31.10.2013

WordPressin tietoturvan parantaminen

WordPress on maailman suosituin julkaisujärjestelmä. Lähes 60 % sellaisista sivustoista, joilla on käytössä joku julkaisujärjestelmä on tehty WordPressillä. Perässä hiipuvat Joomla! (9,4 %), Drupal (5,7 %), Blogger (3,4 %) ja Magento (2,6 %).

WordPress on loistava ja helppokäyttöinen julkaisujärjestelmä niin suunnittelijoille, kehittäjille kuin sivustoa päivittävillekin. Se on maailmalla ja Suomessakin käytössä useilla suosituilla sivustoilla, kuten CNNStara.fi, ja Rantapallo.fi.

WordPress ohitti Joomlan suosiossa jo vuonna 2008. Blogialustana aloittanut WP kasvatti nopeasti suosiotaan, kun ihmiset halusivat alkaa kirjoittamaan omia blogeja ja tuottamaan nettiin sisältöä - varsinaiset julkaisujärjestelmät koettiin vieraiksi. Open Source -ohjelmistona sille oli helppo tehdä uusia ulkoasuteemoja, lisäosia ja toiminnallisuuksia lisääviä laajennoksia, jotka lisäsivät alustan suosiota entisestään.

WordPressiä pidettiin pitkään erittäin turvallisena julkaisujärjestelmänä, koska siitä ilmestyi jatkuvasti uusia versioita, jotka paikkasivat koodista löydettyjä haavoittuvuuksia. Mutta ihmiset eivät päivittäneet ja koodarit eivät piitanneet.

Samalla, kun WP:n suosio kasvoi, kasvoivat myös sitä kohtaan tehdyt hyökkäykset. Hakkerit etsivät ja löysivät WP:stä haavoittuvuuksia, jakoivat niitä toisilleen ja hakkerien botit surffasivat ympäri nettiä etsimässä blogeja ja muita sivustoja, joissa oli reikiä.

Ennen vanhaan hakkerit tyytyivät poistamaan sivustolla olevan sisältön ja/tai tyhjentämään tietokannan ja tuulettamaan onnistumistaan lätkäisemällä etusivulle leetspeakilla kirjoitetun "Hacked by..." -tarran.

Nykyään hakkerit käyttävät sivustoja omiin tarkoituksiinsa:

  • Muuttaa tai lisätä sivustolle roskasisältöä, kuten mainoksia ja linkkejä
  • Kaapata sivuston kävijäliikenteen toiselle sivustolle
  • Kalastella käyttäjiltä esim. luottokorttitietoja
  • Päästä käsiksi henkilökohtaiseen tietoon
  • Päästä käsiksi käyttäjien tietoihin
  • Lisätä sivustolle haittaohjelmia
  • Hyökätä jokaisen sivustolla kävijän tietokoneelle

Useimmissa sivustojen hakkerointitapauksissa tekijänä ei ole ihminen, vaan ihmisen liikkeelle laittama botti, joka skannaa webissä olevia sivustoja etsien niistä haavoittuvuuksia.

Yksinkertaisimmillaan botti etsii sivustolta käyttäjätunnuksia ja alkaa järjestelmällisesti kokeilemaan käyttäjätunnus-salasana -yhdistelmiä kirjautumislomakkeelle, kunnes pääsee luvattomasti sisälle. Tämän jälkeen botti voi jatkaa työtään tai ilmoittaa onnistuneesta murtautumisesta isännälleen.

Yksi tyypillisin bottityyppi on tunnettuja haavoittuvuuksia etsivät botit, jotka hakemistopolkuja kokeilemalla tai lähdekoodia tutkimalla selvittävät onko sivustolla käytössä tunnettuja haavoittuvuuksia sisältävää koodia. Kun ne löytävät tällaisen koodin ne pääsevät helposti murtautumaan sivustolle. Eräs tällainen oli vuonna 2011 suositusta kuvien kokoa automaattisesti muuttavasta TimThumb-lisäosasta löytynyt haavoittuvuus, joita hakkerit etsivät aktiivisesti vielä tänäkin päivänä.

