Sivusto hakkeroitiin eli miten kävi kun WordPress jätettiin päivittämättä vuosiksi

Tämä tarina on tosi ja tapahtui elokuussa 2017.

Asiakas soitti minulle maanantaiaamuna kertoakseen, että hänen nettisivunsa oli hakkeroitu ja sen vuoksi suljettu viikonlopun aikana.

Sivusto oli hakkeroitu syöttämällä sinne koodia tietyn porsaanreiän kautta, joka oli vanhassa ylläpitojärjestelmän versiossa. Tämän haittakoodin vuoksi webhotellin palveluntarjoaja oli tietoturvalainsäädännön nojalla pakotettu ottamaan sivut pois näkyvistä kokonaan siihen asti kunnes koodi poistettaisiin sivulta.

Sivut oli alkujaan tehnyt mainostoimisto, joka äkkikatsomalta ei ollut itsekään päivittänyt omia nettisivujaan melko pitkään aikaan (tsk tsk). Asiakkaan sivustolla ei ollut tietoturvalisäosia eikä sen lisäosien tai itse ylläpitojärjestelmän päivityksestä oltu huolehdittu lainkaan sivujen tekemisen jälkeen, eli useaan vuoteen.

Asiakkaani sivusto oli siis pommi, joka vain odotti laukeamistaan.

Aika nopeasti kävi selväksi, että sivuston hakkerointi oli kuitenkin pienin ongelmista.

Maanantai

Ensitöikseni otin yhteyttä webhotellin asiakaspalveluun, ja yritin saada sitä kautta käyttäjätunnukset palvelimelle, jotta pääsisin siivoamaan haittakoodin pois ja päivittämään lisäosat.

Luonnollisesti – aivan kuin asiakaspalvelun pitääkin toimia – he tarvitsivat jotain vakuuksia siitä, että olin oikealla asialla. Ongelma vain oli siinä, että asiakkaani oli tekemässä töitä ulkomailla, ja webhotellin asiakaspalveluun ei päässyt soittamaan ulkomailta lainkaan.

No, asiakkaani lähetti heti webhotellin asiakaspalveluun sähköpostin, jossa oli tarvittavat tiedot sen varmistamiseksi, että he voisivat antaa asiakkaani sivutilan tunnukset minulle. Sähköposti ei joko kuitenkaan koskaan päässyt perille tai sitä ei koskaan avattu, koska maanantain aikana asiakaspalvelusta ei kuulunut pihaustakaan.

Tiistai

Asiakkaani lähetti minulle eteenpäin hänen maanantaina webhotellin asiakaspalveluun lähettämänsä viestin, jonka minä välitin taas uudelleen samaiseen asiakaspalveluun tiistaiaamuna.

Tämän jälkeen asia eteni niin, että sain tunnukset webhotelliin tiistaina – iltapäivällä 5 tuntia sen jälkeen kun olin lähettänyt viestin asiakaspalveluun. Koska minulla oli muita menoja, joiden vuoksi en siinä kohden enää ollut koneen äärellä iltapäivällä, siirtyi korjausten teko keskiviikolle.

Keskiviikko

Pääsin vihdoin webhotelliin käsiksi ja siivoamaan haittakoodia pois.

Neljän tunnin heinäsuovan läpikäynnin jälkeen sain korvattua hakkeroidut, ja siten siis saastuneet, tiedostot, vanhoilla, muutaman kuukauden vanhoilla varmuuskopion versioilla. Tämän jälkeen välitin viestin webhotellin asiakaspalveluun, jotta he tarkistaisivat, että kaikki haittatiedostot on poistettu ja että sivusto voitaisiin avata, jotta pääsisin tekemään sinne järjestelmän tietoturvapäivitykset.

Vastausta viestiini ei asiakaspalvelusta koskaan tullut.

Torstai

Soitin webhotellin asiakaspalveluun aamulla, ja pyysin heitä tarkistamaan sivuston tilan. Nyt vihdoin asiat tapahtuivat jo vähän nopeammin ja tunnin päästä pääsin tekemään järjestelmän päivityksiä uudelleen avatulle sivustolle.

Varmistettuani ylläpitojärjestelmän, teeman ja lisäosien toiminnan päivitysten jälkeen sivut avattiin uudelleen kaikelle kansalle käytettäväksi, mutta muutamallakin eri tietoturvalisäosalla vahvistettuna.

Laskun palautustyöstä lähetin asiakkaalle torstaina vähän puolenpäivän jälkeen.

Neljä päivää

Kiitos webhotellin asiakaspalvelun hitauden asiakkaani sivut olivat poissa toiminnasta NELJÄ PÄIVÄÄ.

Neljä päivää, joiden aikana Googlen kautta tehtiin tuhansia hakuja asiakkaaseeni liittyen per päivä ja joiden aikana tuhansista hakutuloksista sivustolle tulleet joutuivat törmäämään viestiin, jossa todettiin kylmästi “Sivut ovat poissa toiminnasta, koska ne on hakkeroitu. Ota yhteyttä asiakaspalveluumme, jos olet sivujen omistaja”.

Neljä päivää, joiden aikana sivujen hakukonenäkyvyys todennäköisesti laski johtuen edellämainitusta, koska asiakaspalvelu ei reagoinut viesteihin, vaan heille piti soittaa, jotta asioita sai eteenpäin.

Neljä päivää, jotka olisivat olleet katastrofi, jos tavallisen sivuston sijaan olisi ollut kyse esimerkiksi verkkokaupasta.

Sivujen palautus toimintaan sekä niiden päivittäminen ja tietoturvan parantaminen vei minulta viitisen tuntia.

