Küberkaitse WordPressi ökosüsteemis on hiljuti muutunud juba sama oluliseks või tähtsamakski, kui veebisaidi jõudlus. Tegelikult võivad turvajuhtumid põhjustada ka kõiki muid probleeme lisaks veebilehe jõudluse halvenemisele. Kui veebi nii-öelda seiskumine on tavaliselt ajutine probleem, siis andmekadu võib äri halvimal juhul lausa pankrotti viia.
Kuna see kõik on praegu WordPressi kasutajatele ülimalt tähtis, alustame igakuise ülevaatega meie hea partneri Patchstacki turvablogist, kus hoitakse eriti kuumadel teemadel püsivalt pilk peal. Turvalisuse tagamine on kriitiline ja seetõttu pakume koos Patchstackiga ka meie Veebimajutuse klientidele automaatset 24/7 WordPressi Turvakaitse teenust, mis aitab ennetada võimalikke turvaohte.
Lisaks saab sellest blogipostituste sarjast ka asjalikke nõuandeid oma e-äri kaitsmiseks, mida kokkuvõtlikult vahendame.
Miks me seda teeme? Tahame pakkuda lugejatele ja kasutajatele vajalikke tööriistu ja koos sellega ka teadmisi, et tagada veebilehtede parem turvalisus ja kaitsta neid võimalike ohtude eest. Praktilisi näpunäiteid ja juhiseid saavad kasutada nii algajad kui ka edasijõudnud WordPressi kasutajad, kes ehitavad oma veebilehti või pakuvad teenuseid teistele.
Miks üldse rünnatakse veebisaite?
WordPressi turvalisus on nüüd muutunud sama oluliseks kui veebisaidi jõudlus. Tegelikult võivad turvajuhtumid kaasa tuua halvima võimaliku jõudluse probleemi ehk kodulehe töö katkemiseni.
Kuigi töökatkestused on tavaliselt ajutine probleem, pole seda kindlasti andmekadu. Häkkerid ründavad veebisaite erinevatel põhjustel, seega enne, kui küsida "kuidas", peab rääkima, miks nad seda teevad.
Miks täpselt on veebilehed rünnakute all?
Rahaline motivatsioon
See on enamasti häkkerite peamine motivatsioon kodulehe ründamiseks. Siin on mõned kõige populaarsemad viisid, kuidas kompromiteeritud veebilehti kasutatakse raha teenimiseks.
DDoS-rünnakud ehk ajatatud teenuserünnakud vajavad häkitud veebilehti, mida saab lisada botnetti ehk võrgustikku, mida häkker kontrollib edasiste rünnakute tegemiseks. Seda levinud teenust müüakse, et selle kaudu ujutada sihtmärgi veebileht üle suure hulga päringutega, mis koormab serveri ja lõpetab selle töö.
Liikluse ärakasutamine on levinud nipp suunamaks veebiliiklust oma reklaamivõrku või mõnele teisele saidile. See võimaldab suunata väga suure hulga veebiliiklust erinevatele pettustele, musta SEO lehtedele ja phishingu- ehk õngitsussaitidele.
Serveri ressursside kasutamine on hea võimalus oma pahavara, phishingu, krüptoraha kaevurite (mis pole enam nii levinud) ja paljude muude teenuste hostimiseks. Serveri ressursid maksavad raha, kuid häkkerid saavad need tasuta, kui kompromiteeritud veebilehe omanik maksab arved.
Lunaraha küsimine on väga levinud tehnika allalaetud veebilehe andmebaasi eest raha küsimiseks, kui see on serverist kustutatud. Häkkerid loodavad, et veebisaidi omanikul pole varukoopiaid ja ta on sunnitud maksma.
Andmevargus on teine väga levinud viis, kuidas häkkerid raha teenivad, näpates krediitkaardiandmeid ja infot, mida saab müüa teistele kurjategijatele. E-kaubanduse veebilehti rünnatakse sageli just sellise pahavaraga, mis varastab olulisi andmeid.
Mitterahalised motiivid
Need motiivid on tavaliselt vähem levinud.
Lõbu pärast on väga levinud teismeliste skriptijate seas, mis tähendab tavaliselt veebi "näotustamist". Sellega muudetakse kodulehe sisu selliselt, et seal edastatakse mõni häkkerite sõnum. Kuigi need on kõige nähtavamad rünnakud, on need tavaliselt kõige vähem ohtlikud, kuna kohe on selge, et sait on ohustatud.
