WordPress-julkaisujärjestelmä on monipuolinen ja paljon käytetty verkkosivujen julkaisualusta. Sen ylläpito ja päivitysten asentaminen on kuitenkin syytä hoitaa jämptisti. Järjestelmät ovat verkkorikollisten kiinnostuksen kohteena, sillä niitä voidaan käyttää maksutietojen varastamiseen sekä esimerkiksi kalasteluun. Erityisesti järjestelmän lisäosat voivat sisältää haavoittuvuuksia, jotka altistavat sivuston tietomurrolle.
Tässä artikkelissa käsitellyt asiat koskevat yleisesti useimpia muitakin julkaisujärjestelmiä.
Jos sinulla tai yritykselläsi on verkkosivut, on hyvin mahdollista, että niiden alustana toimii WordPress-niminen ohjelmisto. Se on erittäin laajasti käytetty, muokkautuva ja modulaarinen julkaisujärjestelmä (engl. content management system, CMS). Sivuston ulkonäöstä ei yleensä voi arvata, millä järjestelmällä sivustoa pyöritetään, mutta asiaan perehtyneiltä se yleensä onnistuu sivuston koodia tutkimalla. Voit itse selvittää asian kirjautumalla sivustosi hallintapaneeliin.
Lisäosien haavoittuvuudet voivat altistaa tietomurroille
WordPressin tapauksessa perusjärjestelmää muokataan yleensä lisäosilla (plugin) ja teemoilla. Lisäosia on saatavilla laajasti eri tarpeisiin ja niillä voi esimerkiksi toteuttaa yhteydenottolomakkeen, varauskalenterin, tai verkkokaupan. Useimmat lisäosat ovat kolmansien osapuolten, esimerkiksi itsenäisten kehittäjien tekemiä, jolloin myös vastuu niiden toimivuudesta ja turvallisuudesta on lisäosien kehittäjillä.
Kyberturvallisuuskeskuksen havaintojen mukaan lisäosien tietoturvan laatu vaihtelee paljon ja niissä havaitaan usein esimerkiksi haavoittuvuuksia. Haavoittuva lisäosa asettaa koko sivuston alttiiksi tietoturvariskeille. Kaikista ohjelmistoista juuri julkaisujärjestelmien lisäosien laatu ja tietoturva korostuvat, sillä julkaisujärjestelmät monine osineen ovat saatavilla internetissä ja siten esimerkiksi rikollisten kiinnostuksen kohteena ympäri maailmaa.
Erityisen paljon tietoturvalla on merkitystä verkkokaupoissa ja muissa maksu- ja henkilötietoja käsittelevissä verkkototeutuksissa, sillä näissä tietomurrot voivat suoraan johtaa henkilötietojen vuotamiseen. Selvitystyön ja taloudellisten vahinkojen lisäksi poikkeamista voi myös seurata mainehaittaa. Organisaatioiden tulee varautua ilmoittamaan tämän kaltaisesta poikkeamasta viranomaisille ja viestimään siitä asiakkailleen .
Haavoittuvat sivustot ja heikosti suojatut käyttäjätunnukset ovat helppoja kohteita verkkorikollisille
Teemme rutiininomaisesti paljon havaintoja haavoittuvista WordPress-lisäosista, joista osa on hyvin vakavia. Yleensä emme kuitenkaan erikseen tiedota lisäosien haavoittuvuuksista, vaan on kriittistä, että sivustojen ylläpitäjät tai omistajat itse seuraavat järjestelmien ja niiden osien ajantasaisuutta.
Tietoturvalliseen sivustoylläpitoon kuuluu myös hyvä tunnushygienia, eli aktiivinen käyttäjätunnusten ja niiden käyttöoikeuksien valvonta sekä hyvät salasanakäytännöt. Monivaiheisen tunnistautumisen käyttöönotto on tärkeää, sillä huomattava osa murroista tapahtuu heikosti suojattujen käyttäjätunnusten kautta. Tietomurtoja varten rikolliset etsivät verkosta tietoa vuotaneista tai yksinkertaisia salasanoja hyödyntävistä käyttäjätunnuksia.
