Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Zagrożenia dla e-sklepów opartych na licencji open source

25 luty 2024

Zagrożenia dla e-sklepów opartych na licencji open source
Rafał Jakacki

Rafał Jakacki

PrestaShop i WooCommerce to w Polsce najpopularniejsze rozwiązania typu open source dla sklepów internetowych. Ułatwiają życie sprzedawcom i pozwalają elastycznie rozwijać e-biznes niezależnie od branży. Warto mieć na uwadze kwestie bezpieczeństwa tych rozwiązań technologicznych. Czy do takiego sklepu cyberprzestępca może wejść tylnymi drzwiami, w łatwy sposób? Jak zabezpieczyć się przed zagrożeniem?

W świecie technologii obserwujemy próbę upraszczania wielu procesów. Tak samo jest w dziedzinie tworzenia witryn internetowych. Niegdyś serwisy www były tworzone w żmudny sposób, odręcznie. Pisano je właściwie linijka po linijce. Mało zautomatyzowane procesy powodowały ryzyko wielu ludzkich błędów i to zarówno z zakresu stabilności, jak i bezpieczeństwa takich witryn. Z czasem to się zmieniło.

Na początku 2000 roku świat technologii zaczął interesować się systemami zarządzania treścią, czyli CMS-ami (ang. Content Management System) na licencji open source. Twórcy takiego oprogramowania założyli, że każdy może ingerować w kod źródłowy technologii i dostosowywać ją do swoich potrzeb, otrzymując jednocześnie solidne podstawy dla własnej strony internetowej. Z założenia CMS-y stały się więc mocno otwarte na społeczność, która wspólnie mogła przyczyniać się do ich rozwoju. Było to strzałem w dziesiątkę i już na zawsze odmieniło sposób tworzenia stron internetowych i zarządzania witrynami.

Systemy zarządzania treścią wywracają świat IT do góry nogami

W 2002 roku pojawia się pierwsze wydanie słynnego WordPressa, najpopularniejszego dziś systemu zarządzania treścią dla witryn internetowych na świecie. Niedługo później, bo w 2005 roku dołącza do niego Joomla. Z biegiem czasu pojawi się jeszcze co najmniej kilkadziesiąt ciekawych silników witryn opartych na podobnych założeniach. Tymi założeniami są usprawnienie procesu tworzenia witryny oraz łatwiejsze zarządzanie jej treścią.

Początkowo CMS-y służyły do tworzenia prostych i dynamicznych stron internetowych, takich jak blogi. Większość ludzi borykała się z problemem niedostatecznej wiedzy i umiejętności potrzebnych do stworzenia własnej witryny. Blog o ulubionym hobby? Strona dla pasjonatów elektroniki? Na początku XXI wieku nie było to takie proste. Systemy CMS odpowiedziały więc na palącą potrzebę i zyskały dużą popularność. Pozwalały przeciętnemu użytkownikowi stworzyć własną stronę, wywołując swoją drogą niemałą frustrację u web developerów, którzy w dużej mierze potraktowali to rozwiązanie jako konkurencyjne dla ich dotychczasowego sposobu tworzenia stron.

Systemy CMS oparte na open source rozwijały się przez kolejne lata i oferowały coraz ciekawsze automatyzacje i funkcje. Z czasem najsłynniejszy z nich, WordPress, zaczął być wykorzystywany również dla stron typowo wizytówkowych, niekoniecznie mających być blogami. Pozwoliła na to baza dodatków, zwanych wtyczkami. Dzięki nim pojawiły się możliwości dodania interaktywnego kalendarza, galerii zdjęć czy systemu rejestracji.

