WordPress bottihyökkäysten kohteena viikolla 43/2019

Kirjoitettu: 29.10.2019 Päivitetty: 29.10.2019

Seravolla seuraamme ylläpidossa olevien sivustojen toimintaa ympäri vuorokauden ja läpi vuoden – niin arkena, jouluna kuin juhannuksenakin. Huomaamme yleensä poikkeamat sivustojen toiminnassa välittömästi, oli syynä sitten koodivirhe, rikkinäinen kolmannen osapuolen integraatio tai poikkeama omassa järjestelmässämme. Olennaisena osana ylläpitopalveluamme pidämme silmällä myös tietoturvaa.

Bottiverkkoilla murtautumisyrityksiä WordPressiin

Syksyn aikana selvänä trendinä on näkynyt automatisoitujen bottiverkkojen aktivoituminen. Meitä työllisti erityisesti 24.–27.10. välillä tapahtunut huomattava murtoyritysten määrän kasvu jopa 4,5-kertaiseksi.

Ote liikennemäärien kehityksestä lokakuussa 2019 - viikolla 43 huomattava kasvu pyyntöjen määrässä (haittaliikenne).
Oheisessa kuvaajassa (sininen viiva) yhden palvelinklusterin sivustoihin kohdistuvan wp-login/XML-RPC -murtoyritysten määrän kehitys lokakuussa 2019.

Tällä hetkellä kasvua näkyy erityisesti WordPressin kirjautumissivuun (wp-login) kohdistuvissa murtoyrityksissä, joissa hyökkääjä yrittää käytännössä arvata käyttäjien salasanoja esimerkiksi kokeilemalla muualta vuotaneita salasanoja. Toinen suosittu murtoyritysten kohde on WordPressin XML-RPC -rajapinta, joka tarjoaa sovelluksille näkymän WordPressin sisältämään tietoon ja käyttäjätunnuksiin. Jotkut integraatiot käyttävät tätä rajapintaa tiedonvälitykseen eri palveluiden välillä. WordPressin REST-rajapinta on hiljalleen syrjäyttämässä XML-RPC:n käyttöä.

Tuleeko sivuston omistajan olla huolissaan?

Murtoyritysten määrän kasvusta huolimatta WordPress-sivuston omistajan ei tarvitse olla huolissaan, kunhan normaalista salasanahygieniasta on huolehdittu ja salasanat ovat vahvoja. Jos on epäilys, että sivustolla on heikkoja salasanoja, voi Seravon asiakkaana ajaa komennon wp-check-passwords.

Esimerkkiajo wp-check-passwords-komennosta. Kahdelta käyttäjältä löytyi heikko salasana.

Mikäli Seravon ylläpidossa olevalle sivustolle luodaan uusi käyttäjä, tai vanhan käyttäjän salasana vaihdetaan, kaikilla asiakkailla käytössä oleva Seravo Plugin estää oletuksena heikkojen salasanojen käyttämisen. Näin ollen sivustolla on mahdollista olla heikkoja salasanoja vain silloin, jos sivusto on siirretty muualta Seravon ylläpitoon ja salasanoja ei ole vaihdettu sen jälkeen.

Emme suosittele turhia tietoturvalisäosia

Emme suosittele tietoturvalisäosia, sillä esimerkiksi wpvulndb.com:n tilastoissa näkyy, että top-10:ssä tietoturva-aukkojen suhteen on usein erilaisia tietoturvalisäosia, tällä hetkellä mm. better-wp-security ja aiemmin esimerkiksi Wordfence. Emme myöskään suosittele kirjautumissivun osoitteen vaihtamista, sillä Seravon palvelintason suojaukset valvovat nimenomaan WordPressin oletusosoitteita (example.com/wp-login.php).

Sen sijaan kirjautumisen suojaamiseen, roskakommentteihin ja muuhun uskallamme suositella Google ReCaptchan käyttöä, koska se toimii hyvin ja ei kokemustemme mukaan tuo mukanaan haittavaikutuksia.

Haittaliikenteen automaattinen estäminen

Huolehdimme murtoyritysten estämisestä monella tasolla. Valvomme sivustokohtaisesti murtoyritysten määrää ja aktiiviseksi havaittu murtoyritys estetään rajaamalla vihamielisen IP-osoitteen pääsyä esimerkiksi kirjautumissivulle. Käytössä olevat liikenne-eston laukaisevat rajat on asetettu siten, että niistä ei aiheudu haittaa sivuston normaalille käytölle.

Esto toimii niin, että ensin hyökkäjälle näytetään virhesivu ja HTTP 429 -virhekoodi. Jos hyökkäys jatkuu, estetään kyseinen IP-osoite kokonaan Seravon palvelimilta määräajaksi. Tarkat rajat ja määräajat riippuvat tilanteesta ja optimoimme niitä jatkuvasti. Mikäli kohtaat 429-virheen tilanteessa, jossa sitä ei kuuluisi tulla, pyydämme olemaan yhteydessä asiakaspalveluumme asian tarkistamiseksi.

Ongelmat sivustoilla fi-metheny-palvelinklusterissa

Boteista johtuva liikennemäärän yllättävä kasvu osui meidän kannaltamme ikävään ajankohtaan, sillä juuri viikon 43 alussa suoritimme yhdessä Suomen viidestä konesalistamme (fi-metheny) huoltotöitä, minkä seurauksena käytössä oli hetkellisesti alentunut kapasiteetti. Tässä yhteydessä havaitsimme myös järjestelmävian, joka vaikutti edelleen heikentävästi konesalin suorituskykyyn, ja kun päälle lisättiin vielä samaan ajankohtaan osunut merkittävästi noussut liikennemäärä, aiheutui tästä hetkellistä ylikuormitusta. Tämä näkyi valitettavasti myös osalle kyseisessä konesalissa sijaitsevista sivustoista hetkittäisinä katkoksina. Häiriö kosketti pahimmillaan tässä konesalissa noin 12% sivustoista, mikä on noin 3% kaikista asiakkaistamme. Toisin sanoen 97 prosentille tämä häiriö ei näkynyt mitenkään.

