Posted in Tietoturva

Nämä olivat yleisimmät murtautumistekniikat WordPress-palvelimiin vuonna 2020

WordPress-ohjelmisto pyörittää valtaosaa julkaisuista ja pienistä kauppapaikoista internetissä. Suosio tekee ohjelmiston houkuttelevaksi kohteeksi hakkereille ja rikollisille, jotka pyrkivät ottamaan palvelimia omaan käyttöönsä. Tietoturvaa tarjoavia työkaluja ja palveluja on hyvin tarjolla, mutta kaikki eivät niitä käytä ja joskus rikolliset yksinkertaisesti ovat askeleen edellä. Tässä katsaus vuoden 2020 suosituimpiin murtautumistapoihin, joilla WordPress-palvelimia yritettiin vallata.

Wordfence tietoturvatuotteen WordPress-ohjelmistoon kehittänyt Defiant Inc. on kerännyt valtavan määrän tilastoja tavoista, joilla rikolliset ovat yrittäneet palvelimiin murtautua. Vuoden 2020 tilastot kertovat miten paljon liikenettä verkkoon pelkät hyökkaykset WordPress-sivustoihin ovat saaneet aikaan. Wordfence kertoo:

Vuoden 2020 aikana Wordfence torjui yli 90 miljardia (billion) yritystä kirjautua palvelimiin. Nämä hyökkäykset tulivat 57 miljoonasta eri IP-osoitteesta. Se on keskimäärin 2800 hyökkäystä WordPress-sivustoihin joka sekunti.

Tämä on siis vain Wordfence-ohjelman keräämä tilasto. Vastaavia työkaluja on paljon muitakin, jotka saavat oman osansa hyökkäyksistä.

Viisi suosituinta murtautumistekniikkaa vuonna 2020

Wordfence-ohjelman keräämien tilastojen mukaan viisi yleisintä hyökkäystä olivat:

  1. 43% kaikista hyökkäyksistä yritti saada käsiinsä WordPressin konfigurointitiedoston tai muita ohjelmatiedostoja.
  2. 21% murtautumisyrityksistä kohdistui Mysql/Mariadb tietokantaan (SQL Injection).
  3. 11% hyökkäyksistä toteutettiin yrittämällä ladata haittaohjelma palvelimelle.
  4. 8% tapauksista perustui Cross-Site Scripting(XSS) tekniikkaan.
  5. 3% yritti ohittaa sisäänkirjautumisen.

Omilla WordPress-palvelimillamme käytössä oleva suojausohjelma on saanut vuodelta 2020 vastaavia tuloksia kuin Wordfence. Yritykset päästä käsiksi WordPress-ohjelmiston hakemistoihin oli yleisin tekniikka, ja toiseksi yleisin oli kirjautuminen.

WordPress-ohjelmistoon lisätoimintoja tarjoavat (vialliset) plugin-modulit ovat myös yksi väylä saada palvelin haltuun. Omilla palvelimilla pyrimmekin minimoidaan niiden käytön. Esimerkiksi tilastotietoa voi kerätä ja tietoturvaa vahvistaa suoraan käyttöjärjestelmässä toimivalla ohjelmilla. Silloin näillä ohjelmilla ei ole yhteyttä WordPressiin, eikä niiden kautta pääse mihinkään.

Tilastotietojen keruuseen WordPress-pluginin sijaan voi käyttää esimerkiksi Awstats-ohjelmaa. Se kerää tietonsa web palvelimen lokitiedostoista, joissa näkyy myös WordPress-vierailut. Awstats vaatii hieman vaivaa asentaa, mutta toimii hienosti. WordPress-ohjelman puolella ei tarvitse muuttaa mitään.

Suuri osa WordPress-tietoturvatuotteista asennetaan plugin-modulina. Plugin voi kuitenkin havaita ja torjua hyökkäysyrityksiä vasta kun hyökkääjä on jo WordPressin sisällä. Omilla palvelimillamme on käytössä WordPressin ulkopuolella, käyttöjärjestelmässä toimiva ohjelma, joka vahtii hyökkäyksiä.

Tässä artikkelissa on muutama vinkki WordPressin tietoturva-asetusten perusteiksi. Wordfence tuottaa englanninkielistä podcast-sarjaa, jossa neuvotaan WordPress- ja muuhun tietoturvaan liittyviä asioita.