E-commerce też chce mieć z górki. Debiut CMS-a dla handlowców 

Internetowi sprzedawcy bacznie obserwowali rozwój rozwiązań typu open source. Szybko dostrzegli, że intuicyjny silnik do tworzenia witryny i zarządzania nią może świetnie przysłużyć się sklepom internetowym. Do tej pory otworzenie e-sklepu wiązało się z ogromnymi kosztami – konieczne było kodowanie specyficznych rozwiązań sklepowych z uwzględnieniem tak istotnych kwestii jak płatności czy koszyk zakupowy. W tamtych czasach, gdy płatności online dopiero raczkowały, było to wyjątkowo wymagające i żmudne, a sama wizja, że właściciel W świecie technologii obserwujemy próbę upraszczania wielu procesów. Tak samo jest w dziedzinie tworzenia witryn internetowych.

Niegdyś serwisy www były tworzone w żmudny sposób, odręcznie. Pisano je właściwie linijka po linijce. Mało zautomatyzowane procesy powodowały ryzyko wielu ludzkich błędów i to zarówno z zakresu stabilności, jak i bezpieczeństwa takich witryn. Z czasem to się zmieniło.

Na początku 2000 roku świat technologii zaczął interesować się systemami zarządzania treścią, czyli CMS-ami (ang. Content Management System) na licencji open source. Twórcy takiego oprogramowania założyli, że każdy może ingerować w kod źródłowy technologii i dostosowywać ją do swoich potrzeb, otrzymując jednocześnie solidne podstawy dla własnej strony internetowej. Z założenia CMS-y stały się więc mocno otwarte na społeczność, która wspólnie mogła przyczyniać się do ich rozwoju. Było to strzałem w dziesiątkę i już na zawsze odmieniło sposób tworzenia stron internetowych i zarządzania witrynami.

Dlaczego strony i sklepy wykorzystujące open source interesują cyberprzestępców?

W 2002 roku pojawia się pierwsze wydanie słynnego WordPressa, najpopularniejszego dziś systemu zarządzania treścią dla witryn internetowych na świecie. Niedługo później, bo w 2005 roku dołącza do niego Joomla. Z biegiem czasu pojawi się jeszcze co najmniej kilkadziesiąt ciekawych silników witryn opartych na podobnych założeniach. Tymi założeniami są usprawnienie procesu tworzenia witryny oraz łatwiejsze zarządzanie jej treścią.

Początkowo CMS-y służyły do tworzenia prostych

i dynamicznych stron internetowych, takich jak blogi. Większość ludzi boryka się z problemem niedostatecznej wiedzy i umiejętności potrzebnych do stworzenia własnej witryny.

Blog o ulubionym hobby? Strona dla pasjonatów elektroniki? Na początku XXI wieku nie było to takie proste. Systemy CMS odpowiedziały więc na palącą potrzebę i zyskały dużą popularność. Pozwalały przeciętnemu użytkownikowi stworzyć własną stronę, wywołując swoją drogą niemałą frustrację u web developerów, którzy w dużej mierze potrakto-e-sklepu mógłby zarządzać zamówieniami z poziomu intuicyjnego panelu sklepowego w swoim komputerze, była niczym marzenie.

Głównie dzięki takiemu marzeniu zadebiutował w 2007 roku PrestaShop rozwijany do tej pory. W pierwszych latach istnienia oferował on wszystkie najważniejsze funkcje pozwalające intuicyjnie stworzyć swój sklep internetowy i zarządzać nim w sieci. Nie zapominajmy też o wspomnianym wcześniej WordPressie. To jego topowa pozycja wśród oprogramowania open source sprawiła, że społeczność użytkowników utworzyła wtyczkę WooCommerce – obecnie najpopularniejszy system sklepu internetowego na świecie. W 2022 roku, według statystyk BuiltWith, PrestaShop i WooCommerce są najpopularniejszymi silnikami open source dla sklepów internetowych w Polsce. Łącznie z ich wykorzystaniem działa w naszym kraju ponad 40 tysięcy e-biznesów.

Dlaczego strony i sklepy wykorzystujące open source interesują cyberprzestępców?

