”Onks teidän verkkosivuilla noi tietoturva-asiat kondiksessa?” kysyy geelitukkainen koodari Lahesta.
Yrityksellänne on upeat nettisivut, joiden visuaalinen ja tekninen toteutus on loistava. Nopeasti muuttuvassa verkkomaailmassa on syytä pohtia, loistavatko nettisivut myös tietoturvan näkökulmasta.
Verkkosivuille hyökätään jatkuvasti ja kiihtyvällä tahdilla
Lyhyesti ja brutaalin rehellisesti sanottuna: verkkosivuille hyökätään jatkuvasti ja kiihtyvällä tahdilla. Hyökkäysten takana saattaa olla yksittäinen hakkeri, hakkeriryhmä tai äärimmäisissä tapauksissa jopa valtiollinen taho. Motiivit vaihtelevat aina henkilökohtaisen saavutuksen hakemisesta vaikkapa koko yritystoiminnan lamauttamiseen. Pahimmassa tapauksessa hyökkääjä saa sivuston niin rikki, että palautustoimet eivät enää onnistu – ja hintalappu on sen mukainen.
Julkisuudessa törmää myös säännöllisesti uutisiin, kuinka yritysten asiakastietoja on vuodettu pimeään verkkoon. Näiden tietojen lähde on hyvin useassa tapauksessa yrityksen verkkosivuille säilötty asiakasrekisteri.
Tilastot ovat karua luettavaa. Esimerkiksi maailman suosituimpaan julkaisujärjestelmään WordPressiin (markkinaosuus 44 % maailman verkkosivuista ja 63 % osuus kaikista julkaisujärjestelmistä) vastaan hyökätään päivittäin 120 000 kertaa.
Arvioiden mukaan joka 25. WordPress sivusto on ”korkattu”, eli sivuston hallintaan on päässyt livahtamaan hakkeri, joka voi muuttaa sisältöä kuten haluaa tai valjastaa sivuston webhotellin suorittamaan hyvin epämääräisiä toimia, kuten esimerkiksi tekemään brute force -hyökkäyksiä (eli salasanan massasyöttöä) tai lähettämään roskapostia.
Tapoja hyökätä sivustoille on useita. Käytetyimmät tekniikat lienevät jo mainittu brute force, SQL-injektio (eli koodin syöttö tietokantaan) sekä koodin ajo XSS-menetelmällä kolmannesta osapuolesta.
Keinoja taistella näitä hyökkäyksiä vastaan löytyy ja Kuuki hyödyntääkin laajaa keinopalettia asiakkaidemme sivustoilla. Sivustot ovat tapauskohtaisia, joten keinot voivat vaihdella. Nyrkkisääntönä voidaan pitää, että tietoturvasta huolehtiminen on pitkäjänteistä tekemistä, joka ei oikeastaan koskaan tule valmiiksi.
WordPress-sivuston tietoturvan avainkohdat
Tässä listattuna muutamia avainkohtia, joiden vähintään on syytä olla kunnossa:
Käyttäjänimet ja sähköpostiosoitteet
Otetaan esimerkki: Oy Yritys Ab:n toimitusjohtaja Matti Meikäläinen kirjoittaa aktiivisesti blogia yrityksen verkkosivuilla. Hallintaan pääsee kirjautumaan joko sähköpostiosoitteella tai kirjautumistunnuksella. Kiiluvasilmäinen hakkeri päättelee jo tämän perusteella Matin kirjautumissähköpostin WordPressin hallintaan, onhan yrityssähköposti muotoa matti.meikalainen@yritys.fi ja löytyy usein myös yrityksen verkkosivuilta.
Koska Matti on tietoturva-asioista perillä, hän onkin muuttanut kirjautumissähköpostinsa Gmail-osoitteekseen ”meimatti2356@gmail.com” jota hakkeri taas ei tiedä. Matti on myöskin määritellyt WordPressin profiilista käyttäjätunnuksekseen lempinimen ”Masa” jolloin hakkeri ei suoraan pysty päättelemään Matin kirjautumistunnusta. Näin on blokattu suora pääsy ensimmäiseen kahdesta oletuskirjautumiskentästä.
Vahvat salasanat
Vahvan salasanan merkitystä ei voi liiaksi korostaa, sillä brute force -tekniikan idea on syöttää kirjautumissalasanoja nopealla tahdilla ja odottaa, että tärppää.
Salasanat kuten ”salasana”, ”password” ja ”1234” lienevät ensimmäisenä brute force -robottien listalla. Jos sivuston käyttäjänimet ovat lisäksi vuotaneet, sisään mennään niin, että heilahtaa. Jos salasana on ”salasana”, kestää sen selvittämisessä tavallisella kotiläppärillä 1 minuutti ja 13 sekuntia.
Esimerkkimme Matti suosii salasanoissaan entropiaa. Mitä pidempi salasana, sen vaikeampaa brute force -botille on keksiä oikea salasana. Siksi Matin salasana on lausemuotoinen ”[MasanSalaSanaFirmanSivuille2356+”, joten sen arvaamiseen vaadittava aika on jo lähes maailmankaikkeuden ikä.
Näillä toimilla ollaan kirjautumisnäkökulmasta melko hyvässä tilanteessa verkkosivujen tietoturvan suhteen.
Muita harkittavia asioita
- Kaksivaiheinen tunnistautuminen (2FA) kirjautumisen vahventamiseksi
- ”Hunajapurkki” eli ihmiselle näkymätön lomakekenttä kirjautumissivulla, johon brute force -botti lankeaa
- IP-osoitteiden ”white listing” eli sivuille pääsee kirjautumaan vain tietyistä IP-osoitteista
- Hallintajärjestelmän kirjautumisosoitteen muuttaminen oletusosoitteesta johonkin muuhun
- Yleisimpien pääkäyttäjänimien automaattinen esto
- Sivustolle rekisteröitymisen esto
- Tarpeettomien toimintojen esto (joissakin tapauksissa voidaan sulkea esimerkiksi sivuston API-rajapinta
Tämä lista on vasta jäävuoren huippu. Mitä enemmän sivusto sisältää käyttäjien lähettämiä tietoja, kuten yhteydenottolomakkeen kautta lähetettyjä henkilötietoja, sitä vakavammin on syytä tarkastella tietoturvan varmistamiseksi tehtäviä toimia.
Keräätkö lomakkeella tietoja? Sitä kriittisempää tietoturva sivustollasi on
Jättäisitkö toimiston oven lukitsematta viikonlopuksi? Ethän myöskään anna hakkereille vapaata pääsyä verkkosivustollenne? Teknologiatiimimme tarjoaa kattavan tietoturva-auditoinnin, jossa selvitämme sivuston nykytilan ja esitämme korjausehdotukset kriittisyyden mukaan. Vahvista sivustosi suojausta – tietoturvasta huolehtiminen on tätä nykyä yrityksen perusvelvollisuus.