Jesu li besplatni WordPress pluginovi sigurni?

Ako ste upoznali WordPress, sigurno ste upoznali i tzv. repozitorij besplatnih WordPress pluginova. U suštini, repozitorij je jedno veliko digitalno skladište besplatnih pluginova za WordPress, koji se u par klikova kroz administratorsko sučelje samog WordPress-a mogu instalirati na svakoj web stranici koja koristi – pa WordPress 🙂

Trenutno repozitorij broji gotovo 45.000 pluginova sa preko milijardu i 240 milijuna downloadova. Svaki od tih pluginova (barem većina) unose određene funkcionalnosti u web stranicu pogonjenu WordPressom, laički rečeno – proširuju njezine mogućnosti. No, jesu li ti pluginovi sigurni za korištenje, tko ih kreira, održava, i tko uopće provjerava pluginove prije nego se pojave su službenom WordPress plugin skladištu?

Kreatori i vlasnici WordPress-a u ovom trenutku su korporacija Automattic, sa vlasnikom i osnivačem Matt Mullenwegom. Dakle, WordPress repozitorij pluginova je u dobrim i čvrstim rukama ljudi koji su stvorili koncept WordPressa. Svaki plugin koji se tamo objavi, prolazi ručnu provjeru prije nego postane javno dostupan.

No, da li je sve baš tako sigurno i provjereno? Posljednjih nekoliko vrlo zanimljivih incidenata daju naslutiti da u WordPress plugin ekosistemu postoje rupe koje se mogu zlorabiti, te za posljedicu dovesti do hakiranja i zaraze ogromnog broja web stranica. Pogledajmo kako i zašto.

Autori WordPress pluginova

Autori pluginova na besplatnom WordPress repozitoriju ljudi su različitih profila, sa svih strana svijeta, različitih razina programerskih znanja, s različitim ciljevima i namjerama. Šaroliko je to društvo koje je teško opisati u nekoliko rečenica. Velika većina autora pluginova dobronamjerni su developeri izvrsnog znanja programiranja i poznavanja WordPressa. No, što je s onima koji imaju zle namjere?

Životni ciklus prosječnog WordPress plugina

Ranije smo rekli da se svaki plugin ručno provjerava prije nego postane javno dostupan na službenom WordPress plugin repozitoriju. No, što se događa nakon toga?

Najčešće dvije stvari:

Plugin postane vrlo popularan, preuzme ga velik broj ljudi, developer plugina pronađe način za monetizaciju inače besplatnog plugina (kroz premium verzije, plaćene prilagodbe, itd.). Razvojni ciklus plugina nesmetano se nastavlja uz redovitu objavu novijih verzija pluginova (popravljanje bugova, dodavanje novih funkcionalnosti) koji se mogu instalirati unutar standardnog WordPress administratorskog sučelja.
Plugin ne dosegne veliku popularnost, developer gubi interes ili ne uspijeva monetizirati cijeli projekt, ne objavljuje redovne zakrpe ranije verzije plugina, ne bavi se podrškom korisnicima, i cijeli projekt polako odumire.

I tu dolazimo do ranije spomenutih incidenata, koji su se dogodili sa pluginovima iz slučaja pod brojem 2. iz gornjeg odlomka.

Sucuri.net, najpoznatija i jedna do najmoćnijih tvrtki na internetu koja se bavi sigurnošću web stranica, objavila je članak s detaljnom analizom jednog od takvih incidenata. Više detalja možete pročitati na linku https://blog.sucuri.net/2016/03/when-wordpress-plugin-goes-bad.html.

Mi ćemo vam u nastavku opisati pojednostavljnu verziju opisanog incidenta koji je utjecao na sigurnost i rad velikog broja web stranica.

Kada WordPress plugin postane zao

Kako smo ranije napisali, životni ciklus prosječnog WordPress plugina ima dva smjera – postaje popularan i živi dalje, ili polako postaje zaboravljen i odumire (tehnološki, naravno).

