WordPress-sivuston tietoturva paranee – Imunify360 WAF nyt vakiona XetNET:n WordPress-asiakkaille
XetNET on ottanut käyttöön Imunify360:n uuden WordPress WAF -ominaisuuden, joka kuuluu nyt maksutta kaikkien WordPress-webhotelliasiakkaidemme palveluun.
Ominaisuus parantaa WP-sivustojen tietoturvaa merkittävästi. Maailman suosituimpana julkaisujärjestelmänä WordPress on jatkuva kohde automaattisille skannereille, jotka etsivät haavoittuvuuksia lisäosista ja teemoista heti niiden tullessa ilmi.
Miten Imunify360 WordPress WAF toimii teknisesti?
WAF (Web Application Firewall) sijoittuu verkkopalvelimen ja WordPress-sovelluksen väliin ja analysoi jokaisen saapuvan HTTP/HTTPS-pyynnön ennen kuin se koskettaa itse sovellusta. Imunify360:n WordPress WAF hyödyntää tähän tarkoitukseen ModSecurity-pohjaista sääntömoottoria, jota päivitetään jatkuvasti uusien uhkien mukaan.
Käytännössä WAF tunnistaa ja torjuu muun muassa seuraavat hyökkäystyypit:
SQL-injektiot ovat yksi yleisimmistä hyökkäystavoista, joissa hyökkääjä pyrkii syöttämään haitallisia tietokantakyselyjä lomakekenttien tai URL-parametrien kautta. WAF tarkistaa syötteet ja hylkää pyynnöt, jotka sisältävät tunnettuja injektiokaavoja.
Cross-site scripting (XSS) -hyökkäyksissä haitallista JavaScript-koodia yritetään ujuttaa sivuston kautta muiden käyttäjien selaimiin. WAF suodattaa pyynöistä pois skriptisisällön, joka ei kuulu normaaliin sivustoliikenteeseen.
Remote file inclusion (RFI) ja local file inclusion (LFI) ovat haavoittuvuuksia, joissa hyökkääjä yrittää pakottaa palvelimen lataamaan ulkoisen tai paikallisen tiedoston osana sivupyyntöä. Nämä ovat erityisen yleisiä huonosti ylläpidettyjen lisäosien kautta.
Brute force -hyökkäykset wp-login.php- ja xmlrpc.php-päätepisteitä vastaan tunnistetaan pyyntömäärien ja käyttäytymisanalyysin perusteella, ja toistuvasti yrittelevät IP-osoitteet estetään automaattisesti.
Yksi WAF:n merkittävimmistä ominaisuuksista on niin sanottu virtual patching eli virtuaalipaikkaus. Kun lisäosassa tai teemassa havaitaan haavoittuvuus, tietoturvatutkijat julkaisevat WAF-säännön, joka estää kyseisen haavoittuvuuden hyödyntämisen – vaikka itse lisäosa olisi edelleen päivittämättä.
Tämä on erityisen kriittistä siksi, että monet WordPress-ylläpitäjät viivästyttävät päivityksiä tai jättävät ne kokonaan tekemättä, ja juuri tätä aikaikkunaa hyökkääjät hyödyntävät.
Miksi lisäosahaavoittuvuudet ovat niin suuri riski?
Tilastojen mukaan yli 90 prosenttia WordPress-tietoturvaongelmista liittyy lisäosiin tai teemoihin, ei itse WordPress-ytimeen. Ydin päivitetään nykyään nopeasti ja automaattisesti, mutta lisäosien kirjo on valtava – osa kehittäjistä reagoi haavoittuvuuksiin tunnin sisällä, osa viikoissa tai ei koskaan.
Hyökkääjät seuraavat aktiivisesti julkisia haavoittuvuustietokantoja, kuten WPScan Vulnerability Databasea ja CVE-listauksia, ja käynnistävät automatisoituja hyökkäyksiä usein jo tunteja sen jälkeen, kun haavoittuvuus on julkistettu. WAF katkaisee tämän ketjun torjumalla tunnetut hyökkäyskaavat palvelintasolla ennen kuin WordPress-sovellus edes näkee pyyntöä.
XetNET:n webhotelli kokonaisuutena
Tietoturva on yksi osa toimivaa hosting-ympäristöä, mutta se ei yksin riitä. XetNET:n WordPress-webhotelli on rakennettu kolmen peruspilarin varaan. Näiden lisäksi käytössämme on myös verkkotason suojauksia niin omassa kuin transit-operaattoreidemme runkoverkoissa.
Tietoturva tarkoittaa meillä Imunify360:tä, jonka osa WordPress WAF on. Imunify360 sisältää haittaohjelmien reaaliaikaisen skannauksen ja puhdistuksen, verkkoliikenteen analysoinnin, käyttäjätilien eristämisen toisistaan sekä jatkuvasti päivittyvät uhkatietokannat. Palvelimia valvotaan ympärivuorokautisesti, ja tietoturvapäivitykset asennetaan järjestelmällisesti.
Nopeus rakentuu LiteSpeed-palvelinten varaan. LiteSpeed korvaa perinteisen Apache-palvelimen ja on erityisesti WordPress-kuormilla merkittävästi nopeampi – se tukee natiivisti LiteSpeed Cache -laajennosta, joka hyödyntää palvelinpuolen välimuistia tehokkaammin kuin ohjelmistopohjaiset ratkaisut. Sivuston latausajalla on suora vaikutus hakukonenäkyvyyteen ja konversioihin.
Varmuuskopiot otetaan päivittäin JetBackup-järjestelmällä. Varmuuskopiointi kattaa sekä tiedostot että tietokannan, ja palautus onnistuu asiakassivuston kautta ilman erillistä pyyntöä tukeen. Päivitysvirhe tai haittaohjelmatartunta ei tarkoita datan menetystä, kun edellinen toimiva versio on palautettavissa muutamassa minuutissa.
Tämän lisäksi varmuuskopioimme päivittäin omat palvelimemme palvelintasolla. Varmuuskopiot ovat siis kaksinkertaiset.
Lisätietoa tietoturvasta:
- Mitä tapahtuu, jos verkkosivustonne hakkeroidaan?
- Miksi datasi fyysisellä sijainnilla on juuri nyt väliä?
Erno on XetNETin perustaja ja yrittäjä, joka on toiminut IT-alalla vuodesta 2002. Hän on erikoistunut hosting-ratkaisuihin ja suomalaisen digitaalisen liiketoiminnan kehittämiseen. Vapaa-ajallaan tämä lempääläinen perheenisä viihtyy kotona, juoksupolulla, rinteessä tai lentokoneen ohjaimissa.