Poliitiline põhjus on näotustamise üks viisidest, kui häkkijad on poliitiliselt motiveeritud. Need juhtumid muutuvad aina sagedamaks, kui toimub näiteks sõda.
Haktivism on veelgi rohkem sihitud poliitiliselt motiveeritud häkkimine. Sihtmärgid pole enam nii juhuslikud ja rünnaku tehnika on sageli arenenud. Hea näide on haktivism naftafirmade, karusnahatootjate jt vastu.
APT ehk Advanced persistent threat: tähendab sageli mõne riigi poolt toetatud rünnakut, kus riigiasutused ise jäävad varjatuks ja sihivad läbi toetatud rühmituste kõrgema väärtusega veebilehti, et saada edasi suurematesse ja äriliselt olulisematesse IT-süsteemidesse.
Miks on "miks nad küll häkivad" nii oluline küsimus?
On väga oluline mõista, mis motiveerib meie vastaseid, et saada aimu võimalikust riskist.
Näiteks kui veebisait pole ühendatud mõne kriitilise andmebaasiga, on vähem tõenäoline, et sind sihivad APT-d. Kui sa aga haldad veebisaite, mida võiksid potentsiaalselt rünnata haktivistid või APT-d, peaks turvalisusele juba palju rohkem ressursse panustama.
Miksi mõistmine aitab ka aru saada iga veebi potentsiaalsest riskitasemest ja rakendada vajalikke tegevusi riski vähendamiseks. Enamik rünnakuid on automatiseeritud, täiesti juhuslikud ja suunatud võimalikult suurele rahalisele kasule, nii et olenemata riskitasemest peavad igal veebisaidil olema kaetud põhivajadused.
Kuidas WordPressi saite häkitakse?
Nüüd, kui me teame motivatsioone, saame vaadata, kuidas häkkerid seda kõike teevad.
Enamus rünnakuid veebisaitide vastu on täiesti automatiseeritud. Mida levinum on haavatavus, seda rohkem veebisaite see ohustab. Üksik väike veebisait ei pruugi pakkuda palju rahalist väärtust ega ka nähtavust kurjategijate jaoks, kuid tuhandete veebisaitide koosmõju juba teeb seda.
Keskendume kõigepealt kõige levinumatele põhjustele.
Kompromiteeritud olulised kontod on küberkurjategijate jaoks nii olulised, et nad kasutavad kõiki võimalikke vahendeid juurdepääsu saamiseks näiteks sinu WordPressi administraatori kontole. Kui neil on ligipääs, saavad nad hõlpsalt installida võltsitud (või haavatavaid) pluginaid ja siis üles laadida oma pahavara.
Seansi kaaperdamine pärast veebisaidile sisselogimist tähendab seda, et häkker kasutab ära kasutaja brauserisse salvestatud seansiküpsise. See lubab end autentida tagasi saidile ilma uuesti sisse logimata. Nii on mugav (eriti kui kasutatakse kaheastmelist autentimist), kuid see kujutab endast ka suuremat riski. Seansi kaaperdamiseks pole vaja uuesti sisse logida ja seega möödutakse kaheastmelisest autentimisest, kuid häkkeril peab olema juurdepääs seadmele, kust sisselogimine toimus.
Lekkinud paroolid on hea võimalus siis, kui kasutatakse sama e-posti ja parooli erinevatel veebisaitidel, mida teevad päris paljud inimesed. Niipea, kui üks neist veebilehtedest on kompromiteeritud, saavad häkkerid juurdepääsu ka kõigile teistele kontodele, kus kasutati sama kasutajanime/e-posti ja parooli.
Täiesti võimalik, et mõni vanadest e-posti aadressidest ja paroolidest on juba aastaid tagasi lekkinud mõne häkitud saidi kaudu. Seda saab kontrollida siin haveibeenpwned.com.
Brute Force rünnakud on võib-olla mahult üks levinumaid, kuid samal ajal on sel kahtlemata madalaim edukuse määr. Võib öelda, et need toimuvad iga avalikult saadavaloleva sisselogimislehe vastu Internetis.
