Miksi WordPress-sivustoja hakkeroidaan?

Monesti painotan omille asiakkalleni tietoturva-asioita ja sitä, kuinka tärkeätä on huolehtia sekä ennaltaehkäistä asioita. Tässä vaiheessa herääkin usein myös asiakkaiden suunnalta kysymyksiä, että miksi?

Kaikki on varmasti kuulleet kauhutarinoita hakkeroiduista sivustoista. Forbes julkaisi taannoin artikkelin missä tuotiin esille, että päivässä ilmestyy noin 30 000 haittakoodia levittävää sivustoa. WordPress oli aina tämän artikkelin kuumassa keskipisteessä.

Mutta miksi? Miksi täytyy asentaa useita eri järjestelmiä pitämään hakkerit ulkona? Miksi täytyy osata konfiguroida asennukset turvallisuussyistä? Miksi hakkerit kohdistavat hyökkäyksensä enemmän WordPressiin kuin muihin verkkosivuihin?

Kysymys voi oikeastaan tarkoittaa kahta asiaa, ja aion tässä vastata niihin molempiin.

Mikä motivaatio hakkereilla on verkkosivujen hakkerointiin?

Tavallisen tallaajan voi olla vaikea ymmärtää, miksi hakkerit edes haluaisivat murtautua pikku blogiisi, jossa myyt käsintehtyä saippuaa. Olenko oikeassa?

Pääsyitä on kolme.

  1. He haluavat käyttää sitä lähettämään spämmiviestejä sähköpostilla.
  2. He haluavat päästä käsiksi tietoihisi, postituslistaasi, luottokorttitietoihin, jne.
  3. He haluavat päästä käsiksi sivustoosi ja saada sen lataamaan haittaohjelmia loppukäyttäjäsi koneelle tai asentaa haittaohjelmia käytettäväksi sivustollasi.

Tämä viimeinen vaihtoehto on kaikkein hämmentävin. Haittaohjelmia voidaan asentaa käytettäväksi sivustollasi, ja se voidaan asentaa niin, että käyttäjiesi koneille asennetaan asioita heidän tietämättään.

Yksi tyypillinen käyttötarkoitus tällaiselle hyökkäykselle on mahdollistaa suuremman luokan hyökkäyksiä. Kunnon palvelunestohyökkäyksen tekeminen vaatii valtavan määrän koneita. Sinun hakkeroitu sivustosi saattaa olla yksi niistä. Tai ehkä hakkeri on kohdistanut hyökkäyksensä toiseen toimijaan ja käyttää sinun verkkosivustoasi (tai käyttäjiesi omia tietokoneita) välietappeina suojaamaan oman selustansa.

Joka tapauksessa, nämä ovat pääsyyt hakkereiden hyökkäyksiin. (Tai he ovat tylsistyneitä 13-vuotiaita, joista on siistiä esitellä koulussa rikottua sivustoasi – jep, niinkin on käynyt.)

Miksi hakkerit kohdistavat iskunsa erityisesti WordPressiin?

Lyhyt vastaus? Koska se on hyvin suosittu.

Ajattele asiaa hetki hakkerin kannalta. Jos haluat ottaa haltuun monia verkkosivuja omiin, pahoihin tarkoituksiisi, käyttäisitkö kaiken aikasi yrittämällä löytää heikkouksia alustalta, jota käyttää 500 verkkosivustoa, vai yrittäisitkö rikkoa alustan, jolla on satoja miljoonia sivustoja? Koska WordPress on niin laajasti käytetty, se on hakkereiden kohteena erittäin suosittu.

Vaikka WordPressin ydin on yleensä hyvin turvallinen, WordPressissä on myös modulaarinen alusta – sitä voidaan laajentaa monilla tavoin erilaisilla teemoilla ja liitännäisillä. Koska kuka tahansa voi luoda/kehittää lisäosia sekä teemoja WordPressille, on mahdollista, etteivät kaikki laajennukset ole samantasoista koodia kuin WordPressin ydin. On mahdollista, että hyvinkin suositussa liitännäisessä on turvallisuusongelmia, jotka voivat vaikuttaa tuhansiin WordPress-sivustoihin kerralla.

Suosionsa vuoksi, WordPress on uskomattoman suosittu alusta niin hakkereille kuin turvallisuuden tutkijoillekin.

Totuus on kuitenkin, että koodin avoin luonne on myös sen vahvuus. Se mahdollistaa valkohattuisten hakkereiden löytää hyväksikäyttäjiä ja raportoida heitä helposti, jotta aukot voidaan paikata. Siksi kenen tahansa, jolla on halu auttaa, on mahdollista parantaa turvallisuutta pitkällä aikavälillä. Siksi kolmannet osapuolet voivat luoda yhä vahvempia turvallisuusratkaisuja, jotka voidaan vain asentaa suoraan WordPressin päälle.

