Monesti painotan omille asiakkalleni tietoturva-asioita ja sitä, kuinka tärkeätä on huolehtia sekä ennaltaehkäistä asioita. Tässä vaiheessa herääkin usein myös asiakkaiden suunnalta kysymyksiä, että miksi?
Kaikki on varmasti kuulleet kauhutarinoita hakkeroiduista sivustoista. Forbes julkaisi taannoin artikkelin missä tuotiin esille, että päivässä ilmestyy noin 30 000 haittakoodia levittävää sivustoa. WordPress oli aina tämän artikkelin kuumassa keskipisteessä.
Mutta miksi? Miksi täytyy asentaa useita eri järjestelmiä pitämään hakkerit ulkona? Miksi täytyy osata konfiguroida asennukset turvallisuussyistä? Miksi hakkerit kohdistavat hyökkäyksensä enemmän WordPressiin kuin muihin verkkosivuihin?
Kysymys voi oikeastaan tarkoittaa kahta asiaa, ja aion tässä vastata niihin molempiin.
Mikä motivaatio hakkereilla on verkkosivujen hakkerointiin?
Tavallisen tallaajan voi olla vaikea ymmärtää, miksi hakkerit edes haluaisivat murtautua pikku blogiisi, jossa myyt käsintehtyä saippuaa. Olenko oikeassa?
Pääsyitä on kolme.
- He haluavat käyttää sitä lähettämään spämmiviestejä sähköpostilla.
- He haluavat päästä käsiksi tietoihisi, postituslistaasi, luottokorttitietoihin, jne.
- He haluavat päästä käsiksi sivustoosi ja saada sen lataamaan haittaohjelmia loppukäyttäjäsi koneelle tai asentaa haittaohjelmia käytettäväksi sivustollasi.
Tämä viimeinen vaihtoehto on kaikkein hämmentävin. Haittaohjelmia voidaan asentaa käytettäväksi sivustollasi, ja se voidaan asentaa niin, että käyttäjiesi koneille asennetaan asioita heidän tietämättään.
Yksi tyypillinen käyttötarkoitus tällaiselle hyökkäykselle on mahdollistaa suuremman luokan hyökkäyksiä. Kunnon palvelunestohyökkäyksen tekeminen vaatii valtavan määrän koneita. Sinun hakkeroitu sivustosi saattaa olla yksi niistä. Tai ehkä hakkeri on kohdistanut hyökkäyksensä toiseen toimijaan ja käyttää sinun verkkosivustoasi (tai käyttäjiesi omia tietokoneita) välietappeina suojaamaan oman selustansa.
Joka tapauksessa, nämä ovat pääsyyt hakkereiden hyökkäyksiin. (Tai he ovat tylsistyneitä 13-vuotiaita, joista on siistiä esitellä koulussa rikottua sivustoasi – jep, niinkin on käynyt.)
Miksi hakkerit kohdistavat iskunsa erityisesti WordPressiin?
Lyhyt vastaus? Koska se on hyvin suosittu.
Ajattele asiaa hetki hakkerin kannalta. Jos haluat ottaa haltuun monia verkkosivuja omiin, pahoihin tarkoituksiisi, käyttäisitkö kaiken aikasi yrittämällä löytää heikkouksia alustalta, jota käyttää 500 verkkosivustoa, vai yrittäisitkö rikkoa alustan, jolla on satoja miljoonia sivustoja? Koska WordPress on niin laajasti käytetty, se on hakkereiden kohteena erittäin suosittu.
Vaikka WordPressin ydin on yleensä hyvin turvallinen, WordPressissä on myös modulaarinen alusta – sitä voidaan laajentaa monilla tavoin erilaisilla teemoilla ja liitännäisillä. Koska kuka tahansa voi luoda/kehittää lisäosia sekä teemoja WordPressille, on mahdollista, etteivät kaikki laajennukset ole samantasoista koodia kuin WordPressin ydin. On mahdollista, että hyvinkin suositussa liitännäisessä on turvallisuusongelmia, jotka voivat vaikuttaa tuhansiin WordPress-sivustoihin kerralla.
Suosionsa vuoksi, WordPress on uskomattoman suosittu alusta niin hakkereille kuin turvallisuuden tutkijoillekin.
Totuus on kuitenkin, että koodin avoin luonne on myös sen vahvuus. Se mahdollistaa valkohattuisten hakkereiden löytää hyväksikäyttäjiä ja raportoida heitä helposti, jotta aukot voidaan paikata. Siksi kenen tahansa, jolla on halu auttaa, on mahdollista parantaa turvallisuutta pitkällä aikavälillä. Siksi kolmannet osapuolet voivat luoda yhä vahvempia turvallisuusratkaisuja, jotka voidaan vain asentaa suoraan WordPressin päälle.
Miten voin ennaltaehkäistä haittatekijöitä?
WordPressin ydin on itse asiassa hyvin turvallinen ohjelmisto. Voit vielä itse parantaa sen turvallisuutta noudattamalla muutamia, yksinkertaisia käytäntöjä. Kuten sitä, ettei sivustollasi ole käyttäjää nimeltä ’admin’. Toinen asia on pitää itse WordPress, lisäosat ja teemat ajantasalla – eli huolehdittava näihin säännöllisesti tarjottavien päivityksien ajosta – tämä onnistuu hallintapaneelin kautta päivitykset –osiosta.
WordPressillä on oma hyvä artikkelinsa WordPressin vahvistamisesta johon kannattaa tutustua.
Muita turvallisuustoimenpiteitä, joita voit tehdä:
Jos olet käynyt läpi julkaisun WordPressin vahvistamisesta ja tehnyt useimmat heidän mainitsemistaan asioista, mutta haluat olla erityisen varma sivustosi turvallisuudesta, on olemassa muutamia muitakin hyviä toimia, joita tehdä.
Ennen uuden liitännäisen asentamista, tarkista se varmistaaksesi, ettei siinä ole mitään tunnettuja tai korjaamatta jääneitä ongelmia. Sinun ei kuitenkaan tarvitse luopua liitännäisestä, jolla on ollut heikkouksia – useimmissa parhaista liitännäisistä on ollut muutamia.
Sinun täytyy löytää tasapaino turvallisuuden ja käytännöllisyyden välillä – on lähes mahdotonta varmistaa, että kaikki olisi 100% turvallista kaiken aikaa. Ja, mitä suositumpi liitännäisesi on, sitä useammat yrittävät löytää siitä pieniä haavoittuvaisuuksia (koska mitä useampi sivusto on liitännäisen asentanut, sitä isomman verkoston hakkeri saa, onnistuessaan hakkeroimaan liitännäisesi).
Voit myös hankkia ulkopuolista apua. Jotkut yritykset keskittyvät vain turvallisuuteen (ja he ovat loistavia siinä, mitä tekevät – niiden huippulaatuiset palvelut ovat ehdottomasti vuosilaskutuksen arvoisia). Hosting-yrityksesi saattaa myös tarjota jonkin tasoista turvallisuutta, skannaten sivustoasi viruksilta ja jopa poistaen haittaohjelmia puolestasi. Sitten on palveluita, kuten omani, www.sitefix.fi (WordPress ylläpito), joka hallinnoi sivustoja kokonaisvaltaisesti ja jonka palvelupaketti pitää sisällään turvallisuusauditoinnin ja vahvistamisen.
Jos olet yrittäjä ja sivustosi todella tuottaa, tällaisen palvelun kustannukset tulevat yleensä katetuksi jo säästämälläsi ajalla, kun sinun ei itse tarvitse pysyä ajan tasalla viimeisimmistä ongelmista ja parhaista käytännöistä.