Jos asiakaspalvelu olisi vastannut edes kohtuullisella muutaman tunnin viiveellä ja olisin saanut palvelimen käyttäjätunnukset maanantaina, niin ongelma olisi ratkottu saman päivän aikana tai viimeistään tiistaina.

Lopputulema

1. Webhotelleja kannattaa ja pitää kilpailuttaa.

En pysty korostamaan tätä liikaa koskaan, mutta tämän kokemuksen jälkeen enemmän kuin koskaan haluan painottaa, ettei ole lainkaan yhdentekevää, kenen palvelimella sivusi sijaitsevat.

Pahinta koko tässä touhussa oli se, että palveluntarjoaja oli Nebulan tytäryhtiö Webhotelli.fi, jolta olisi voinut odottaa vähän liukkaampaa ja ammattimaisempaa toimintaa. Päätin nyt julkaista yrityksen nimen tässä, koska heidän toimintansa (tai siis sen puute) oli niin merkittävä osa ongelmaa. Olen antanut heille palautetta tästä toiminnasta, ja toivon, että he käyttävät saamansa palautteen toimintansa kehittämiseen.

Tästä oppineena: vertaile webhotelleja ja kysele kokemuksia muilta, jos mahdollista. Jyvät erottuvat akanoista melko nopeasti.

Keskity kokemuksissa kuuntelemaan vastauksia erityisesti heiltä, joilla on ollut sivut jollain palveluntarjoajalla ja heillä on tullut jotain ongelmia webhotellin kanssa. Jos joku ei ole saanut vastausta asiakaspalvelusta ennen tilausta, niin se ei vielä kerro mitään asiakaspalvelun todellisesta toimintatehosta, koska myyntiosasto ei useinkaan vastaa käytännön asiakaspalvelusta. Selvitä, kuinka nopeasti ongelma selvitettiin, oltiinko aktiivisesti yhteydessä, vastattiinko viesteihin nopeasti ja selvisikö asia ylipäätään.

Oma häpeilemättömän puolueellinen suositteluni webhotellipalveluntarjoajaksi löytyy tämän linkin takaa. Minulla on heidän palveluistaan kokemusta vuodesta 2013 lähtien ja kokemukseni on, että heillä on konkreettisesti lähes virheetön suoritus asiakaspalvelun osalta. Minulla ole muuta kuin hyvää sanottavaa heidän palveluistaan. Ongelmat on selvitetty tuntien sisällä päivästä tai kellonajasta riippumatta ja apua on saanut aina, oli ongelma sitten iso tai pieni.

2. Huolehdi sivustosi ylläpitojärjestelmän, lisäosien ja teemojen ajantasaisuudesta

Jos sinulla on WordPress-ylläpitojärjestelmä sivustollasi, niin huolehdi siitä, että se on päivitettynä aina viimeisimpään versioon. Huolehdi myös lisäosien ajantasaisuudesta, koska ne voivat yhtälailla aiheuttaa ongelmia.

Huolehdi myös siitä, että sivustollesi on asennettuna vain teemat, jotka ovat käytössä. WordPressin yhteydessä se tarkoittaa varsinaista teemaa ja sen lapsiteemaa, joka on varsinainen sivulla käytössä oleva teema, eli kahta teemaa. Ylimääräisten teemojen pitäminen sivustolla on turhaa ja aiheuttaa täysin tarpeettoman haavoittuvuusriskin sivustollesi.

Sivut voidaan hakkeroida myös teemojen kautta.

Jos et osaa itse tehdä päivityksiä ja varmistaa sivusi toiminnallisuuksia päivitysten teon jälkeen, niin osta päivitysten teko ammattilaiselta, kuten esimerkiksi minulta (minulla on juuri tarjous päivitysten teosta nettipuodissa!). Päivitysten teko ei vie ammattilaiselta kauan ja hän huolehtii myös siitä, että sivusi toimii oikein myös päivitysten teon jälkeen.

Päivityksiä ei edes tarvitse tehdä joka kuukausi, kunhan niitä ei jätä tekemättä vuosiksi!

3. Huolehdi sivuston tietoturvasta käyttämällä palomuuri- ja skannerilisäosia

Suosittelen kaikille sivustoille All In One WP Security and Firewall -lisäosaa. Muita erittäin hyviä palomuurilisäosia ovat iThemes Security ja Wordfence. Lisäksi sivustolle on hyvä asentaa Sucuri Scanner -lisäosa, joka pitää silmällä sivustolla tapahtuvaa käyttäjäliikennettä ja muutosten tekoa.

Palomuurilisäosien käyttöönotossa on hyvä käyttää ammattilaista, jos palvelinasiat ovat itselle täyttä hepreaa. Asetuksia tuntematon helposti laittaa sivuston niin tiukkaan suojaan, ettei sinne pääse ylläpitäjä itsekään.

Lisäksi ainakin Wordfence vaatii tietoa palvelimen tyypistä, jotta sen saa toimintaan parhaalla mahdollisella tavalla.

Oikein asetettuina lisäosat toimivat huomaamattomasti eivätkä hankaloita sivuston toimintaa mitenkään pitäen sivustolle pahoissa aikeissa yrittävät kurissa.

Loppusanat

Hakkereista on hyvä ymmärtää se, että hakkerit eivät välttämättä tee asioita siksi, että he haluavat vahingoittaa juuri sinun yritystäsi tai sinun sivustoasi.

He hakkeroivat, koska voivat.

Siksi jo pelkästään ylläpitojärjestelmän ja lisäosien pitäminen aina viimeisimmissä versioissa estää isoimmat tietoturvaongelmat.

Ja sillä webhotellilla on todellakin väliä.