Wszystkie CMS-y oparte na open source mają wspólny mianownik. Łączy je sposób, w jaki są rozwijane po przez społeczność z całego świata. Deweloperzy dodają własne wtyczki i motywy do ogólnodostępnego repozytorium, z którego mogą korzystać inni użytkownicy. Na takich dodatkach opiera się większość funkcjonalności i struktura blogów, sklepów i innych stron. Jest to nieocenioną zaletą CMS-ów, ale ma też swoją ciemną stronę. Wtyczki i motywy nie zawsze są bez wad. Bardzo często włamania na strony internetowe odbywają się przy wykorzystaniu ich luk bezpieczeństwa.

Biorąc pod uwagę, że łącznie w Polsce jest ponad pół miliona stron CMS, skala zagrożenia wydaje się naprawdę istotna. Jeśli przestępca potrafi zidentyfikować lukę bezpieczeństwa we wtyczce, np. wykorzystywanej przez sklep internetowy, to kolejnym krokiem jest jego umyślne działanie w celu wyrządzenia szkody. Najczęściej jest to przejęcie dostępu nad sklepem. To już furtka do pozyskania częściowo zakodowanych poświadczeń z bazy danych – loginów czy haseł. Często przestępcy wstrzykują własny złośliwy kod lub ustawiają przekierowania, aby nieświadomy użytkownik skorzystał z linków dających przestępcom zysk. W tym czasie swój obrót traci oczywiście prawowity właściciel sklepu internetowego lub strony.

W przypadku CMS-ów o charakterze blogowym atak objawia się często w ten sposób, że w ramach strony masowo publikowane są spamerskie artykuły, wyrządzające duże szkody dla SEO danej witryny. Przestępca może nawet pójść krok dalej i zaprojektować atak phishingowy. Powstanie wtedy bliźniaczo podobny do oryginalnego serwis z fałszywą stroną logowania, mający na celu wyłudzanie danych klientów.

W przypadku dużych e-commerce’ów, magazynów blogowych czy stron znanych firm, znane są przypadki, że przestępcy żądają okupu za odzyskanie strony internetowej. I nie zdarza się to rzadko, co potwierdzają liczne raporty firm badających bezpieczeństwo w sieci.

Aktualizacje: czy to konieczne?

Ze statystyk wiemy, że piętą achillesową CMS-ów w zakresie cybersecurity są wspomniane wtyczki, motywy i dodatki, które możemy doinstalować do swojej strony. Więc niezależnie, czy mowa o CMS WordPress, czy PrestaShop – wszystkie wymagają od użytkownika, by dbał o aktualizacje. Mówimy tu o aktualizacji silników stron, ale również wtyczek oraz motywów. Niestety, zdarza się, że właściciele stron internetowych nawet nie mają pełnego dostępu do kokpitów administracyjnych swoich stron. Najczęściej wynika to z tego, że stronę  two-rzył im zewnętrzny specjalista, który po zakończeniu prac tymi dostępami się nie podzielił.

Z drugiej strony są także użytkownicy, którzy mają dostępu, ale w ogóle nie wchodzą w swój panel administracyjny. Bywa tak, że w momencie publikacji wersja premierowa strony działa świetnie. Często z upływem czasu okazuje się, że zaczynają się z nią dziać niepokojące rzeczy.

Pojawiają się dziwne fragmenty tekstu, przekierowania na niebezpieczne zewnętrzne witryny, a strona zaczyna długo się ładować. To wszystko wynika często z wprowadzenia złośliwego kodu przez osobę o złych zamiarach. Zdarza się, że cyberprzestępca nie musi się nawet za specjalnie starać, bo wykrywa luki w nieaktualnej wersji wspomnianych już wtyczek czy motywów. Aby zapobiec takim sytuacjom twórcy tych dodatków publikują  regularne aktualizacje.