U slučaju koji promatramo, (radi se o pluginu Custom Content Type Manager, pluginu koji je razvijan tri godine, preuzelo ga je preko 10.000 posjetitelja WordPress repozitorija, s prosječnom ocjenom od 4.8) dogodilo se da je plugin prešao u ruke drugog developera. Ukratko, prešao je u ruke developera zlih namjera. Kako se to točno dogodilo, nitko, pa ni WordPress-ov tim istražitelja ne zna, no pretpostavlja se da su moguće dvije stvari:

Izvorni autor plugina je prodao svoj korisnički račun sa pluginom novom autoru
Izvorni autor je napustio plugin, netko je hakirao njegov korisnički račun i preuzeo njegov plugin

Što se događalo dalje s pluginom?

Nakon 10 mjeseci neaktivnosti, novi “autor” objavio je novu verziju plugina. Naravno, svi korisnici koji su dotični plugin imali instaliran na svojim web stranicama, krenuli su instalirati novu verziju, u nadi da će se u njoj nalaziti unaprijeđena verzija plugina koji tako dugo koriste i vole.

No, priča ipak nije išla tim smjerom.

Naš novi “autor” u plugin je ugradio mehanizme za hakiranje stranica koje su preuzele novu verziju. Kako ne bismo ulazili u suviše tehničke detalje, ukratko ćemo reći samo da je (sada ga već možemo nazvati hakerom) novi vlasnik plugina isprogramirao instrukcije za skupljanje pristupnih podataka web stranicama (imena korisničkih računa), te “pokupio” web adrese (URL-ove) svih webova koji koriste njegov plugin. Dakle, složio je podužu listu web stranica, te pripremio sve za napad, koji je vrlo brzo uslijedio.

Haker je nakon toga u kompromitiranu WordPress instalaciju ubacio zaražene datoteke, preko kojih je praktički preuzeo potpunu kontrolu nad radom web stranice, te omogućio da u samu web stranicu ubaci bilo kakvu vrstu sadržaja (reklame, bannere, dodatne zaražene skripte, itd.). Nakon toga, samo je nebo granica. Kontroliranjem tako velikog broja web stranica, za hakera su mogućnosti neograničene (prodaja oglasnog prostora, SEO linkova, širenje zaraze na računala koja posjete zaražene web stranice, itd.).

Dakle, objasnili smo tko, kako i zašto.

Ostaje pitanje – jesu li besplatni WordPress pluginovi sigurni?

A odgovor je – i da i ne. WordPress plugin siguran je onoliko koliko možete vjerovati njegovom developeru (tj. autoru). Što je u mnogo slučajeva vrlo teška i rizična procjena. Iz gore navedenog incidenta, problem je nastao prilikom ažuriranja plugina na novu verziju, koja nije bila provjerena, pošto nove verzije plugina ne prolaze iste provjere kakve prolaze novi pluginovi koji se tek pojavljuju u repozitoriju. Novi zlonamjerni vlasnik ranije dobronamjernog plugina, ubacio je maliciozne kodove u novu verziju plugina, te zarazio velik broj web stranica čiji vlasnici nisu napravili ništa više nego jednim klikom unutar svog WordPress administratorskog sučelja instalirali novu verziju.

Kako se zaštititi?

Demokratizacijom i decentralizacijom načina na koji WordPress funkcionira, svi smo dobili mnogo. Dobili smo otvorenu i pouzdanu platformu koju možemo jednostavno i neograničeno proširivati, no isto smo tako dobili i mogućnost da svatko, pa čak i najveći laik, u par klikova na web stranicu implementira vrlo sofisticiran programski kod koji uopće ne razumije. Također smo dobili mogućnost da svatko s dovoljnom razinom znanja napiše programski kod i pretvori ga u WordPress plugin koji može koristiti nevjerojatan broj ljudi. Taj programski kod najčešće nije maliciozan, no zaraza nije jedina potencijalna opasnost – ne zaboravite, prosječan besplatni WordPress plugin razvijaju developeri najčešće u svoje slobodno vrijeme – normalno je da im se potkradaju greške – no i te greške mogu uzrokovati probleme u radu vaše web stranice, pa čak dovesti i do nestabilnosti i rušenja.

Da li trebate baš svaki plugin?