Toinen yleinen vitsaus ovat niin sanotut SQL-injektiot, joissa hyökkääjä pääsee antamaan tietokantapalvelimelle luvattomia SQL-komentoja esim. huonosti koodatun lomakkeen kautta. SQL-injektioiden kautta hyökkääjät voivat luoda, lukea, muuttaa tai tuhota mitä tahansa tietokannassa olevaa dataa. Impervan vuonna 2012 tekemän tutkimuksen (pdf) mukaan web-applikaatioita kohtaan kohdistuu injektio-tyyppinen hyökkäys noin neljä kertaa kuukaudessa.

WordPress ei huolehdi tietoturvastaan itse

WordPressistä lokakuussa 2013 ilmestynyt versio 3.7 toi mukanaan odotetun ja positiivisen yllätyksen. Tästä versiosta eteenpäin WordPress päivittää automaattisesti itsensä ja korjaa samalla uusimmat havaitut haavoittuvuudet.

Päivitys koskee kuitenkin vain julkaisujärjestelmää - se ei korjaa vanhentuneita teemoja (pl. WP:n oletusteemat), lisäosia tai laajennoksia, jotka joutuu myös jatkossa päivittämään manuaalisesti.

Uusimmatkaan versiot eivät aina suojaa kaikilta tietoturvauhkilta. WordPressin tietoturvassa on otettava huomioon myös salasanojen vahvuus, palvelimen, tietokantapalvelimen ja tietoverkon haavoittuvuudet, FTP-yhteyden salaus, tiedostojen oikeudet ja monet muut seikat, joita hakkerit voivat hyödyntää sivuille tunkeutuessaan.

Miten hakkeroinneilta voi suojautua?

  • Käytä turvallisia salasanoja, jotka ovat vähintään 10 merkkiä pitkiä, sisältävät pieniä ja isoja kirjaimia, numeroita sekä erikoismerkkejä.
  • Vaihda salasana niin usein kuin mahdollista.
  • Ota säännöllisesti varmuuskopio koko sivustosta, myös tietokannasta. Toimenpiteen voi myös automatisoida.
  • Päivitä WordPress, ulkoasuteemat, lisäosat ja skriptit aina uusimpiin versioihin.
  • Asenna hyvä tietoturvalisäosa.
  • Jos käyttäjätunnuksesi on admin, vaihda se.
  • Tee suositellut toimenpiteet WordPress-asennuksen tietoturvan parantamiseksi.
  • Kerää lokitietoja ja monitoroi sivustolla tapahtuvia muutoksia ja kävijäliikennettä.
  • Rekisteröidy Googlen Verkkovastaavan työkaluihin, niin saat heti sähköposti-ilmoituksen kun Google huomaa sivustolla haittaohjelmia tai muuta epämääräistä.
  • Käytä tarvittaessa myös muita ulkopuolisia palveluita.

Tarvitseko apua WordPress-sivustosi tietoturvan parantamisessa? Voimme auttaa mm. näissä asioissa:

  • Paljastavien tietojen ja versionumeroiden piilottaminen lähdekoodista
  • Automaattisten varmuuskopioiden ottaminen halutuin väliajoin. Varmuuskopion voi lähettää ajoitettuna myös sähköpostitse
  • Ohjausnäkymän piilottaminen kokonaan tai esim. tiettyinä kellonaikoina
  • Tunnettujen haitallisten hostien ja user agenttien pääsyn estäminen kokonaan.
  • Brute-force -hyökkäysten estäminen
  • Haavoittuvuuksia etsivien bottien estäminen
  • Pitkien URL-osoitteiden skannauksen estäminen
  • Käyttäjätunnuksen, käyttäjä-ID:n ja salasanan vaihtaminen

Ota yhteyttä lomakkeella tai soita 045 677 1508 / Jukka.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Pyydä ilmainen tarjous!

Kuvaile mahdollisimman tarkasti, mitä tarvitsette ja pyydä ilmainen tarjous.