Selkeä vinkki hämärästä toiminnasta on, jos sivustolle ilmestyy uusia outoja käyttäjiä, tai tuntemattomia lisäosia. Joskus murron tai haittakoodin havaitseminen vaatii, että verkkosivujen toimintaan perehtynyt käy läpi sivuston lähdekoodin ja etsii sieltä erityisen outoa tai vaikeannäköistä koodia. Rikolliset pyrkivät yleensä tekemään koodista mahdollisimman hankalasti luettavaa ja vaikeaselkoista tai huomaamatonta.
Mikäli sivustoasi kohtaa tietomurto tai muu kyberpoikkeama, pelkkä jälkien siivoaminen ei yleensä riitä, vaan murron syy pitää selvittää hyökkääjän poissulkemiseksi järjestelmästä. Ota yhteyttä palveluntarjoajaasi ja ilmoita tapahtuneesta Kyberturvallisuuskeskukselle sekä poliisille.
Käy julkaisujärjestelmästäsi läpi ainakin nämä asiat
Laadimme listan viidestä tärkeimmästä kohdasta, jotka kannattaa käydä läpi. Perehdymme näihin alempana kohta kohdalta:
- Lisäosien laatu, lähde ja lisäosan julkaisija
- Päivitysten asentaminen usein
- Turhien lisäosien välttäminen
- Kommentointi- ja rekisteröitymismahdollisuuden poistaminen käytöstä
- Hyvä tunnus- ja salasanahygienia kaikilla käyttäjillä
Kiinnitä huomiota lisäosien laatuun ja vältä epäilyttäviä lisäosia
- Lisäosien julkaisijan luotettavuus: Lisäosan laatua voi arvioida esimerkiksi selvittämällä, onko lisäosalla uskottava julkaisija ja laaja käyttäjäkunta. Kuinka aktiivisesti lisäosaa ylläpidetään, eli milloin siitä on viimeksi julkaistu uusi versio? Voit myös hakea lisäosasta lisätietoa hakukoneella.
- Epäilyttävien lisäosien tunnistaminen: Kuten sovelluskaupoissa yleensä, vältä epäilyttäviä lisäosia. WordPressin virallinen lisäosakauppa kertoo asennusten määrät ja esimerkiksi 12 kertaa asennettu lisäosa on lähtökohtaisesti epäilyttävämpi kuin puoli miljoonaa kertaa asennettu.
- Aitojen lisäosien asentaminen: Älä asenna lisäosia virallisten lähteiden ulkopuolelta, jos et voi itse varmistua siitä mitä lisäosa tekee, esimerkiksi käymällä läpi sen koodia. Haitallisia tai takaportin sisältäviä lisäosia on liikkeellä.
Asenna päivitykset usein
Löytyneitä haavoittuvuuksia hyödynnetään erittäin nopeasti, jopa tunneissa. Tämä koskee myös WordPressiä. Pidä koko WordPress-asennus lisäosineen aina ajan tasalla asentamalla uusimmat päivitykset.
Huomioi, että automaattinen päivitystoiminto ei välttämättä osaa päivittää lisäosia ja teemoja, joten päivitysten asentumista on valvottava käsin. Jos olet ostanut verkkosivustosi ulkopuoliselta toimijalta (esim. mainostoimisto), huomioi, että sivuston ylläpito- ja päivitysvastuu siirtyy kokonaan sinulle, jos muuta ei ole sovittu.
Älä asenna lisäosia, joita et tarvitse
Poista turhat tai käyttämättömät lisäosat ja pidä tarkka kuri siitä, mitä asennat. Kaikkia haavoittuvuuksia ei aina raportoida julkisesti ennen niiden hyödyntämistä, joten asentamalla lisäosia harkiten pienennät sivustosi hyökkäyspintaa.
Poista kommentointi- ja rekisteröitymismahdollisuudet käytöstä, jos et tarvitse niitä
WordPress on alun perin ollut blogien julkaisuun tarkoitettu alusta, joka on aikojen saatossa kehittynyt verkkosivujen rakennusalustaksi. Sen vuoksi sivujen kommentointimahdollisuus on oletuksena päällä. Poistamalla myös rekisteröitymismahdollisuuden vähennät verkkosivustosi ylläpitotaakkaa ja hyökkäyspintaa.
