FB

Drift av hjemmesider og nettbutikker

Ting du må gjøre som du ikke viste om

Siden WordPress er et stort system som utvikles hele tiden, så kommer det stadig endringer. Feil som er funnet blir rettet og nye funksjoner kommer til. Man må holde nettstedet sitt oppdatert for å unngå at moduler slutter å virke sammen.

Hackere

Alle websider blir forsøkt hacket hver eneste dag, 24/7/365. De fleste forsøk går på å prøve å gjette brukernavn og passord, men de forsøker også utnytte kjente feil/bugs i WordPress. Når hackerne først har fått en fot på innsiden, så er det mye enklere for dem å få kontroll over nettstedet. Man må se på hackere som en parasitter som er avhengig av nettstedet de har infisert for å drive på med aktivitetene. Aktivitetene deres er å sende ut søppelpost og sette opp skyggesider. Skyggesider er kopier av kjente nettsider satt opp med formålet å lure til seg brukernavn og passord. Hackere bruker også nettsider de har infisert som springbrett til å hacke seg inn på andre websider. Når hackere har gjort det de skal, så pleier de å rydde opp og slette spor etter seg samtidig som de lar en bakdør stå åpen, slik at de kan komme tilbake. Det kan derfor være vanskelig å finne ut om/når hackere er på ferde.

Platform

Vi har reundante webservere og databaseclustere. Vi overvåker alle ledd i vår infrastruktur og kan lett se hvor det forekommer flaskehalser. Gjennom mange år har vi betjent krevende kunder som har hatt vært knyttet til media og TV. Vi har bygget opp erfaring til å ta unna trafikk generert av reklamespotter eller interaktive tv-programmer.

Konsekvenser ved å ikke holde websiden oppdatert

Liten trafikk til nettsiden

Med forbedringspotensialet i sikte innfører Google fra tid til annen nye funksjoner eller fjerner utdaterte funksjoner. Det gjelder å følge med i timen, for Google prioriterer de stedene som er oppdatert.

Lavere rangering på gode søkeord

Mindre trafikk fra Google

Potensielle kunder finner ikke siden din

Treg hjemmeside

Gamle moduler fungerer tregt mot resten av miljøet som er oppdatert. Det er viktig å holde kompabiliteten ved like.

Dårlig brukeropplevelse

Man mister salg

Kunder velger konkurerende sider som er raskere.

Hackerangrep

Hvis man lar det gå lenge nok uten oppdateringer, vil man få trøbbel med hackere – garantert! I et dynamisk miljø som stadig er i forandring, lar det seg ikke å lage et system uten feil. Feilene er som oftest ikke av den enkle typen, for de blir funnet raskt. Hackere finner som regel smutthull ved å utnytte svakheter i kombinasjon av flere moduler.

Google stopper all trafikk til nettstedet inntil man har redgjort for hvilke grep man har gjort for å fjerne hackere.

Domenet opparbeider seg dårlig rykte og e-postene til/fra domenet blir ikke levert.

Man smitter potensielle kunder med virus.

Vårt produkt

Mva tilkommer til alle priser.

For nettbutikker gjelder egne avtaler.

Drift av websider (WordPress)

fra kr249/mnd
  • Overvåkning 24/7
  • Regelmessig oppgradering av WordPress/moduler
  • HTTP/2
  • Malware Scan
  • Site Integrity Scan
  • Disabling av XML-RPC i WordPress
  • Beskyttelse av wp-login.php mot bruteforce angrep
  • Beskyttelse mot Referer Spam
  • Offsite backup (jevnlig)
  • Sikre sider (HTTPS:)
  • Website Availability Test 24/7/365 hver 5 min.
  • Daglig backup (onsite)
  • Blokering av trafikk fra Kazakhstan, Kyrgyzstan, Tajikistan, Urkmenistan, Uzbekistan, Azerbaijan og en rekke andre eksotiske land som står for 95% av hackerangrepene.

Ofte Stilte Spørsmål

Det føles litt ekkelt å vite at noen har tatt kontroll over hjemmesiden, som ofte er ansiktet utad for bedriften. Da er det for sent å fortelle at gode rutiner er som regel det som skal hindre dette.

Slik fungerer hacking

Det som oppleves som hacking er som regel automatiske script som tråler gjennom internettet på jakt etter sikkerhetshull. Alle webservere og websider har mekanismer som holder uvedkommende ute. Ingen kommer inn gjennom en stengt dør, så her må scriptene finne veier rundt. Når hackere klarer å logge seg inn med et brukernavn og passord, så blir oppgaven mye enklere. Da åpner det seg ny verden av funksjoner og muligheter, som ikke er tilgjengelig når man ikke er logget inn. Funksjonene kan også mangle de beskyttelsene som man har på utsiden, fordi man likevel har tilgang til informasjonen som er tilgjengelig for registrerte brukere. Hackere bruker disse svakhetene til å skaffe seg dypere tilgang til websiden.