Miten voin ennaltaehkäistä haittatekijöitä?

WordPressin ydin on itse asiassa hyvin turvallinen ohjelmisto. Voit vielä itse parantaa sen turvallisuutta noudattamalla muutamia, yksinkertaisia käytäntöjä. Kuten sitä, ettei sivustollasi ole käyttäjää nimeltä ’admin’. Toinen asia on pitää itse WordPress, lisäosat ja teemat ajantasalla – eli huolehdittava näihin säännöllisesti tarjottavien päivityksien ajosta – tämä onnistuu hallintapaneelin kautta päivitykset –osiosta.

WordPressillä on oma hyvä artikkelinsa WordPressin vahvistamisesta johon kannattaa tutustua.

Muita turvallisuustoimenpiteitä, joita voit tehdä:

Jos olet käynyt läpi julkaisun WordPressin vahvistamisesta ja tehnyt useimmat heidän mainitsemistaan asioista, mutta haluat olla erityisen varma sivustosi turvallisuudesta, on olemassa muutamia muitakin hyviä toimia, joita tehdä.

Ennen uuden liitännäisen asentamista, tarkista se varmistaaksesi, ettei siinä ole mitään tunnettuja tai korjaamatta jääneitä ongelmia. Sinun ei kuitenkaan tarvitse luopua liitännäisestä, jolla on ollut heikkouksia – useimmissa parhaista liitännäisistä on ollut muutamia.

Sinun täytyy löytää tasapaino turvallisuuden ja käytännöllisyyden välillä – on lähes mahdotonta varmistaa, että kaikki olisi 100% turvallista kaiken aikaa. Ja, mitä suositumpi liitännäisesi on, sitä useammat yrittävät löytää siitä pieniä haavoittuvaisuuksia (koska mitä useampi sivusto on liitännäisen asentanut, sitä isomman verkoston hakkeri saa, onnistuessaan hakkeroimaan liitännäisesi).

Voit myös hankkia ulkopuolista apua. Jotkut yritykset keskittyvät vain turvallisuuteen (ja he ovat loistavia siinä, mitä tekevät – niiden huippulaatuiset palvelut ovat ehdottomasti vuosilaskutuksen arvoisia). Hosting-yrityksesi saattaa myös tarjota jonkin tasoista turvallisuutta, skannaten sivustoasi viruksilta ja jopa poistaen haittaohjelmia puolestasi. Sitten on palveluita, kuten omani, www.sitefix.fi (WordPress ylläpito), joka hallinnoi sivustoja kokonaisvaltaisesti ja jonka palvelupaketti pitää sisällään turvallisuusauditoinnin ja vahvistamisen.

Jos olet yrittäjä ja sivustosi todella tuottaa, tällaisen palvelun kustannukset tulevat yleensä katetuksi jo säästämälläsi ajalla, kun sinun ei itse tarvitse pysyä ajan tasalla viimeisimmistä ongelmista ja parhaista käytännöistä.

HTTPS & SSL Sertifikaatti, miksi niin tärkeä?

Tietoturvan merkitys on todella kovassa kasvussa ja tärkeässä roolissa tämän päivän yritysmaailmassa – itseasiassa sen rooli on isompi kuin koskaan aiemmin. Olit sitten pienyrittäjä tai isomman verkkokaupan omistaja, Sitefix suosittelee vahvasti hankkimaan SSL sertifikaatin sivustolle. Tässä artikkelissa käsitellään perustiedot ja toimintaperiaatteet HTTP ja HTTPS:n välillä sekä HTTPS:n tuomat hyödyt liittyen liiketoimintaan ja kotisivuihin.

Ensimmäinen ero HTTP / HTTPS välillä on erittäin merkittävä. Käyttäessäsi HTTP protokollaa, sivuston ja käyttäjän välistä yhteyttä ei suojaa tai salaa mikään – se on kuin avonainen ovi, joka mahdollistaa monet haittatekijät mukaan kanssakäymisiin. Tässä tapauksessa esimerkiksi haittatekijä voisi anastaa sivustosi arkaluonteiset tiedot ja myös sivustoa selaavan asiakkaan tiedot.

HTTP protokolla ei ole kiinnostunut tietoturvasta, sillä sen ainoa tehtävä on näyttää kotisivuilla oleva data vierailevan tahon päätteellä – tätä protokollaa ei oikeastaan kiinnosta ollenkaan kuin data kulkee pisteestä A pisteeseen B. Haluatko siis lähettää ja vastaanottaa dataa ilman suojaa tänä päivänä?

Kuinka HTTP siis toimii?

HTTP protokollan kuvaus

HTTP:tä käytettäessä siellä liikkuva data ei ole mitenkään suojattu eikä salattu ja täten mikä tai kuka tahansa kolmas osapuoli voi halutessaan päästä sivusta seuraamaan hyvinkin tarkasti liikkuvaa dataa.