Huolehdi myös sivustosi käyttäjätunnusten hyvistä hallintakäytännöistä
Poista tarpeettomat käyttäjätunnukset ja noudata vähimpien oikeuksien periaatetta. Toisin sanoen älä anna turhaan liikaa oikeuksia, esimerkiksi pääkäyttäjätason tunnusta käyttäjälle, joka käy tekemässä vain blogimerkintöjä. Ota käyttöön monivaiheinen tunnistautuminen vähintään hallintatason tunnuksille. Älä käytä oletussalasanaa, rikolliset tulevat kokeilemaan sitä varmasti.
Jos ylläpito tuntuu liian suurelta urakalta, voi olla järkevää antaa se tehtäväksi asianomaisia palveluita tarjoavalle yritykselle. Varmista sopimusta tehdessäsi, minkä tasoinen ylläpito palveluun kuuluu ja mitkä asiat jäävät itsellesi tehtäväksi.
Edistyneitä lisävinkkejä WordPress-ylläpitäjille – näillä saat lisäturvaa vaativampiin tapauksiin
Tässä kohdassa mainitut asiat eivät ole välttämättömiä, mutta voivat olla hyödyllisiä esimerkiksi vilkkaiden sivustojen turvan ja toimivuuden kannalta. Jos et ole teknisesti orientoitunut ylläpitäjä, ei hätää! Varmista että noudatat yllä mainittuja viittä vinkkiä.
Rajoita pääsyä sellaisiin polkuihin, joihin sivuston tavallisen käyttäjän ei tarvitse päästä.
- Tällainen on esimerkiksi /wp-admin/-hallintaosio.
- Voi olla myös järkevää muuttaa kirjautumissivun osoite pois login.php:stä tai /administa, sillä näihin kohdistuu erityisen paljon automatisoituja tietomurron yrityksiä. Samalla vähennät sivustoon kohdistuvaa turhaa kuormaa.
- Poista käytöstä xmlrpc.php, joka on vanha ja usein väärinkäytetty rajapinta. On tiettyjä toiminnallisuuksia, jotka nojaavat edelleen kyseiseen rajapintaan, mutta suurimmalla osalla sivustoista ei ole tarvetta pitää tätä käytössä.
Kannattaa myös olla tietoinen, että WordPressin uudempi REST API-rajapinta paljastaa jonkin verran tietoja helposti koneluettavassa muodossa. Näitä ovat mm.
- pages- ja posts-päätepisteet (endpoint), jotka kertovat kaikkien julkaistujen sivujen osoitteet; tämä voi helpottaa esim. roskasisällön levitystä
- käyttäjänimet; voi helpottaa esim. väsytyshyökkäysten (bruteforce) tai kirjautumistietojen täyttöhyökkäyksen (credential stuffing) tekemistä
Captcha-toiminnallisuus suojaa melko tehokkaasti usealta automatisoidulta uhalta.
Voit myös harkita verkkosovelluksen palomuurin (engl. web application firewall, WAF) asentamista tarkkailemaan ja estämään haitallisilta vaikuttavia pyyntöjä. Tämä hidastaa sellaisten haavoittuvuuksien hyödyntämistä, joihin ei ole vielä julkaistu korjaavia päivityksiä. Tämä on kuitenkin usein melko raskas ratkaisu.
Voit harkita, onko WordPress tai vastaava dynaaminen julkaisujärjestelmä tarpeellinen ratkaisu, mikäli sivustosi sisällön ei tarvitse muuttua jatkuvasti (esim. kommentoinnin vuoksi), se on erityisen herkkä hyökkäyksille tai sivustolla on suuria suorituskykyvaatimuksia. Vaihtoehtona on ns. staattinen verkkosivustogeneraattori (esim. Jekyll), joka generoi sivuston uudelleen vain, kun sivustoa päivitetään.