Praksa izrade web stranica u našoj tvrtki uključuje izbjegavanje upotrebe besplatnih pluginova kada je to moguće, i ima smisla. Ponekad to nije moguće, bilo da se radi o tome da na tržištu postoji sjajno gotovo rješenje iz pouzdanog izvora (dakle, ili premium plugin, ili plugin koji se razvija godinama te uživa veliku popularnost, provjeren je i stabilan), bilo da se radi o tome da klijent nije u mogućnosti financirati izgradnju određene funkcionalnosti od nule, pa se radi prilagodba postojećeg plugina uz kompromis u smislu ciljane funkcionalnosti. No, vrlo često viđamo situacije u kojima se uz par linija koda i malo kompromisa može izbjeći upotreba većeg broja pluginova koji predstavljaju nepotreban sigurnosni rizik. Zato vam dajemo prijateljski savjet – svakako provjerite sa osobom koja vam kreira web stranicu – koje pluginove koristi, zašto ih koristi, i da li se to može postići na neki drugi, pouzdaniji način (posebno ako se radi o besplatnim pluginovima). Također, čak i našoj tvrtci, kada koristimo besplatne pluginove, prije svakog ažuriranja provjeravamo što donosi nova verzija, te obavljamo testiranje na testnoj verziji web stranice prije puštanja promjene u javnost.

Uz veliku moć dolazi velika odgovornost

WordPress je sjajan, postoji milijun razloga zašto ga voljeti, i zašto ga koristiti. No, potrebno je i razumijeti i da administriranje web stranica (posebno u ovom slučaju, ažuriranje WordPressa i pluginova) nije za laike.

Ne treba olako shvatiti mogućnost da jednim klikom na svoju web stranicu postavite programski kod za koji niste točno sigurni što radi i što će se dogoditi jednom kad ga počnete koristiti. Ono što se vlasnici WordPress web stranica koji samostalno održavaju svoje webove trebaju zapitati prije instalacije ili ažuriranja bilo kojeg WordPress plugina jest – koliko vjeruju njegovom autoru, i koliko su uopće u stanju razumjeti što im donosi kompletan programski kod plugina, i na koji način će on utjecati na stabilnost, sigurnost i sveobuhvatan rad njihove web stranice.

“Posebno moramo istaknuti cijenu kao odličan omjer uloženog i dobivenog.”

“Planiramo kontinuirano održavanje i razvoj, nadogradnju i daljnju promociju e-učenja prema svim ciljnim skupinama u budućnosti.”

“Ovaj posao je odrađen u vrlo kratkom vremenu, vrlo profesionalno i na naše veliko zadovoljstvo.”

“Fleksibilnost, sugestivnost, podrška, točnost…”

“Internet prodaja na našem webshopu Pčelarstvo Veber bilježi rast od 80% u odnosu na isto razdoblje prošle godine.”

“Besprijekorna komunikacija s dizajnerima i pridržavanje rokova”

“Profesionalno odrađuju posao, i cilj su im dugoročno zadovoljni klijenti. “

“Napokon imam internetsku stranicu kakvu sam željela!”

“Zahvaljujem na Vašoj profesionalnosti i kooperativnosti”

“Jako sam zadovoljna konačnim rezultatom i vrlo sam ponosna na svoju lijepu, modernu stranicu.”

“Apsolutno za preporučiti!”

“Fleksibilnost i dostupnost tima u svakom trenutku”

“Tim koji razumije želje umjetnika”

“Projekt je završen uspješno i u dogovorenom roku”

“Susretljivost, lojalnost, savjetovanje, profesionalnost…”

“Ugodno, konstruktivno, kvalitetno…”

“Generalno iskustvo suradnje s Codeart.studio ocjenio bih ocjenom 5”

“Preporuke svima koji traže redizajn stranice ali i onima koji su voljni prepustiti se vještim rukama stručnjaka zbog unapređenja prodaje.”

“Svidjela mi se komunikacija, brzina, prijedlozi, poštivanje dogovorenog…”

“Izašli su mi u susret u nekoliko koraka koji nisu dio ‘protokola’ i na tom sam dosta zahvalna”

“Napokon se mogu mirno posvetiti svome poslu”

“Još jednom hvala i veselimo se sljedećoj suradnji.”

“Zadovoljni smo komunikacijom i razmjenom informacija te brzinom rješavanja zahtjeva”

“Prezadovoljni smo rješenjima koje su nam implementirali i savjetima koji su nam dali i u budućnosti s njima računamo na sljedeće projekte.”

