Nettisivut hakkeroitu, mitä tehdä?
Avaat selaimesi ja vierailet yrityksesi tai henkilökohtaisilla nettisivuillasi. Ikäväksi yllätyksesi paljastuukin mustalla taustalla oleva huppupäinen hahmo ja neonvihreällä komeilee teksti ”Hacked by hackerz” tai jotain muuta vastaavaa. Mitä on tapahtunut? Onko sivustoni jollain tavalla saastunut?
Kirjoittaja
Jussi Tuoma
Full Stack Developer
WordPress on maailman suosituin julkaisujärjestelmä. Sillä on tällä hetkellä yli 25% markkinaosuus kaikista nettisivuista ja lähes 60% osuus kaikista julkaisujärjestelmistä (w3techs.com statistiikka). Suosio vetää puoleensa myös pahantekijöitä, koska laajempi yleisö tarkoittaa enemmän potentiaalisia kohteita.
Miksi nettisivuja hakkeroidaan?
WordPress sivujen hakkeroinnissa ei läheskään aina ole kyse juuri minkäänlaisesta hyödystä vaan siitä, että päivittämättömien sivustojen valtaaminen on suhteellisen helppoa ja joidenkin mielestä hauskaa. Joissain tapauksissa voidaan nettisivu laittaa jakamaan haittaohjelmia kävijöiden koneelle ja sitä voidaan käyttää esimerkiksi kiristämisessä, jolloin kohteelta voidaan vaatia lunnaita eli ihan oikeaa rahaa. Joka tapauksessa emme ole kiinnostuneet tarkoitusperistä vaan siitä että emme ole potentiaalinen kohde.
Miten hakkerointi tapahtuu?
Syynä on lähes aina päivittämätön julkaisujärjestelmä tai sen lisäosa. Kuvitellaan että olet ladannut WordPress sivustoosi ilmaisen lisäosan, jonka avulla pystyt tekemään yhteydenottolomakkeen. Kuukauden kuluttua lisäosan kehittäjä tai vaikkapa yksittäinen harrastaja huomaa että lisäosassa on tietoturva-aukko, jonka avulla voidaan ottaa sivusto haltuun. Lisäosan kehittäjä korjaa vian ja julkaisee uuden version lisäosasta. Tässä vaiheessa sinun tehtäväsi on päivittää lisäosa tai muutoin olet altis hyökkäykselle.
”Hakkeroinnin syynä on lähes aina päivittämätön julkaisujärjestelmä tai sen lisäosa”
Useissa tapauksessa mitään päivittämistä ei tapahdu. Oletuksena on että WordPress ei itse päivitä kolmannen osapuolen lisäosia, koska se ei voi tietää miten ne vaikuttavat sivuston toimintaan. Automaattiset päivitykset voi kyllä laittaa päälle, mutta usein päivittämistä venytetään, koska ei joko tiedetä kuinka päivitetään tai pelätään että sivusto ei enää toimi niin kuin ennen ja sitä joudutaan korjaamaan.
Perus WordPress-asennus ilman mitään lisäosia ja teemoja on turvallinen. Usein WordPressin kohdalla kyse on kolmannen osapuolen aiheuttamasta aukosta ja uutiset käsittelevät sen WordPress-haavoittuvuutena. Sitähän se on, mutta vain siitä syystä että kehittäjä ei ole ollut selvillä lisäosan tietoturvallisuudesta. Toki perusasennuksessakin voi olla tietoturva-aukkoja, mutta ne paikataan usein hyvin nopeasti ja automaattisesti.
”Sinun on hoidettava julkaisujärjestelmän päivityksestä itse tai ulkoistaa se ammattilaisille. Ulkoistettu ylläpito hoitaa varmuuskopioinnin ja päivitykset puolestasi.”
Myös lisäosien laadut vaihtelevat. WordPressiin löytyy tuhansia lisäosia, jotka ovat niin ammattilaisten kuin harrastelijoiden tekemiä. Laadukkaat lisäosat yleensä tunnistaa joko niiden suosiosta tai päivitysten tiheydestä. Toki suosituissakin lisäosissa saattaa olla aukkoja.
Entä jos tavara on jo niin sanotusti housuissa?
Jos sivustosi on jo hakkeroitu on toivottavaa että siitä löytyy jostain varmuuskopio. Kun hyökkääjä pääsee palvelimelle niin sinne ilmestyy yleensä lukuisia niin sanottuja takaovia (eng. backdoor), joiden kautta hyökkääjä pääsee sisään uudestaan mikäli alkuperäinen haavoittuvuus paikataan. Ei siis riitä että järjestelmä kokonaisuudessaan päivitetään hyökkäyksen jälkeen. Paras keino siivota järjestelmä on palauttaa siitä löytyvä varmuuskopio ja päivittää se.
Entä jos varmuuskopiota ei löydy?
On toki mahdollista että tiedostot tarkastetaan yksi kerrallaan haitallisen koodin varalta, mutta se on aikaavievää ja kallista. Helpompaa on päätellä mitkä tiedostot ovat todennäköisesti saastuneita. Niistä voidaan etsiä yleisesti käytettyjä tekniikoita haitallisessa koodissa, tarkastella muokkauspäivämääriä tai voidaan tutkia palvelimen lokia, josta nähdään kutsutaanko jotain palvelmilla olevaa tiedostoa suoraan. Mikään näistä menetelmistä ei ole 100% varma, joten lähtökohtaisesti varmuuskopio on ainoa tapa palauttaa sivusto alkuperäiseen tilaan. Sivusto voidaan myös rakentaa uudestaan paremmilla tekniikoilla joilla vältytään vastaavilta ongelmilta jatkossa. Myös kaikki salasanat ja salausavaimet on syytä vaihtaa.
Miten vältyn jatkossa hakkeroinnilta?
Sinun on hoidettava julkaisujärjestelmän päivityksestä itse tai ulkoistaa se ammattilaisille. Ulkoistettu ylläpito hoitaa varmuuskopioinnin ja päivitykset puolestasi. Tietoturva kiinnostaa meitä kaikkia, oli sitten sovelluksen kehittäjä tai sen käyttäjä. Keskustellessani kollegoideni kanssa erilaisista web-alustoista lähes poikkeuksesta nousee esiin ennakkoluulo WordPressin huonosta tietoturvasta.