WordPress: tietoturvan pikaohjeet

wp_bruteforce_opt2Viime viikolla oli käynnissä harvinaisen laaja murtoyritys WordPress-asennuksia vastaan. Hyökkääjillä oli käytösssään bottiverkko eli kaapattuja koneita, ja ilmeisesti murretut WordPress-sivustot liitettiin tähän verkkoon. Itse murto oli admin-tunnuksen salasanojen kokeilemista raa-alla voimalla, mikä ei ole tavallisuudesta poikkeavaa. Erikoista oli liikenteen määrä ja sen aiheuttama palvelinkuormitus, joka on aiheuttanut päänvaivaa ylläpitäjille ympäri maailmaa.

Tämäkin murtoyritys on jokapäiväinen muuten paitsi skaalansa puolesta. WordPress on yleisin julkaisujärjestelmä, joten se on houkutteleva kohde. Niinpä WordPress-sivustojen omistajien tulisi kiinnittää huomiota järjestelmänsä tietoturvaan. Asiasta on julkaistu paljon hyviä artikkeleja, kuten Sofokuksen tarkistuslista ja sen jatko-osa.

Tässä pikaohje, jossa on listattu kriittisimmät työt.

Listasta nousee esille tietty työkalu, jota itse käytän: Better WP Security. Oikeastaan suositukseni perusylläpitäjälle voisi summata seuraavasti: ”ota varmuuskopiot ja asenna plugari, mutta älä käytä automatiikkaa vaan yritä ymmärtää mitä se tekee”. Kaikkia Better WP Securityn kikkoja ei välttämättä kannata käyttää, mutta lukemalla ja netistä hakemalla pitäisi selvitä, mitä sillä kannattaa tehdä.

1. Ota varmuuskopio

Varmuuskopiointi on asia, josta näkee usein muistutettavan, eikä suotta. Murron tai palvelinongelman sattuessa sivusto on paljon helpompaa, nopeampaa ja edullisempaa palauttaa varmuuskopioista. Parasta on ottaa talteen koko sivusto vähintään silloin tällöin. Jos on aikaa tutustua ja tehdä alkutöitä, Amazon S3 tai vastaavat pilvipalvelut ovat edullinen vaihtoehto automaattisiin varmuuskopioihin.

Jos aikaa ei ole, tee ainakin seuraavat: ota kopio teemahakemistosta (/wp-content/themes/omateema) ja siirretyistä tiedostoista (/wp-content/uploads/) sekä aseta WordPress lähettämään tietokanta sähköpostiisi tasaisin väliajoin.

Tietokannan ajastettu backup onnistuu mm. BackWPup- ja Better WP Security -lisäosilla. Itse käytän maksullista BackupBuddy-plugaria.

2. Käytä vahvoja salasanoja

Luultavasti kenellekään ei ole tänä päivänä epäselvää, mikä on vahva salasana. Siihen vaaditaan erikoismerkkejä, numeroita ja riittävä pituus. Netissä ja julkisesti näkyvillä olevan sivuston tapauksessa on myös melko ilmiselvää, miksi kunnollinen salasana on ehdoton vaatimus. Salasana ei saa sellaisenaan löytyä minkään kielen sanakirjasta, vaan sen täytyy olla jotakin uniikkia.

Jos haluat WordPressin pitävän salasanat kuosissa, se onnistuu Better WP Security -lisäosalla.

3. Poista admin-tili

Olisi parasta, jos admin-nimistä tiliä ei olisi koskaan luotukaan, mutta niin käy toisinaan. Admin-tili kannattaa poistaa, koska suurin osa kirjautumisiin liittyvistä murtoyrityksistä kohdistuu kyseiseen tiliin. Tilin uudelleennimeämisessä auttaa Better WP Security -lisäosa. Muista ottaa tietokannasta varmuuskopiot ennen admin-tilin muuttamista!

Admin tilin voi myös poistaa, mikä on varsin yksinkertaista. Voit myös luoda uuden tilin ja ottaa admin-tililtä pääkäyttäjäoikeudet pois.

4. Rajoita epäonnistuneiden kirjautumisten määrää

Yleensä kirjautumisten rajoittaminen lopettaa murtoyrityksen melko nopeasti. Yksinkertaistaen murto perustuu sanakirjasta löytyvien sanojen ja niiden yhdistelmien kokeiluun, joten yrityksen pienikin hidastaminen tekee murtamisesta käytännössä mahdotonta. Eräässä vanhemmassa tapauksessa hyökkääjällä oli käytössään kymmeniä koneita, mutta niiden IP-osoitteet oli estetty parin tunnin ja muutamien satojen kirjautumisyritysten jälkeen. Juuri bottiverkkon kohdalla tämä menetelmä on hieman vähemmän tehokas, koska murtoa yritetään pahimmillaan sadoilta koneilta.

Tuoreimman hyökkäyksen yhteydessä on useammalta taholta suositeltu Limit Login Attempts -pluginia, mutta Better WP Security sisältää osion tätäkin varten.

Better WP Securityllä voi myös piilottaa kirjautumissivun, jolloin bottien ei pitäisi päästä siihen käsiksi. Uusi osoite kannattaa kirjoittaa ylös ja pistää varmaan talteen.

Jos olet palvelimen ylläpitäjä ja kärsit kirjautumisyritysten aiheuttamasta kuormaongelmista, tässä yksinkertainen idea (ja monimutkainen toteutus) bottien karkottamiseen. Miksipä ei sopisi myös taitaville sivuston omistajille. Palvelimen ylläpitäjää voi auttaa myös mod_security.

5. Tarkkaile sivustoasi ja korjaa ongelmat

Sivuston päivitystarpeen ja mahdollisten ongelmien tarkkailu on tärkeää. En tarkoita, että sivuja pitäisi itse käydä latailemassa vähän väliä – tähänkin on lisäosa ja vieläpä ilmainen sellainen.

Wordfence-tietoturvaskanneri tutkii sivuston tiedostot tunnetun hyökkäyskoodin varalta, vertaa muuttuneita tiedostoja alkuperäisiin versioihin (siltä osin kuin on mahdollista) ja kertoo WordPressin päivitystarpeista. Kaikista viesteistä ei kannata säikähtää, sillä vääriä hälytyksiä sattuu eikä Wordfence vielä hallitse kieliversioiden käännettyjä tiedostoja.

Tietenkään pelkkä tarkkaileminen ei riitä, vaan ongelmiin pitää reagoida. Monia ongelmia voi välttää asentamalla päivitykset ajoissa.

 

PS. Mikäli haluat ulkoistaa WordPress-sivuston varmuuskopioinnin, päivityksen ja tarkkailun, Nettiapina tarjoaa WordPress-ylläpitopakettia.

Kuva / Image source: Cloudflare blog.

Comments

  1. real racing 3 says:

    I am truly thankful to the holder off this web page who has shared ths great
    post at at this place.

Speak Your Mind

*