Mitä tapahtuu, jos verkkosivunne hakkeroidaan?
Mitä voi käytännössä tapahtua? Onko riski suuri, vaikka kyseessä olisivat itsenäiset sivut ilman integraatioita järjestelmiinne?
Kuinka realistista on, että hakkeri myös muokkaisi sivustonne sisältöä esim. epäkorrektiksi?
Tässä tekstissä suomennamme uhkia ja suojautumiskeinoja. Mukana on vertailu suojauskeinojen tehokkuudesta.
Tuttu fakta ensin. Ainoa 100 % varma keino suojautua verkkosivujen hakkeroinnilta on ”töpselin vetäminen seinästä” eli palvelimen internet-yhteyden katkaisu.
Entä nykyhakkerin profiili? Lahjakas nörtti, joka murtautuu tietokoneensa avulla yksittäiseen verkkopalveluun?
Tuskin. Todennäköisemmin joukkovaikutusta kalastava taho, joka on valjastanut bottiverkon etsimään tietoturva-aukkoja massoista verkkopalveluita.
Verkkosivujen hakkerointi on aiheiltaan laaja kuin aasialainen piraattituotteiden tori, josta meille riittää yksi ”tuoteryhmä” yleiskuvan saantiin.
Miten hakkeri iskee?
Alkuun sieltä, missä uhka todennäköisimmin realisoituu, eli WordPress-sivustoista. WP:n päällähän pyörii eri lähteiden mukaan hieman alle tai yli puolet kaikista verkkosivustoista.
WP itse ei ole suuri uhka, vaan vanhentuneet ja suojaamattomat kolmannen osapuolen lisäosat eli pluginit. Lisäosathan ovat ohjelmistoja, joilla laajennetaan WP:n toiminnallisuutta esimerkiksi lomaketoiminnoinnoilla, verkkokaupalla, tietoturvalla tai SEO-optimoinnin työkalulla.
Mikä osa WP-sivujen tietoturva-aukoista sitten on lisäosien syytä? Varmaa faktaa on vaikea löytää, mutta osuus on eri lähteiden mukaan ollut viime vuosina yli 50 %, joidenkin mukaan selvästi yli 90 %.
Lisäksi uhka kasvaa. WordFencen tietoturvaraportin mukaan WordPressin lisäosista löydettiin vuonna 2023 yli kaksinkertainen määrä haavoittuvuuksia verrattuna vuoteen 2022. WordFence itse on WP:n suosituimpia tietoturva-lisäosia.
Myös joistakin WordPressin teemoista on löytynyt aukkoja, mutta WP:n ydinohjelmisto on pysynyt melko turvallisena, joskaan ei aivan aukottomana.
Lisäosat ovat se iso ongelma tyypillisesti silloin, kun niitä ei päivitetä säännöllisesti. Siksi lisäosan toteuttajan maine ja resurssit sekä lisäosan kehityshistoria olisi syytä varmistaa ennen osan asennusta. Kehitysresurssit ovat tärkeitä, sillä jos lisäosaa ei kehitetä, myöskään sen tietoturvaa ei kehitetä. Ja sen jälkeen olisi syytä varmistua siitä, että lisäosien päivittämisestä huolehditaan sivustollanne.
Uhkaskenaariot ja yrityksen maine
Jos et tunne aihetta, älä lue seuraavaa stressaantuneena. Kuppi kahvia ja rauhallinen mieli toimivat. Kauhuskenaarioita nimittäin riittää.
Otetaan käsittelyyn ”suosituin haavoittuvuus” XSS eli Cross-Site Scripting, joka kattaa karkeasti arvioituna puolet kaikista uusista haavoittuvuuksista.
Toki hakkeri voi hyödyntää vaikka WordPressin XML-RPC-rajapintaa, heikkoja salasanoja tai montaa muutakin mahdollisuutta, mutta tässä tarinassa sivustolta löytyy XSS-aukko.
Aukon ansiosta sivustolle upotetaan haittakoodi. Sen jälkeen päästäänkin konkretiaan mahdollisissa seurauksissa mm. yrityksen maineelle.
1. Asiakkaillenne isoja ongelmia
Jos haittakoodi päätyy verkkosivuillenne, se voidaan suorittaa ainakin heikolla tietoturvalla surffaavien sivustonne vierailijoiden selaimissa ja laitteissa.
Se voi yrittää varastaa selaajan henkilökohtaisia tietoja, esim. salasanoja ja henkilötietoja. Koodista riippuen se voi antaa hakkerille pääsyn selaajan tietokoneelle, poistaa sieltä tiedostoja tai vaurioittaa niitä. Tai se voi asentaa ohjelmia, jotka näyttävät asiakkaallesi ei-toivottuja mainoksia tai seuraavat hänen toimintaansa verkossa.