Erinevad robotid tuginevad sellistel rünnakutel sõnaloenditele, mis sisaldavad miljoneid väljamõeldud kasutajanimede ja paroolide kombinatsioone. Paljud sellised sõnaloendid katavad ka lekkinud kasutajanimesid/paroole, mis segatakse ja sobitatakse veelgi rohkemateks kombinatsioonideks.
Neid rünnakuid on väga lihtne tuvastada, seega käivitatakse need enamasti suurest võrgustikust (botnet), mis koosneb varem kompromiteeritud veebisaitidest, et vältida vastumeetmeid.
Phishing on teine viis, kuidas häkkerid saavad volitusi varastada. Nad seavad üles identse sisselogimislehe veebisaidist, millele soovivad juurdepääsu saada ja kasutavad siis sotsiaalset manipuleerimist, et meelitada administraatorit sisse logima just selle võltsitud lehe kaudu.
Tasub mõelda kontodele, mis võiksid anda kontrolli kogu veebisaidi üle. See võib olla peale WordPressi administraatori konto ka majutuskonto, FTP/SFTP ligipääs või isegi WordPressi haldustööriist veebisaidi kaughalduseks.
Milline oht peitub Worpdressi pistikprogrammides ja teemades?
WordPressi tuum on enamasti väga turvaline, arvestades suurt hulka kogenud arendajaid selle taga. Selle kriitiliste turvariskide leidmist peetakse väga keeruliseks, nii et ettevõtted nagu Zerodium on valmis maksma kuni 100 000 dollarit kõigile, kes leiavad ühe haavatavuse.
Viimastel aastatel pole olnud olulisi WordPressi tuuma turvaauke, mis oleksid olnud massiliselt ära kasutatud.
Keskendume seekord WordPressi pistikprogrammidele ja teemadele. Nende rohkus on see, mis teeb WordPressist nii populaarse platvormi, kuid see teeb WordPressi veebisaidid ühtlasi ka rohkem haavatavaks.
Ainuüksi WordPressi hoidlas on üle 60 000 pistikprogrammi ehk plugina ja teema. Neist paljudel on tasulised versioonid. millel leidub Envato turuplatsidel (ThemeForest, CodeCanyon) veel lisaks 20 000 ja Monsterones üle 4000 versiooni. On väga oluline teada, et premium ehk tasulistes pistikprogrammides leitakse palju tõsisemaid haavatavusi, kuna nende kood pole avalik ja seetõttu ei saa neid kogukonna poolt üle vaadata.
Mõnede taga on terve ettevõte ja arendajate meeskond, kuid enamik on lihtsalt arendajate hobiprojektid. Kuid keskmine WordPressi kasutaja ei kontrolli kunagi pistikprogrammi koodi kvaliteeti ega arendaja tausta.
On pistikprogramme, mis tunduvad olevat installitud peaaegu igal teisel WordPressi saidil. Suurepärane näide on Elementor, mis jõudis hiljuti 15 miljoni aktiivse installatsioonini.
Kui Patchstack avaldas oma esimese aastakokkuvõtte "WordPressi turvalisuse olukorrast" 2020. aastal, oli kogu WordPressi platvormil sel aastal avastatud 582 turvariski (mis tol ajal tundus palju).
Aastal 2020 käivitas Patchstack ka esimese WordPressi pistikprogrammide turvariskide tasustamata programmi ja sellest ajast alates on pistikprogrammide turvalisusele pööratud palju rohkem tähelepanu. WordPressi pistikprogrammides avastatud turvariskide arv on aastast aastasse suurenenud ja ainuüksi aastal 2022 jõudis see number üle 4500.
Mis on nullpäeva (Zero Day) haavatavus?
Lühidalt tähendab see, et haavatavus on häkkeritele teada enne, kui arendaja sellest teadlikuks saab ja seetõttu pole suutnud veel parandust välja anda. See võib viia "nullpäeva ärakasutamiseni", mis tähendab, et turvarisk muutub rünnakutes kasutatavaks enne, kui arendaja jõuab paranduse välja anda.
Siiski on viimastel aastatel nullpäeva ärakasutamiste arv vähenenud, kuna pistikprogrammi arendajate teadlikkus on suurenenud ja rohkem on eetilisi (häid) häkkereid, kes aitavad leida ja parandada turvaauke.
Mis on esimese päeva (First Day) haavatavus?
