Kun sivusto on tullut murretuksi, on helppo tuntea olonsa haavoittuvaksi. Valitettavasti, WordPress sivustojen hakkerointi on tavanomainen tapahtuma, joten haluaisin mennä syihin hakkeroitujen sivustojen takana. Hakkerointi ei ole henkilökohtaista, mutta se voi tuntua siltä ellet satu tietämään seuraavia faktoja.

Tiedonjyvä #1: Sivustoja testataan jatkuvasti automaattisesti

Riippumatta siitä miten hyvä sivuston turvallisuus on, sisäänpääsyä on aina yrittämässä botteja. Nämä skannaukset ovat automaattisia ja kun sivusto on kerran päässyt kohdelistalle, se pysyy sillä. Ne jatkavat sivuston testausta ja turvatoimet jatkavat niiden torjuntaa. Tämä on vain homman nimi ja mitä pitempään  sivustosi on ollut toiminnassa, sitä useammin sitä testataan.

Tiedonjyvä #2: Vaikka turvallisuutesi olisi kuinka hyvä, voi sivusto silti joutua hakkeroiduksi

Tämän takia on niin tärkeää tehdä päivittäiset varmuuskopiot, koska todennäköisyys on että niitä tarvitaan vielä joskus. Voit saada reilusti mielenrauhaa käyttämällä palvelua, kuten jota minä itse tarjoan, joka pitää huolen että varmuuskopiot ovat kunnossa kun jotain tapahtuu. Varmuuskopioiden säilyttäminen on tärkeintä mitä voi tehdä, sekä ne pitäisi säilyttää pitkällä aikavälillä, siltä varalta että sivusto hakkeroidaan ja vahinko huomataan vasta vähän ajan päästä.

Tiedonjyvä #3: Se ei ole (vain) WordPress

Jokaisella softalla ovat omat ongelmansa ja turva-aukkonsa. Yksilölliset sisällönhallintajärjestelmät ovat vaikeampia murtaa (olettaen että olemassa ei ole valmiita suuria aukkoja), mutta jos joku on riittävän päättäväinen pääsemään järjestelmään, tulevat he löytämään tien sisään. WordPressin vahvuus on valtava kehitysyhteisö, joten turva-aukot paikataan nopeasti. Useimmat hakkeroinnit WP-sivuilla tapahtuvat teemojen tai lisäosien kautta; WordPress itsessään ei ole riski. Tämän takia on valita tarkasti asennettavat teemat ja lisäosat.

Tiedonjyvä #4: Vanhat lisäosat, WordPress-versiot ja teemat antavat boteille maalitaulun

Bottien ohjelmointiin kuulyy hakea tiettyjä asioita. Kuvittele, teema nimeltä ’Ilmainen Teema Yksi’ ja siinä turva-aukko, jota botit voivat hyödyntää. Joku tulee ohjelmoimaan botin tarkistamaan valtavan listan WordPress-sivustoista (näitä listoja voi ostaa muutamalla pennillä), tarkistaakseen onko niille asennettu teema ’Ilmainen Teema Yksi’. Sitten sivustot – joilla on asennettu kyseinen murheen teema – merkataan myöhempää hakkerointia varten tai myydään eteenpäin hyvinä mahdollisuuksina. Tämä on hyvin palikka selostus, mutta toivottavasti se auttaa näkemään, miten vanhat teemat, lisäosat ja versiot auttavat hakkereita pääsemään sivullesi.

Tiedonjyvä #5: Verkkokaupat ja lomakkeet ovat kohteita

Aina kun sivulla on WooCommerce tai jotain kuten Contact Form 7 asennettuna pitäisi myös turvallisuudelle antaa adrenaliini-pistos. Itse suosittelen Gravity Formsia, se on paljon turvallisempi ja maksullisena lisäosana kehittäjät pitävät sitä päivitettynä ja turvallisena. Vanhat WooCommercen asennukset ja vanhat lomake-lisäosien asennukset ovat kaikkein yleisimpiä reittejä, joita pitkin botit pääsevät sisään. Jos et käytä WooCommercea tai vanhoja lisäosia, tee itsellesi palvelus ja poista ne kokonaan. Käyttämättömien lisäosien ja teemojen käytöstäpoisto ei riitä itsessään, sillä tiedostot ja niihin liittyvät ongelmat istuvat kuitenkin vielä palvelimella.

Yhteydenottolomakkeita käytetään erityisesti kalastelusivustojen lataamiseen. Nämä tehdään näyttämään oikeilta sivustoilta (kuten nyt vaikka esimerkiksi pankin etusivu), jotta voidaan yrittää huijata ihmisiä nakuttamaan kirjautumistietonsa. Olen nähnyt muutaman sivuston, joilla botit ovat onnistuneet lataamaan toisen skriptan yhteydenottolomakkeen kautta, joka sitten hakkeroi sivuston auki toisiin käyttötarkoituksiin.

Lopuksi

Toivottavasti tämä on ollut hyödyllinen esittely, jotta se näyttäisi, että tämä on ihan arkista hommaa hakkereille. Joskus on mahdollista, että joku epäkelpo ottaa kohteekseen sivustosi, mutta usein sen takana on syy, kuten esim. kuuluisuus tai bloggaus kiistanalaisista aihepiireistä ym. Jos kuitenkin keksit kysyttävää, autan mielelläni.