Hirmsad häkkerid ja kurjad viirused

17.03.2017 / gotoAndPlay

Sageli arvatakse, et WordPress ei ole hea platvorm, kuna see on vastuvõtlik häkkimisele ja viirustele. Kuna platvorm on avalik ja tasuta, saab teoreetiliselt igaüks uurida selle lähtekoodi. Alati on võimalus, et keegi leiab mingisuguse turvaaugu WordPressi enese koodis või hoopis näiteks mõnes halvasti tehtud pluginas.

Õnneks ei ole asi nii hull, kuna WordPressi arendajate ja huviliste ring on tänu platvormi avatusele väga suur ning vead leitakse ja parandatakse kiirelt. Samas, kui kasutaja ise ei hoolitse lehe turvalisuse eest, võib leht sellegipoolest ohus olla.

Kõige sagemini jääb lehekülg haavatavaks pigem kasutaja tegevusetuse tõttu.

Kuidas kuri käsi süsteemile ligi saab?

Kõige sagedasem ja sisuliselt lihtsaim moodus on jõurünne, kus lehe sisselogimise vormi pommitatakse erinevate paroolidega lootuses õigele juhuslikult pihta saada. Selliseid rünnakuid viib peaaegu alati läbi automaatne robot, sest inimkäsi ei ole lihtsalt piisavalt tõhus, et kiirelt mitut parooli järjest proovida. Selliseid rünnakuid toimub peaaegu igale leheküljele kümneid kui mitte sadu kordi nädalas.

Siin aitab ühelt poolt turvaline parool ja ka näiteks ebastandardse kasutajanime kasutamine. Näiteks administraatori kasutajanimi on tavaliselt “admin” misõttu seda ka kõige rohkem rünnatakse. Samuti on tüüpiline, et proovitakse domeeninimega sama kasutajanime.

Nõrga parooli puhul võib olla ligipääsu saamine minutite küsimus. Kui robot on kord juba sisse saanud, võib see kas automaatselt kurja tegema asuda või näiteks edastada teate inimesele, kes lehte ümber seadistama asub.

Teine populaarne moodus on ebaturvaliste vormide ära kasutamine. Üldiselt on viisakamad vormide pluginad juba selliste sammude eest kaitstud, kuid levinud moodus on kontaktivormi tekstivälja kirjutada koodirida, mille abil on võimalik süsteemi poolelt ligipääsuks vajalikke andmeid kätte saada. Vormi sisendisse kirjutatakse andmebaasi päring, mis kuvab seejärel peidetud andmeid. Mõnikord on eesmärgiks ainult varjatud sisu tagastamine, kuid teinekord saadakse seda meetodit kasutades ligi ka süsteemi haldusele, kus häkker saab juba ise edasi toimetada.

Selliseid trikke saab rakendada nii kontaktivormides, kui ka näiteks otsinguvormis. Kuna otsinguvormi otsingusõna kuvatakse sageli otsingutulemuste lehele, saab kaitsmata süsteemil sellise kuvamise sisse koodi peita. Ka sellist tüüpi rünnakut võib läbi viia robot.

Kõiksugu kavalaid trikke on loomulikult veel, näiteks rünnatakse vahel lehe asemel hoopis FTP ligipääsu, et süsteemi faile otse mõjutada. Ligipääsu võib saada ka näiteks kui serverisse laetakse üles viirusliku sisuga fail, mis sinna „tagaukse” tekitab.

Miks seda tehakse?Mida teha, kui oled häkitud?

Sageli on häkkeri eesmärk levitada reklaami, enamasti siis musta turu kaubale või mõnele muule kahtlase väärtusega tootele. Selle jaoks muudetakse enamasti lehtede sisu ning kui on olemas ligipääs failidele, tehakse ka sinna vastavad lehe omaniku jaoks märkamatud muudatused. Mõnikord on häki eesmärk pahavara levitada, kus lehe sisu paistab tegelikult õige, kuid lehte külastavatele kasutajatele üritatakse saata nakatunud faile. Lehe välimuse muutumist häki tulemusel nimetatakse ka näotustumiseks” (i.k defacement).