Pelätyin skenaariokin on mahdollinen – haittakoodi voi lukita asiakkaasi tietokoneen ja vaatia maksua sen avaamiseksi.
2. Identiteettivarkauden eväät
Sivustollenne voidaan liittää ”huijauslomakkeita”, jotka keräävät käyttäjien syöttämiä tietoja, kuten henkilötiedot tai luottokortin tiedot (koskee WP:n yhteydessä erityisesti WooCommerce-kauppoja).
Mahdolliset seuraukset: identiteettivarkaudet ja petokset.
3. Brändiviestinne muutos esim. poliittiseksi julistukseksi
Hyökkääjä voi muokata verkkosivunne sisältöä näyttämään väärää tietoa, täysin automatisoidusti osana automatisoitua hyökkäystä. Millaista? Juuri sellaista, jota hyökkääjä haluaa esittää, mutta sinä todennäköisesti et.
4. Google-kysyntänne loppu
Skripti voi esim. upottaa WordPressin tietokantaan esim. uusia blogiartikkeleita, joissa on haitallisia linkkejä tai uudelleenohjata käyttäjän haitalliselle sivustolle.
Seuraus: Google ja muut hakukoneet havaitsevat haitallisen sisällön ja merkitsevät sivuston vaaralliseksi. Ranking-sijoituksenne hakutuloksissa ovat historiaa. Hakukoneiden kautta saatava orgaaninen liikenne ja kysyntä romahtavat.
5. Sivustostanne ”spammikone”
Haittakoodi voi muuntaa WordPressinne roskapostin lähettäjäksi, jolloin domaininne nimissä voidaan lähettää roskapostia. Murretut WP-sivustot lienevät maailmanlaajuisesti yksi suurimmista roskapostin lähetyslähteistä.
Muitakin hyökkäystyyppejä ja keinoja riittää. Yrityssivuston tapauksessa mikään niistä ei varsinaisesti kirkasta yrityksen mainetta.
Ja huono maine leviää hyvin paljon tehokkaammin kuin hyvä maine – kuten negatiiviset asiat positiivisiin verrattuna. Tästä paljonkin tietoa, lähtien käyttäytymistieteistä ja siitä, että esi-isillemme oli aikanaan selviämisen kannalta oleellisempaa reagoida uhkiin ja vaaroihin kuin hyviin uutisiin.
Evoluutio ole ehtinyt vielä päivittää aivojamme digiaikaan, joten tartumme ”uhkiin” yhä. Esimerkiksi MIT:t (Massachusetts Institute of Technology) tutkimus vuodelta 2018 osoitti, että silloisessa Twitterissä tyypillisesti negatiiviset valeuutiset levisivät paljon nopeammin kuin positiiviset tai neutraalit uutiset. Niitä uudelleen twiitattiin 70 % todennäköisemmin kuin positiivisia tai neutraaleja uutisia.
Maine menee siis helposti, jopa syyttä, mutta verkkosivujen osalta sitä voi suojata melko helposti.
Kuinka tehokkaita verkkosivun suojauskeinot ovat?
Jotta vastaukseen saadaan hieman otantaa, kysytään Copilotilta ja ChatGPT:ltä, joiden ilmoittamat lähteet löytyvät jutun lopusta.
Kysymys C:lle & C:lle
Kerro taulukkomuodossa seuraavien keinojen suojausvaikutus lyhyesti ja vertaa riskin vähentymistä prosentteina, siis paljonko kukin keino vähentää riskiä WordPress-sivujen murtamiseen/hakkerointiin. Keinot: Säännölliset päivitykset, vahvat salasanat, kaksivaiheinen tunnistus, tietoturvalisäosat, säännölliset tietoturvatarkistukset ja säännölliset varmuuskopiot.
Copilot = sininen
ChatGPT = vihreä.
Taulukossa Copilotin ja ChatGPT:n poikkeavat toisistaan vain hieman yhdessä kohdassa, mutta suhtaudu silti prosenttien tarkkaan paikkansapitävyyteen terveellä epäluottamuksella. Koko kysymys vaatisi tarkempaa määrittelyä, jotta prosenttien laskentaperusteet olisivat selkeät, ja senkin jälkeen lopputulos on kiinni lähteistä.
Toinen kysymys
Jos kaikki em. suojauskeinot otetaan käyttöön, paljonko hakkeroinnin todennäköisyys vähenee prosentteina?