Haittaliikenteen kasvaessa merkittävän suureksi hyötyliikenteeseen nähden teimme tässä konesalissa muutamia kuormitusta laskevia toimenpiteitä. Kaikki liikenne sivustojen XML-RPC -rajapintaan estettiin toistaiseksi ja kaikilla ko. konesalissa sijaitsevilla sivustoilla otettiin käyttöön Seravo Pluginin tietoturva-asetukset. Koska käytössä olevat liikennerajaukset ovat poikkeuksellisen aggressiivisia, on mahdollista, että yksittäisillä sivustoilla esiintyy tähän liittyen sivuoireita. Olethan yhteydessä asiakaspalveluumme, mikäli kohtaat ongelmia.

Seravon sivustokohtaiset tietoturva-asetukset
Seravon sivustokohtaiset tietoturva-asetukset.

Jos olet kiinnostunut omaan sivustoosi kohdistuvasta liikenteestä, Seravon asiakkaana sinulla on aina pääsy oman sivustosi lokitietoihin. Sivuston liikennetietoja voi seurata myös sivuston hallintapaneelin valikosta Työkalut > Raportit edellisen kuukauden HTTP-tilastoja tarkastelemalla.

Murtoyrityksiä aina ja kaikkialle

Valitettavasti viime vuosina jatkuvat murtoyritykset kaikkiin Internetiin liitettyihin palveluihin ovat jatkaneet lisääntymistään. Edelleen esimerkiksi maanantaina 28.10.2019 klo 10:00–11:15 välisenä aikana kaikista Seravon palvelimille tulevista PHP:n käynnistävistä HTTP-pyynnöistä 45 % oli murtautumisyrityksiä. Pahimmillaan lauantaina aamulla 26.10.2019 peräti 65 % kaikesta Seravon palvelimille tulevasta liikenteestä oli murtautumisyrityksiä.

Tässä 1 h 15 min otoksessa yli 45 % PHP-sivuihin kohdistuvat HTTP-pyynnöt kaikilla Seravon palvelimilla oli murtautumisyrityksiä
Tässä 1 h 15 min otoksessa yli 45 % PHP-sivuihin kohdistuvista HTTP-pyynnöistä kaikilla Seravon palvelimilla oli murtautumisyrityksiä.

Onkin olennaista, ettei sivustoa jätetä ilman ylläpitoa. Seravon asiakkaana sinun ei tarvitse huolestua, sillä me teemme sen puolestasi: seuraamme tilannetta vuorokauden ympäri ja reagoimme viivytyksettä.

Usein tämänkaltaiset hyökkäykset ovat peräisin valtavista bottiverkostoista, jotka koostuvat sadoista tai tuhansista kaapatuista koneista ympäri maailman. Kohteet valikoituvat yleensä sattumanvaraisesti, ja tälläkin kertaa kyse vaikutti olevan sattumasta eikä kohdennetusta hyökkäyksestä Seravoa tai tiettyä asiakasta kohtaan. Olemme välillä tehneet rikosilmoituksia tietomurroista tai niiden yrityksistä asiakkaidemme puolesta, mutta toistaiseksi poliisi jättää ne tutkimatta huonon selvitysennusteen takia, joten bottiverkot ovat ainakin toistaiseksi pysyvä riesa.

Reaaliaikainen tiedotus Seravo Status-tilin kautta

Ajankohtaiset häiriötiedotteet saat helpoiten Twitteristä @SeravoStatus -tilin kautta. Pyrimme tiedottamaan mahdollisimman matalalla kynnyksellä ja kerromme aina häiriön kohteena olevan klusterin sekä arvion siitä, miten suurta osaa kyseisen klusterin asiakkaista häiriö koskee. Koska meillä on lähes 3500 sivustoa ylläpidossa yhdeksässä eri palvelinryppäässä ja meillä on matala tiedotuskynnys, tulee ilmoituksia toisinaan paljon. Asiakkaidemme ei tarvitse olla huolissaan, koska reagoimme tällaisiin asioihin asiakkaiden puolesta. Muiden kuin Seravon asiakkaiden ja erityisesti niiden, joiden WordPress-sivustolla ei ole kunnollista ylläpitoa, tulee itse huolehtia vastaavien asioiden seurannasta.

Kommentoi

Ville Korhonen

Hae WP-palvelu.fi:stä

Lue myös

HTTPS ei ole vapaaehtoinen

5.11.2019

Tietojen salaus on ollut arkipäivää vuosikaudet. Saatat tälläkin hetkellä olla yhteydessä internetiin suojatun VPN-yhteyden ylitse suojataksesi henkilökohtaiset tietosi uteliailta katseilta. […]

Myynnin ammattilainen haussa

1.11.2019

Seravon kasvaessa ja kehittyessä on jälleen rekrytoinnin aika. Tällä kertaa paikka on auki B2B-myyjälle, joka haluaa hypätä osaksi kansainvälistyvää yritystä […]

Uudistunut tukipalvelu

21.10.2019

Olemme vaihtaneet Seravon asiakaspalvelun taustajärjestelmää. Asiakaspalvelu palvelee muutoksesta huolimatta osoitteesta help@seravo.com käsin, mutta suomenkielisen käyttäjädokumentaation sijainti on muuttunut. Se löytyy […]