Mõnikord juhtub ka, et häki ainus eesmärk on sooritus ise ning häkk tegelikult mingit ohtu endast ei kujuta. Häkitud lehele laetakse peidetud sisu ning selle linki jagatakse häkkerite ringkonnas tõestusmaterjalina. Sellist häkkimist armastatakse näiteks Kagu-Aasias.

Kolmas levinud eesmärk on andmete kogumine, kus häkitud lehele paigaldatakse tarkvara, mis laeb alla lehe andmebaasi. Sellisel juhul on häkkeri huviks tõenäoliselt kasutajate kontaktandmed või ka paroolid. Kuna suur osa inimesi kasutavad sama parooli mitmes erinevas kohas, võib kasutaja emaili ja parooli kombinatsioon väga väärtuslik olla. Sellist häkki on sageli ka natuke keerulisem märgata.

Kuidas ära tunda, et häkker on lehele ligi saanud?

See oleneb suuresti häki tüübist. Näostumise puhul saab ilmselgelt lehe välimusest aru, et keegi on seda pahatahtlikult muutnud. Tüüpiline on ka see, et kodulehe sisudes leidub võõraid reklaamtekste. Tihti lisatakse süsteemi ka suunamisi mis viivad külastaja mõnele muule kodulehele.

Vahest võib häkk avalduda näiteks ainult Google otsingutulemustes, kus teie lehega seotud viidete juurdes võidakse kuvada mingit muud reklaamsisu. Sageli on sellist tüüpi häkid keerulised tuvastada, kuna visuaalselt on lehega kõik korras. Kõige lihtsam on seda kontrollida kui kirjutada Google otsingusse eesliide site:” ning domeeni aadress. Kui tulemustes on viiteid lehtedele, mis ei tohiks antud domeenil asuda, siis võib olla leht häkitud.

Probleemi tuvastamiseks eksisteerib ka veebis abivahendeid, näiteks Sucuri tuvastab halbu programme ja VirusTotal tuvastab otseselt lehel olevaid viiruseid. Kõiksugu sarnaseid sisu kontrollivaid lehti on võimalik Google abil veel leida.

Üks soovituslik samm on kahtluse korral ka lehele turvaplugin paigaldada, kui seda veel tehtud pole. Korralik turvaplugin suudab lehe sisu ja koodi analüüsida ning erisugused häkid tuvastada.

Mida teha, kui leht tundub olevat häkitud?

  1. Teavita probleemist enda veebipartnerit ja võimalusel ka majutusteenust pakkuvat ettevõtet. Enamus majutusteenuse pakkujaid teevad andmetest regulaarselt varukoopiaid ja kui häkk on toimunud alles hiljuti, siis on võimalik lasta majutusteenuse pakkujal taastada varasem veebilehe seis.
  2. Tee oma arvutis täielik viirusekontroll. Sageli võib häki või viiruse põhjustada enda arvutist üles laetud materjal. Kui on selge, et oma arvuti on puhas, muretseb üldjuhul lehe järgneva heaolu pärast veebipartner.

Mida veebipartner täpselt edasi teeb? Esimese asjana tuleks muuta kasutajate paroolid ning ka ftp ja andmebaasi ligipääsu paroolid, kui see on võimalik. Seejärel tuleb paigaldada turvalisuse vahendid, kui neid veel paigaldatud pole, ning teha lehe failisüsteemile võimalikult põhjalik kontroll. Ka lehe failide alla laadimine ja viirusetõrje tarkvaraga kontrollimine on antud juhul kasulik. Seejärel saab leitud probleemid korrigeerida ning mõnikord sellest ka piisab.

Väiksemate süsteemide puhul tuleb kõne alla ka käsitsi süsteemi failidest viirusliku sisu otsimine ja puhastamine, aga reeglina on see väga ajamahukas tegevus.