Copilot: 93,2 %
Esittää pitkän laskentakaavan, jonka jälkeen toteaa: Kaikkien näiden suojauskeinojen yhteisvaikutuksena hakkeroinnin mahdollisuus vähenee noin 93.2 %. Tämä on merkittävä parannus sivuston turvallisuuteen!
ChatGPT 85-90 %
Kertoo ensin vapaasti stilisoituna ja lyhennettynä, että prosenttiluvut ovat arvioita ja riippuvat asiasta jos toisestakin. Lopulta vastaa: jos kaikki yllä mainitut suojauskeinot otetaan käyttöön yhdessä, voidaan arvioida, että hakkeroinnin mahdollisuus vähenee yhteensä noin 85–90 %.
Aiemmin saimme samaa tietoa hakevalla, hieman eri tavoin muotoillulla kysymyksellä ChatGPT:ltä uhkan vähenemisen kokoprosentiksi 97 %.
Mikä on oleellista?
Uhkat ovat todellisia, mutta niiden toteutumisen voi muuttaa erittäin epätodennäköiseksi. Monipuoliset suojaustoimenpiteet tekevät sivustosta niin vaikean murrettavan, että useimmat hyökkäykset osuvat helpompiin kohteisiin. Esimerkiksi WordPress-sivustoihin, joita ei ole päivitetty säännöllisesti, joiden salasanat ovat heikkoja ja joista puuttuu kaksivaiheinen tunnistautuminen.
Hakkerikin etenee useimmiten sieltä, missä aita on matalin tai aukko suurin.
Jos haluat asentaa kaksivaiheisen tunnistautumisen, sen saa asennettua helposti ja ilmaiseksi esimerkiksi Wordfencen kautta, myös ilmaisversiossa.
Suojauskeinojahan on monia muitakin, WP:n kohdalla esim. brute-force tunnistus, josta olemme kertoneet aiemmassa blogissamme.
Miten Xetnet vastaa tietoturvauhkiin?
Vastaammehan me, esimerkiksi näillä keinoilla.
Kaikilla asiakkaillemme jo käytössä:
- Moninkertaisesti varmennetut, Suomessa sijaitsevat palvelimet ja kahdennetut verkkoyhteydet
- Päivittäinen varmuuskopiointi
- Imunify360
- Kaikkiin webhotelleihimme asennettu, monilla palveluntarjoajilla maksullinen palvelintason tietoturvaohjelmisto, joka estää verkkopalveluihisi, sähköposteihisi ja tiedostoihisi liittyviä hyökkäyksiä, viruksia ja haittaohjelmia. Imunify360 toimii proaktiivisella periaatteella ja tunnistaa hyökkäykset laajan tietokantansa avulla. Se pystyy havaitsemaan laajasti eri palveluihin liittyviä haavoittuvuuksia.
Lisäksi WordPress-asiakkaille on tarjolla:
Forte Plus -webhotelliin sisältyvät WordPress-sivuston testatut ja varmennetut ohjelmistojen päivitykset (mm. WordPress, teema, lisäosat), 24/7 valvonta, vianselvitys sekä korjaustoimenpiteet, mikäli jokin päivitys rikkoo sivustosi toiminnan. Forte Plus -webhotelli maksaa vain 11 €/kk enemmän kuin Forte-webhotelli.
Forte Plus -asiakkaamme saa huippunopean webhotellin lisäksi välittömästi avun, mikäli WordPressin, lisäosan tai teeman päivitys aiheuttaa toimimattomuutta sivustolle. Aiempi ehjä versio palautetaan.
Lisäksi voit halutessasi kytkeä muita tietoturvaan liittyviä asetuksia päälle cPanel-hallintatyökalusta löytyvän WordPress Toolkit -työkalun asetuksista.
Se hyvä uutinen lopuksi
Verkkopalvelun suojaaminen on helppoa.
Kaikki edellä taulukoidut keinot on mahdollista ottaa käyttöön nopeasti, esimerkiksi tilaamalla FortePlus ja asentamalla 2-vaiheinen tunnistus WP:n hallintaan.
Jos et ylläpidä verkkopalvelua tai työskentele tietoturvan parissa, paras ratkaisu lienee yksinkertaisesti valita luotettavat, tietoturvasta huolehtivat toimijat sekä verkkopalvelun ylläpitäjäksi että webhotellin palveluntarjoajaksi.
Me Xetnetissä valitsemme palvelinten tietoturvaratkaisut johtavilta ja parhaat näytöt omaavilta toimijoilta.
Mielenrauha on meillekin tärkeää.
Taulukon lähteet Copilotin ja ChatGPT:n mukaan:
Copilot:
WordPress.com Support, WPBeginner, Hostinger
ChatGPT:
Ranktracker.com, Mtvuutiset.fi, Generaxion.com