Sellega on inimesed tavaliselt vähem tuttavad: see on turvarisk, mis avaldatakse/paljastatakse pärast seda, kui arendaja on juba välja andnud paranduse.
Siiski on häkkerid teadlikud, et enamus inimestest ei uuenda oma pistikprogramme õigeaegselt, nii et nad jälgivad WordPressi hoidlat, et tuvastada märke pistikprogrammidest, mille koodis on väiksemgi vihje turvaparandustele.
Patchstackis nähakse tihti, kuidas häkkerid käivitavad rünnakuid vaid mõne tunni jooksul pärast turvariski avalikustamist. Sellepärast on Patchstackis kehtestatud 48-tunnine viivitus avalikustamisele ning ainult turvalahenduse kasutajad, kellel on tegelikult haavatav pistikprogramm installitud, saavad hoiatuse kohe.
Enamus WordPressis ärakasutatud turvariskidest on tegelikult esimese päeva turvariskid ja nullpäeva haavatavused on tavaliselt vaid hüljatud pistikprogrammides.
Kuigi regulaarne hooldus (pistikprogrammide uuendamine) on uskumatult oluline ja seda tuleks teha võimalikult sageli, ei tohiks seda üksinda pidada veebisaitide kaitsmise tõhusaks strateegiaks.
Enamik rünnakuid pistikprogrammide turvariskide vastu toimub vaid mõne tunni jooksul pärast avalikustamist, kui enamus veebisaite pole veel uuendatud. Kuna turvariskid saavad väga kiiresti ära kasutatud ega saa sageli ametlikke parandusi üldse, pole ainult uuendustele lootmine tõhus turvavõte.
Kahjulikud pistikprogrammid ja teemad
Mõnikord pole pistikprogrammid ja teemad mitte ainult haavatavad, vaid ka tahtlikult kahjulikud. Nulled ehk “nullitud” WordPressi pistikprogrammid ja teemad on üks väga levinud tehnika veebisaitide ülevõtmiseks. Häkkerid saavad kätte tasulise pistikprogrammi, kust nad tavaliselt eemaldavad litsentsikontrolli ja laadivad selle siis üles, et inimesed saaksid seda kordades soodsamalt omale osta ja alla laadida.
Kuigi need töötavad enamasti oodatult, on koodis rohkem muutusi ning seal võib sisalduda tagauksi ja pahavara, mis annavad häkkerile täieliku kontrolli veebilehe üle.
Üks selline rühmitus oli WP-VCD, mis avaldas populaarseid “nullitud” pistikprogramme ja teemasid ning kasutas erinevaid veebisaite, et neid võimalikult paljudele inimestele levitada.
.jpg)
Pistikprogrammid tagaustega tekivad tavaliselt siis, kui arendaja on projekti üleval pidamisest tüdinud ja annab selle üle teisele arendajale. Häkkerid otsivad selliseid võimalusi ja lasevad välja tagauksega ametliku uuenduse.
Petuskeemid kasutavad ära selliseid inimlikke emotsioone nagu hirm. Hea näide on hiljutine petuskeem, mis esitles ennast WordPressi põhitiimina ja väitis, et WordPressi tuumal on kriitiline turvarisk, mida tuleb erilise pistikprogrammiga käsitsi paigata. Kuigi paljudele oli see ilmselge petuskeem, oli Redditis inimesi, kes palusid avalikku abi veebisaidi taastamiseks.
Häkkerid kasutavad osavalt ära teadaolevaid inimlikke nõrkusi, nii positiivseid (näiteks soovi saada midagi tasuta) kui ka negatiivseid (hirmu millegi väärtusliku kaotamise ees). Kahjuks pole selle vastu head rohtu.
Pole olemas n-ö Robin Hoode, kes kulutaksid oma vaba aega ja raha, et muuta tasuline tarkvara avalikkusele tasuta kättesaadavaks. Neil on alati mingi põhjus, miks nad seda teevad.
Alati peab veenduma, et tarkvara on saadud ainult usaldusväärsetest allikatest ja kui see on tasuline, siis toeta arendajaid, kes panid sellesse oma aega ja vaeva. Ühtlasi hoiab toetus neid motiveerituna ja kokkuvõtteks on nii ka vähem võimalusi, et projekt läheb valedesse kätesse.