Põhjalikult nakatunud lehe puhul on ka oht, et seda ei ole enam mõistlik puhastada ja lihtsam on uus leht teha. Seda juhtub küll vähe, aga võib tulla ette kui viiruslik sisu saab pikema aja jooksul lehe süsteemis tegutseda.

Vali hea parool.Kuidas ennast häkkimise eest kaitsta?

Kõige lihtsam on teha regulaarselt haldusplatvormi uuendusi. WordPressi versioonid jagunevad suuremateks” ja väiksemateks”, kus näiteks 4.6 pealt 4.7 peale versiooni muutus toob endaga kaasa suuremaid muutuseid ja vajab uuendamise nupu vajutamist, kuid näiteks 4.6 pealt 4.6.1 peale versiooni uuendused paigaldatakse enamasti automaatselt. Need sisaldavad turvauuendusi ja parandavad väiksemaid vigu. Samuti peaks uuendma süsteemis kasutusel olevaid pluginaid.

Teine, samuti üsna lihtne moodus on paigaldada turvaplugin. Näiteks Wordfence on plugin, mis mitte ainult ei skanneeri regulaarselt failisüsteemi muutuste ja pahalaste vastu, vaid suudab ka jõurünnakuid takistada kontrollides, et ühelt IP-aadressilt poleks liiga palju ebaõnnestunud sisselogimise katseid. Wordfence saadab e-posti teel regulaarselt ka informatsiooni blokeeritud aadressite ja muu tegevuse kohta. Peale plugina paigaldust tuleks kindlasti selle seaded üle vaadata ja vastavalt vajadusele kohandada.

Hulga toiminguid tuleks ära teha ka arenduse käigus. Kindlasti tuleks keelata halduse kaudu süsteemi failide muutmine, lisada muutmispiirangud teatud failisüsteemi kaustadele ning seadistada varukoopiate tegemine, kui seda juba ei tee majutusteenuse pakkuja.

Kokkuvõtteks

Häkkimise eest võib end lõputult kaitsta, kuid häkkerid on leidlikud, seega täielikku kindlust ei ole võimalik kunagi ühegi süsteemiga saavutada. Parim, mida me teha saame, on ennast võimaluste piires kaitsta ning olla valmis juhuks, kui midagi peaks juhtuma.

Kindlama lahenduse saavutamine algab kvaliteetsest veebiarendusest. Oluline on, et arendaja mõistaks võimalikke riske ja oskaks neid maandada. Mida rohkem on lehele paigaldatud kolmanda osapoole pluginaid seda suurem on oht, et mõnes neist on turvaauk. Kuna plugina arendaja tegutseb sageli isiklikust huvist, ei ole ebatavaline, et plugina uuenduste väljastamine lõpetatakse ja turvaaugud jäävad lappimata.

Veebilehe turvalisuse tagamine on iga ettevõtte jaoks äriliselt oluline. Häkitud koduleht mitte ainult ei näita teid halvas valguses vaid võib proovida nakatada ka lehe külastaja arvutit, mis sunnib teadlikku külastajat teie lehte vältima. Kui Google tuvastab teie lehelt pahavara, siis võite otsingutulemustest täielikult ära kaduda ja kaotada suure osa lehe liiklusest.

gotoAndPlay on meie koostööpartner, kellega koos oleme loonud usaldusväärseid veebilahendusi mitmetele ettevõtetele.

Soovid meie turundusekspertiisi ühildada efektiivse veebiga? – Võta meiega ühendust!

UUS turundussaade IMPACT 80/20!

31. mail lansseeriti Eesti esimene audiovisuaalne turundussaade IMPACT 80/20, mille eesmärk on olla inspiratsiooniks kõikidele turundus- ja ettevõtlushuvilistele. Saate teise osa külaliseks oli Jorma Laiapea, kes on TransferWise’i klienditeenindusjuht. Loe saatest kokkuvõtet!

LOE KOKKUVÕTET!

©2017 WWW Marketing OÜ