HTTPS toimii taas hieman eri protokollalla, nimittäin SSL:llä. Se varmistaa, että palvelimen ja selaimen välinen data liikkuu ongelmitta, salattuna ja suojattuna.

HTTPS & SLL Sertifikaatin toiminta

HTTPS salaus ja suojaus

Kuinka SSL protokolla siis toimii? Tässä on järjestys asioista, joita tapahtuu silloin kun avaat HTTPS sivuston.

  1. Selaimesi muodostaa yhteyden sivustoon, joka käyttää SSL protokollaa
  2. Selaimesi pyytää sivuston palvelinta esittäytymään
  3. Sivuston palvelin vastaa takaisin esittämällä SSL sertifikaatin
  4. Selaimesi tarkistaa SSL sertifikaatin luotettavuuden. Mikäli se on hyvä, selaimesi lähettää ilmoituksen palvelimelle.
  5. Sivuston palvelin lähettää digitaalisesti allekirjoitetun pyynnön aloittaa SSL istunnon
  6. Tässä kohtaa https ilmestyy osoiteriville ja salattu sekä suojattu data alkaa liikkumaan selaimen ja sivuston palvelimen välillä

Tämä on siis se kohta, milloin sinun tulisi kysyä itseltäsi: Haluanko lähettää henkilökohtaisia tietoja pisteestä A pisteeseen B salattuna sekä suojattuna vai haluanko lähettää sen avoimesti HTTP:n välityksellä?

Seuraava etu on myös merkittävä. HTTPS on yksinkertaisesti nopeampi kuin HTTP. Epäiletkö tätä väitettä? Ei se mitään, niin moni muukin. Kokeile kuitenkin tästä nopeustesti HTTP / HTTPS:n välillä ja katso itse.

Mikä on SSL Sertifikaatti?

SSL sertifikaatti yksinkertaisesti viestittää sivustollasi vieraileville tahoille, asiakkaillesi, että tämän lähettämä data sivuston suuntaan salataan sekä suojaan. SSL sertifikaatti luo heti luottamuksen tunteen, sillä useimmat selaimen tänä päivänä indikoivat varsin mallikkaasti luotettavan sivun ja SSL:n tuomat hyödyt.

Mites kustannuspuoli ja vaihtoehdot?

SSL sertifikaatin hinta riippuu hyvin pitkälti tähän liitetyistä ominaisuuksista, joita SSL palveluntarjoajat tarjoavat. Hinnat liikkuvat yleisesti noin 50€ – 400€ välillä. Hinnat eivät siis päätä huimaa ja tällä tavoin kaikilla pitäisi olla varaa tähän. Nopea googlaus antoi seuraavia vaihtoehtoja hinnoista / tarjoajista:

Symantec
Yksi tunnetuimmista ja luotetuimmista SSL sertifikaattien tarjoajista.

Hinnat alkaen 399€ / vuosi.

Comodo
Erittäin luotettava SSL tarjoaja, joka tarjoaa laadukkaita sertifikaatteja kilpailukykyiseen hintaan. Comodolta saa myös ilmaisen SSL sertifikaatin, joka on voimassa 90 päivää.

Network Solutions
Myöskin todella luotettava SSL tarjoaja, jonka hinnat sijoittuvat 59,99€ – 399,50€ välille vuositasolla.

GoDaddy
Maailmanlaajuisesti tunnettu yritys web-tuotteiden ja verkkotunnusten puolelta. GoDaddy tarjoaa myös laadukkaita ja  hinnaltaan kilpailukykyisiä SSL sertifikaatteja.

SSL Sertifikaatti ilmaiseksi?

Ilmainen SSL sertifikaatti

Internet Security Research Group (ISRG) ylläpitoo palvelua ”Let’s Encrypt”. Tämä on avoimen sertifikaatin toimija, joka myöntää SSL sertifikaatteja täysin veloituksetta. Tavoitteena tällä ryhmällä on luoda Internetistä yksinkertaisesti turvallisempi paikka ja tämän takia ryhmä tarjoaa digitaalisia sertifikaatteja täysin veloituksetta ja erittäin yksinkertaisella tavalla.

Kuten aikaisemmin mainittiin – myös Comodo tarjoaa ilmaisen sertifikaatin 90 päivän ajaksi.

Yhteenveto

Surffaillessasi verkossa, kiinnitä huomioita sivustojen salauksiin ja suojauksiin. Harkitse vakavasti SSL sertifikaatin hankkimista omalle sivustolle ja mikäli näin teet, suosittelen tiedottamaan asiasta julkisesti -> asiakkaasi arvostavat varmasti elettäsi.

ps. Sitefix.fi sivustolla kaikki data on suojattu sekä salattu HTTPS protokollaa käyttäen SSL sertifikaatin kanssa.