Tietoturva-aukko ja haavoittuvuus WordPress-sivustolla
Eräänä iltana sain yhteistyökumppanilta viestin. Hän kysyi siinä, että olenko lisännyt jonkun uuden käyttäjän Kurssiverkkoomme ylläpitäjäksi ja hän oli myös liittänyt tämän käyttäjätunnuksen ja erikoiselta näyttävän sähköpostiosoitteen viestiinsä. Ymmärsin heti, että tähän on reagoitava nopeasti, mutta Marko oli nopeampi. Sivustolle oli murtauduttu!
Ennen uskottiin, että ennakointi estää moiset tapahtumat, mutta nyt puhutaan, että varautuminen tietoturvamurtoihin on tärkeää jokaisessa pienessäkin yrityksessä. Murtautumisia sivustoille tapahtuu hyvälläkin tietoturvan hoidolla. Me ehdimme reagoida tuntien sisään kun haavoittuvuus oli paljastunut.
Haavoittuvuus josta käsin hakkeri pääsi sivustolle sisään, sijaitsi WordPressin lisäosassa nimeltään PublishPress Capability. Alla lainaus verkkopalveluyhtiömme vastauksesta meille: ”Tästä kyseisestä lisäosasta capability-manager-enhanced on tullut ilmoitus haavoittuvuudesta eilen työpäivän jälkeen, jolloin emme olleet vielä ehtineet reagoida siihen eilen illalla. Lisäosa on kuitenkin nyt päivitetty kaikkiin meillä oleviin sivustoihin ja teidän sivustollanne tuo lisäosa näyttäisi olevan jo poistettu.”
Luotamme tähän palveluun jatkossakin, mutta kuten huomaat, hyökkäys tapahtui työpäivän jälkeen. Mitä enemmän WordPressissä on lisäosia, sen enemmän on haavoittuvuus mahdollisuuksia. Tämäkin lisäosa oli kuitenkin tunnettu ja laajalti käytetty ja luotettu.
WordPress on hyvä ja toimiva alusta, joitakin lisäosiakin tarvitaan, enkä usko, että tänä päivänä missään ollaan täysin turvassa näiltä tietomurtoyrityksiltä. On toinenkin ääripää, nimittäin ylettömän tiukaksi vedetty turva, joka saattaa jopa rikkoa nettisivujen normaalitoiminnan tai esimerkiksi Google ei löydä enää sivustoa, kuten erään liian tiukan tietoturvaohjelman tapauksessa kävi. Liian tiukasta tietoturvasta kärsin itsekin hetken omalla koneellani, kun vaihdoin uudelle virustorjunnan palveluntuottajalle. Amerikkalainen kirjanpito-ohjelma oli riekaleina ruudulla muutaman kerran, kunnes sain sen hyväksymään suojausten olemassaolon myös pankkitoimintojen aikana.
Tietoturva on iso kokonaisuus, josta pala kerrallaan on hyvä olla mielessä ja työn alla kaikilla, joilla on yritys (tai laajennetaan: siis kaikilla, joilla on joko älykännykkä tai tietokone). Vähintä mitä voit tehdä sen lisäksi että käytät järkevästi salasanoja ja käyttäjätunnuksia on olla hereillä digitaalisessa kanssakäymisessä. Mitä nopeammin tarkistat sen mikä jäi vaivaamaan sinua, sen nopeammin estät isommat tuhot.
Verkkopalveluyhtiö, jossa sivustomme sijaitsee, sai siis ensiaputoimenpiteiden jälkeen asiantuntevaa tukipalveluviestiä jo illalla ja aamulla asia oli myös verkkopalveluyhtiössä hoidettu ja tiedotettu myös eteenpäin.
Hyvän yhteistyön ja osaamisen jakamisen merkitys nousee esiin myös tässä. Kun erilaiset pienet yrittäjät tekevät yhteistyötä, se mahdollistaa myös nopeamman reagoinnin tämän tyyppisiin hyökkäyksiin. Jatkamme yhteiskehittämistä ja tämä kokemus vain vahvisti sitä ajatusta, että meillä on yhdessä paljon enemmän annettavaa sinulle digiyrittäjä.
Yhteistyön kanssamme voit aloittaa vaikkapa tarvekartoituksella. Ota yhteyttä!