To dlatego co jakiś czas na łamach serwisów technologicznych pojawiają się alerty z prośbą o przeprowadzenie aktualizacji wtyczki. Wniosek jest taki, że jeśli współpracujemy z osobą oddelegowaną do opieki nad witryną, powinniśmy upewnić się, czy takie aktualizacje są przez nią dokonywane. Jeśli sami sprawujemy pieczę nad swoim e-biznesem, starajmy się, aby nie zapominać o kokpicie administracyjnym w dniu premiery aktualizacji wtyczek. Zaglądamy na zaplecze swojego e-commercu lub bloga regularnie oraz obserwujemy, czy pojawiają się nowe aktualizacje.

Czy automatyczne aktualizacje są bezpieczne?

Trend niestety jest, jaki jest – duża część użytkowników nie zagląda do kokpitu administracyjnego witryny, gdy ta jest już opublikowana. Dlatego twórcy i społeczność starają się zachęcać do regularnych odwiedzin panelu poprzez różne kanały komunikacji, od artykułów po maile. Jednak, ponieważ nie jest to zbyt skuteczne, wprowadzono dość kontrowersyjną funkcjonalność, jaką jest automatyczna aktualizacja. Oznacza to, że open source i elementy, z których w ramach niego korzystamy, mogą aktualizować się automatycznie, gdy tylko wykryją nowszą wersję oprogramowania. Czy to rozwiązało problem bezpieczeństwa? I tak, i nie.

Faktycznie twórcom zależy na tym, aby użytkownicy korzystali z najnowszych wersji ich narzędzi. Ale wciąż pojawia się ryzyko, że jakaś aktualizacja zostanie wypuszczona z błędami. Nie są to tak częste sytuacje, jak włamania poprzez stare wersje wtyczek, ale ryzyko istnieje. Z reguły, w przypadku wypuszczenia aktualizacji z błędami, pojawia się pilny komunikat na stronie twórców dodatku. Czym prędzej wdrażana jest również przez nich kolejna iteracja aktualizacji, tak zwany „hotfix”. Ma ona na celu pilną poprawę krytycznych błędów ostatniej wersji oprogramowania.

Co zatem robić? Najlepiej jednak zaglądać do kokpitu CMS-a, przeprowadzać ręczną aktualizację wtyczki i sprawdzać, czy po aktualizacji wszystko w serwisie działa jak należy.

Open source? Tak, ale dbajmy o aktualność dodatków

Ogólnodostępne dodatki do CMS-ów open source są przydatne, ale miewają luki bezpieczeństwa. Ich ręczne aktualizacje pomogą zapobiegać awariom i atakom, ale pamiętajmy też, że w systemie możemy mieć zainstalowane nieaktualne i nieużywane wtyczki. Warto profilaktycznie co jakiś czas najzwyczajniej usuwać je z aplikacji.

Unikajmy też pluginów wysyłanych przez email czy hostowanych w darmowych serwisach z plikami – nie przechodzą one żadnej weryfikacji i nie podlegają kontroli. Aktualizujemy dodatki – najlepiej ręcznie, aby nasze strony i e-biznes nie były narażone na niepotrzebne niebezpieczeństwo.

Aktualizacje: czy to konieczne? 

Ze statystyk wiemy, że piętą achillesową CMS-ów w zakresie cybersecurity są wspomniane wtyczki, motywy i dodatki, które możemy doinstalować do swojej strony. Dlatego niezależnie, czy mówimy o CMS WordPress, czy PrestaShop – wszystkie wymagają od użytkownika, by dbał o aktualizacje. Mówimy tu o aktualizacji silników stron, ale również wtyczek i motywów. Niestety zdarza się się, że właściciele stron internetowych nawet nie mają pełnego dostępu do kokpitów administracyjnych swoich stron. Najczęściej wynika to z tego, że stronę tworzył im zewnętrzny specjalista, który po zakończeniu prac tymi dostępami się nie podzielił. Z drugiej strony są także użytkownicy, którzy mają dostępy, ale w ogóle nie wchodzą w swój panel administracyjny.

