, altele lăsau tot felul de lucruri în urmă, după ce renunţai la ele şi aşa mai departe. Evident, unele au şi opţiuni folositoare, cum ar fi cele în legătură cu brute-force, despre care am scris mai sus, însă conţin şi o sumedie de lucruri puse acolo doar pentru a-ţi da acel sentiment de falsă siguranţă. Atunci când un lucru este făcut destul de bine, de ce să adaugi ceva care ar putea să-l compromită, mai ales că este posibil să se întâmple asta, dacă adaugi pluginuri prea multe? Pluginuri WordPress mai puţine, înseamnă reducerea semnificativă a posibilităţii ca unul dintre ele să fie vulnerabil.
Atunci când am citit pe blogul iThemes despre faptul că serverele companiei au fost accesate fără drept, nu m-am emoţionat prea tare, ştiind că astfel de lucruri s-au întâmplat şi la case mult mai mari. I se poate întâmpla absolut oricui, trăind într-o perioadă în care vulnerabilităţile sunt la mare căutare.
În urma acestei breşe de securitate, atacatorii au avut acces la tot ceea ce se află pe servere, şi anume: numele de utilizatori, parolele, adresele e-mail, numele şi prenumele, în cazul în care au fost setate, adresele IP şi aşa mai departe. Din fericire, datele cărţilor de credit nu au fost compromise, asta datorită faptului că de tranzacţiile online se ocupa o firmă diferită.
Până aici nimic ieşit din comun, mai ales că iThemes a reacţionat repede şi a resetat parolele utilizatorilor, în acelaşi timp cei de acolo fiind destul de sinceri în legătură cu tot ceea ce s-a întâmplat, spre deosebire de alte companii.
Atât de sinceri, încât în următoarea postare de pe blogul lor, au anunţat, prin vocea cofondatorului şi directorului general al companiei, Cory Miller, că le vine greu să spună acest lucru, însă parolele utilizatorilor erau ţinute pe server necriptate, deci în text clar.
Spuneam că oricui i se poate întâmpla să-i fie spart serverul, mai ales că am văzut cu toţii numeroase astfel de cazuri, asta însemnând că este greu să arăţi cu degetul înspre această firmă, din acest punct de vedere, însă atunci când tu vinzi produse de securitate IT şi ţii parolele utilizatorilor necriptate, vina pentru acest lucru este evidentă.
Măcar un MD5 şi parolele utilizatorilor erau în siguranţă, cel puţin pentru un timp, în cazul celor scurte. Acel timp poate face diferenţa dintre a-ţi putea schimba sau nu parola contului respectiv, inclusiv a altor conturi, dacă ai fost destul de neinspirat să foloseşti aceeaşi parolă în mai multe locuri.
Ironia sorţii face ca respectiva companie, prin intermediul pluginului lor de securizare WordPress, să-şi îndemne clienţii să folosească parole cât mai lungi. Este evident faptul că o parolă oricât de lungă ar fi fost ea, în cazul în care nu este criptată şi serverul lor este compromis, nu te-ar fi ajutat cu nimic.