“Codeart.studio pridaje veliku pažnju detaljima, brzi su i temeljiti u rješavanju problema.”

“Najviše nam se svidjela inovativnost i otvorenost te spremnost na daljnju suradnju”

“Nezaobilazan tim – za stručan sadržaj i tehničke aspekte same web stranice“

“Dojma sam da nismo puno trebali pričati o našoj viziji i o tome što hoćemo, a rezultat je bio baš ono što smo i zamislili.”

“Expresno odgovaranje na pitanja”

“Vrlo opsežan i učinkovit rad a osobito shvaćanje klijenta i uvažavanje njegovih ideja.”

“To se ne može” nije postojao kao odgovor

“Najtoplija preporuka za one koji žele izvrstan proizvod za vrlo realnu cijenu.”

“Tvrtka “obART GRAF” savršeno je razumjela naše specifične potrebe.”

“Apsolutno smo zadovoljni radom Codeart.studio tima.”

“Brza i stručna komunikacija i konkurentne cijene!”

“Super ste ekipa, rješavate sve naše probleme u najbržem mogućem roku!”

“Profesionalno odrađena ukupna usluga”

“Ovo je već drugi projekt u koji smo uključili Codeart.studio “

“Profesionalnost tima je na nivou”

“Stvarno svaku rečenicu razumijete i znate stvoriti stranicu.”

“Imamo više zahtjeva za članstvom nego u istom periodu prošle godine!”

“Suradnja je bila pun pogodak!”

“Pobijedili ste međunarodnu konkurenciju na svim poljima: Kreativnost, brzina, multitasking i multijezičnost, cijena, odgovornost i dosljednost!”

“Sve preporuke, zbog visoke razine profesionalnosti.”

“Ne sumnjam u vaš budući uspjeh.”

“Rezultat je bio bolji od očekivanog.”

“Dali su nam odličnu ponudu i uradili super posao!”

“Točnost, jednostavnost, konkretnost bez suvišnih nepotrebnih informacija…”

“Posljedica nove web stranice je bila i više posla, te uključivanje u dodatne projekte”

“Susretljivost, predlaganje novih ideja, realizacija, dizajn, apsolutno cjelokupna saradnja sa ovim mladim i kreativnim timom je za svaku pohvalu.”

“Dobar i jednostavan marketing…”

“Preporuke za ljude koji web shvaćaju kao danas osnovni alat za bilo koji oblik posla!”

“Ovakav pristup, profesionalnost, dobra organizacija i visoka odgovornost čine da smo još zadovoljniji.”

“Iz mjeseca u mjesec imamo sve više posla!”

“Danas smo u mogućnosti efektivnije nego ikada komunicirati s obožavateljima bečke kuhinje i pretvarati ih u goste našeg restorana koji nam se rado vraćaju.”

“Dostupni skoro od 0-24h, poštuju dogovor, daju odlične savjete koji štede novac, ne naplaćuje svaku sitnicu, najvažnije jako su kreativni.”

“Jednostavno sam ih morao nagraditi plativši im više od dogovorenog…”

“Nakon izrade nove web stranice, broj posjeta naglo je porastao…”

“Zašto vam se nisam obratio ranije?!”

“Što reći osim, svaka čast i neizmjerno vam hvala!”

“Zaslužujete pohvalu i moju otvorenu preporuku”

“Sve moje ideje su profesionalno sprovedene u delo i efekat na poslovnom planu se video vrlo brzo nakon izlaska stranice u “javnost”.”

“Obavili ste to brzo, ispunili sve moje zahtjeve i precizno odgovarali na cijeli niz moji pitanja”

“Ekipa Codeart.studio u potpunosti je ispunila naša očekivanja”

“Vesele me profesionalci do daske, a to ste vi.”

Autori WordPress pluginova

Životni ciklus prosječnog WordPress plugina

Kada WordPress plugin postane zao

Što se događalo dalje s pluginom?

Ostaje pitanje – jesu li besplatni WordPress pluginovi sigurni?

Kako se zaštititi?

Da li trebate baš svaki plugin?

Uz veliku moć dolazi velika odgovornost

Unajmite nas za svoj idući projekt!

Planirate razvoj vlastitog projekta?

Agencija ste koja traži partnera?