Bywa tak, że w momencie publikacji wersja premierowa strony działa świetnie. Często z upływem czasu okazuje się jednak, że zaczynają się z nią dziać niepokojące rzeczy. Pojawiają się dziwne fragmenty tekstu, przekierowania na niebezpieczne zewnętrzne witryny, a strona zaczyna długo się ładować. To wszystko wynika często z wprowadzenia złośliwego kodu przez osobę o złych zamiarach. Zdarza się, że cyberprzestępca nie musi się nawet za specjalnie starać, bo wykrywa luki w nieaktualnej wersji wspomnianych już wtyczek czy motywów.

Aby zapobiec takim sytuacjom twórcy tych dodatków publikują regularne aktualizacje. To dlatego co jakiś czas na łamach serwisów technologicznych pojawiają się alerty z prośbą o przeprowadzenie aktualizacji wtyczki. Wniosek jest taki, że jeśli współpracujemy z osobą oddelegowaną do opieki nad witryną, powinniśmy upewnić się, czy takie aktualizacje są przez nią dokonywane. Jeśli sami sprawujemy pieczę nad swoim e-biznesem, starajmy się, aby nie zapominać o kokpicie administracyjnym w dniu premier aktualizacji wtyczek. Zaglądajmy na zaplecze swojego e-commerce’u lub bloga regularnie i obserwujmy, czy pojawiają się nowe aktualizacje.  

Czy automatyczne aktualizacje są bezpieczne? 

Trend niestety jest, jaki jest – duża część użytkowników nie zagląda do kokpitu administracyjnego witryny, gdy ta jest już opublikowana. Dlatego twórcy i społeczność starają się zachęcać do regularnych odwiedzin panelu poprzez różne kanały komunikacji, od artykułów po maile. Jednak, ponieważ nie jest to zbyt skuteczne, wprowadzono dość kontrowersyjną funkcjonalność, jaką jest automatyczna aktualizacja. Oznacza to, że open source i elementy, z których w ramach niego korzystamy, mogą aktualizować się automatycznie, gdy tylko wykryją nowszą wersję oprogramowania. Czy to rozwiązało problem bezpieczeństwa? I tak, i nie. 

Faktycznie twórcom zależy na tym, aby użytkownicy korzystali z najnowszych wersji ich narzędzi. Ale wciąż pojawia się ryzyko, że jakaś aktualizacja zostanie wypuszczona z błędami. Nie są to tak częste sytuacje, jak włamania poprzez stare wersje wtyczek, ale ryzyko istnieje. Z reguły, w przypadku wypuszczenia aktualizacji z błędami, pojawia się pilny komunikat na stronie twórców dodatku. Czym prędzej wdrażana jest również przez nich kolejna iteracja aktualizacji, tak zwany „hotfix”. Ma ona na celu pilną poprawę krytycznych błędów ostatniej wersji oprogramowania. 

Co zatem robić? Najlepiej jednak zaglądać do kokpitu CMS-a, przeprowadzać ręczną aktualizację wtyczki i sprawdzać, czy po aktualizacji wszystko w serwisie działa jak należy.  

Open source? Tak, ale dbajmy o aktualność dodatków

Ogólnodostępne dodatki do CMS-ów open source są przydatne, ale miewają luki bezpieczeństwa. Ich ręczne aktualizacje pomogą zapobiegać awariom i atakom, ale pamiętajmy też, że w systemie możemy mieć zainstalowane nieaktualne i nieużywane wtyczki. Warto profilaktycznie co jakiś czas najzwyczajniej usuwać je z aplikacji. Unikajmy też pluginów wysyłanych przez email czy hostowanych w darmowych serwisach z plikami – nie przechodzą one żadnej weryfikacji i nie podlegają kontroli. Aktualizujmy dodatki – najlepiej ręcznie, aby nasze strony i e-biznes nie były narażone na niepotrzebne niebezpieczeństwo. 

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności