Kodulehtede turvalisus viimasel ajal

  • Viimasel ajal on meie klientide Wordpressi lehtedele sissehäkkimine hüppeliselt sagenenud. Samuti on osad väikekliendid palunud lausa kiiret IT-tuge, häkitakse ka Gmaili kontosid, tänane näide oli Nigeeria IP-aadressilt, kogu Gmaili interface muidugi araabiakeelseks pandud, kirjad ja kontaktid kustutatud.

    Siin teemas võib jagada kogemusi ja parimaid turvapraktikaid, mis on endale tulemusi toonud. Kas keegi kasutab lisaks WP dokumentatsiooni enda soovitustele olukorra trackimiseks mingeid tasuta turvapluginaid (nt iThemes Security) või lausa tasulist teenust (Sucuri) ning kas need on ka piisavalt tulemusi toonud?

    04. mai 2015 - 10:18:21 · Otselink

  • Mis tähendab "viimasel ajal"?

    Miski ~nädal tagasi lasti välja selline teade:

    originaal: http://klikki.fi/adv/wordpress2.html
    lisainfot: https://cedricvb.be/post/wordpress-stored-xss-vulnerability-4-1-2/

    tähendab, praeguseks kõigil kellel WP uuendamata on ilmselged probleemid.

    04. mai 2015 - 10:47:49 · Otselink

    2

    • "viimasel ajal" tähendab vist seda, et viimased 5 aastat on wp üks enim häkitud platvorme ja tõsi ta on, et turvaparandused tulevad kiirelt, aga neid ei panda alati peale.

    • link

    Loe kõiki

  • See ei ole ainult wordpress , sisuliselt saavad kotti ka kõik suvalised populaarsemate tarkvarade nagu magento jne opensource frameworke või tooteid kasutavad kliendid kes ei jälgi turvaliste ja ei ole valmis oma tarkvara tundide jooksul patchima. See on samas päris mahukas töö :) loe kokku mitmest komponendist keskmine sait koosneb, tõsine dependency hell

    Trend on ikka see, et kõik defacemised, pahavaraga jne nakatamised tehakse täna juba automaatselt, script valmis ja spider vigaseid saite otsima. Teine trend on see, et häkitakse just rohkem pluginaid , extensione ja kotitakse just neid , sest sealtavaliselt kvaliteedikontroll puudub.

    nr 1 tahasaamise põhjus ikkagi selle pärast, et saidi omanikud ei käitu ise normaalselt ja sageli puuduvad tugevad passwordid, passwordide uuendamise rutiinid , saadetakse e-mailiga passworde, peale kasutamist ei tühistata accesse , ligipääsude infot hoitakse plain text failides , igas kohas samad paroolid jne.

    Kui sa täna kasutad mingit poppi avalikku teenust nagu gmail vms ilma "two factor" autentimiseta ja su paroolid ei ole 24 suvalist märki pikk (pikema ei ole enam mõtet kasutatavate algoritmide juures) ja sa seda lolli järjekindlusega paar korda aastas ei uuenda, siis sa sisuliselt ise kutsud endale häda kaela ja on vaid vaja küsida millal see juhtub mitte kas see juhtub.

    04. mai 2015 - 11:49:50 · Otselink

    2

    • +1

    • põnevat lugemist paroolide pikkusest link

    Loe kõiki

  • andris 3 a

    WordPress toetab automaatset uuendamist, kuid see eeldab, et Wordpressil peab olema failide kirjutamise õigus, mis on teisest küljest jälle omatte turvarisk. Samas kui see õigus on olemas, siis tasub kindlasti jälgida, et automaatsed uuendamised oleks sees. Muuseas, deface'imisest palju olulisemad on remote shellid, mis muudavad su blogi botneti osaks, ilma et ise sellest arugi saaksid. Omast arust pead väikest blogi, aga tegelikult saadab see blogi massiliselt viagra kirju laiali.

    Deface'imine võibki teinekord olla vaid tagajärg – sait on ammu ära häkitud ja selles on remote shell. Sellisel juhul deface tegija ei skänni mitte turvaauke, vaid konkreetse remote shelli olemasolu ja selle leidmisel jääb väga palju vaeva ära sest sõbralik kolleeg on blogi ukse juba pärani lahti teinud, kopeeri ainult oma deface'itud esileht blogisse ja see ongi "häkitud".

    Wordpressi pahavara mida mina näinud olen, on tavaliselt tegelenud just kirjade saatmisega. Selle vastu aitab lihtne rohi – serverist tuleks maha võtta sendmail vms. nii et PHP mail käsk enam ei töötaks. Samuti tuleks tulemüüris kinni panna väljuv port 25. Selleks, et Wordpress ikka kirju saata saaks, olen tavaliselt installinud SendGrid plugina ja saatnud kirju läbi SendGridi tasuta konto. Pahavara kas ei taipa seda kaudu saata või kui taipabki, siis SendGridi tasuta konto on piirangutega ja seega väga palju kirju välja saata sealt kaudu niikuinii ei saa.

    04. mai 2015 - 16:57:14 · Otselink

    1

    • Äitah asjaliku kommentaari eest.

    Loe kõiki

  • p2tu 3 a

    Viimati kui ma uurisin, siis WP ei uuenda automaatselt teiseks versiooniks. Nt 4.1 -> 4.2 ei tee automaatselt. Küll aga tehakse automaatselt 4.1.1 -> 4.1.2 või 4.2.1 -> 4.2.4 uuendusi.

    05. mai 2015 - 08:08:33 · Otselink

    2

    • php maailmas pead üldse kõike väga teadlikult tegema, et päarst midagi automaatselt või automatiseerida saaks

    • minu märkus oli neile mõeldud, kes optimistlikult arvavad, et nüüd wp uuendustele tähelepanu pöörama ei pea.

    Loe kõiki

  • p2tu sa ajad natuke asju segamini, automaatsed uuendused ongi mõeldud eelkõige turvaparanduste jaoks. Suuremaid versiooniuuendusi ei tehta automaatselt pigem sellepärast, et need võivad mõjutada seda, kuidas leht toimib (ehk siis võiksid lehe katki teha ilma sinu teadmata).

    andris kindlasti teab, et wordpress iseenesest ei oma mingeid faili kirjutamis õiguseid, pigem on see serveri sättimise teema, kas teed eraldi useri igale wp lahendusele või kasutad www-data või kombineerid jne ....

    05. mai 2015 - 11:43:06 · Otselink

    1

    • Jah, ma mõtlesin muidugi just selle kasutaja kirjutusõigust, kellena php koodi jooksutatakse.

    Loe kõiki

  • p2tu 3 a

    Mis ma sassi ajasin? Täpselt nii kirjutasingi ju. Ma tean väga hästi, miks ei tehta suuri uuendusi automaatselt, aga ometi "lohutavad" ennast sellega paljud kliendid. Räägin oma reaalsest kogemusest: "WP ju uuendab ennast ise, ma olen kaitstud". Paraku ei ole nii.

    Ehk siis minu point - rõhutage klientidele ka, et WP automaatne uuendus on ainult turvaparanduste jaoks, aga ei tohi unustada suuri uuendusi, mida peab tegema käsitsi.

    05. mai 2015 - 12:20:11 · Otselink

    7

    • Sellega ma olen täiesti nõus. Ma viitasin pigem sellele, et uus versioon ei tähenda automaatselt et turvalisus kasvab, tegelikult ei ole siin mingit 1:1 seost.

    • See on muidugi õige, et Wordpressi automaatsed uuendused pikas perioodis ei kaitse sest turvaparandused on vaid uuemate versioonide jaoks. Kui vahepeal käsitsi ei uuenda, siis automaatseid ka ei saa

    Loe kõiki

  • Võtan vana teema üles.

    Tihti tundub selline teenus nagu turvahooldus kaduma minevat väikestes kooslustes: disainer + arendaja. Kuna enamasti jõuab kliendini esmalt disainer, kes omakorda palkab progeja, siis seal vahel hooldus ja tuleviku planeerimine tihti ei tõuse teemaks. Fookus on n-ö laivi minekul ja projekti lõpetamisel ning klient isegi ei tea, et tal on ebaturvaline veebileht sellest päevast alates, kui see avalikuks tehakse.

    Kuidas teile tundub, kas olukord on ajaga muutunud? Kas klient ise on teadlikumaks muutunud?

    Omast praktikast ütleksin nii palju, et oleme aastaid kasutanud toimivat lähenemist, kus klient, reklaamiagentuur ja arenduspartner on kõik samas suhtlusringis ning ei vahendata üksteise tööd. Avatud lähtekood ja avatud kaardid - igalühel on võimalus oluline õigel ajal välja tuua, ennetamaks üllatusi nagu jooksvad turvaparandused või LTS versiooniuuendus iga n aasta tagant.

    06. oktoober 2017 - 15:13:38 · Otselink