Parasitter som er avhengig av at siden fungerer

Som oftest opptrer hackere som parasitter som er avhengige av at siden fungerer. De har som regel liten interesse i å ødelegge siden og “ta den ned”, bare fordi de kan gjøre det. Det er mer verdifullt for dem å skaffe seg tilgang og legge igjen en skjult dør, slik at de kan komme tilbake senere.  De er også ofte flinke i å rydde opp etter seg og slette spor, slik at man ikke ser med overfladisk sjekk at de har lagt igjen en bakdør.

Spam, skyggesider og springbrett for videre hacking

Spam

Hackere bruker den tilgangen de har skaffet seg til å sende ut søppelpost. Her er det alt mulig rart som kommer ut, alt fra rike bedriftsledere i Nigeria som trenger hjelp til å få ut rikdommene sine til forsvunnede familiemedlemmer som dukker opp i Spania som også trenger økonomisk hjelp og potensielle ektefeller fra asiatiske land som trenger sårt penger til medisinske operasjoner.

Skyggesider

En annen populær svindelmetode er å sette opp skyggesider av ekte hjemmesider med formålet å tilegne seg brukernavn og passord. Metoden er følgende: Man kopierer innloggingsiden til et stort selskap som DHL. UPS eller lignende. Så sender de ut spam som sier at man må endre passordet sitt av sikkerhetsmessige årsaker. Man klikker på linken, blir sendt til skyggesiden, forsøker å logge seg inn, men får feilmelding om at passordet ikke stemmer. De lager det man har skrevet inn og redirecter til den riktige siden før man forsøker igjen. På andre forsøket kommer man ikke, men det er fordi man logger seg inn på originalsiden og man er kanskje ikke klar over en gang at man er blitt svindlet. På denne måten bygger de seg opp lister med potensielle passord. Det er derfor man skal unngå passord med fødselsdatoer, navn på barna sine, bilmerker og lignende. Det er alltid noen andre som er født på samme datoen som barna dine, synes at bimmer er kul forkortelse for BMW og at Supermann er originalt navn når man omtaler seg selv.

Springbrett

Når noen forsøker alle mulige brukernavn og passord så er det enkelt å se hvor de kommer fra. Da er det bare å spore IP-adressene tilbake og ringe politiet? Ikke så enkelt. Da kommer man bare til en side som de har hacket tidligere. Man kan kontakte den som eier maskinen og fortelle at maskinen er hacket så kan de undersøke og finne ut hvem som har hacket maskinen. Det er veldig tidkrevende og som regel vil de også bare finne en annen side som er blitt hacket. Da har det gjerne allerede gått flere uker og man har brukt mye resusser på ingenting. Følger man tråden videre så ender man som regel hos en luguber ISP på Balkan eller Baltikum og det er håpløst å følge sporene videre.

Alle kan bli angrepet av hackere. Det gjelder også de som har gjort grep mot har tatt forhåndsregler. Når uhellet først er ute så gjelder det å ha gode rutiner på forhånd for å kunne rydde opp på rask og effektiv måte. I de mange tilfeller er det nok å pakke ut backup og legge inn kopi av databasen før angrepet. Så oppdaterer man nettstedet til siste versjoneer, bytter passord og sikrer mot nye angrep. Det er dog sjeldent at man kan legge tilbake en backup eller databasen. I mellomtiden er det kanskje blitt skrevet mye på nettstedet og mange filer er blitt lastet opp. Man ønsker ikke å miste alt dette.

Tar vare på data, installerer alt annet

Som regel så ender det opp med at man installerer WordPress på nytt og begynner som med helt nytt nettsted. Man henter kildekoden til modulene man har brulkt fra originalnettstedene og installerer de på nytt. På den måten er man kvitt alle bakdørene hackere måtte ha lagt igjen. Så kopierer man inn dataene brukere har produsert og passer på at det ikke sniker seg inn en bakdør der. Bakdører vil være av type .PHP eller Javascript-filer. Før man installerer databasen så må man forsikre seg at innleggene som er skrevet ikke inneholder Javascriptkode som blir kjørt når innlegget vises. Kan kan også være en effektiv og populær bakdør når en som allerede er logget inn kjører javascriptkode som kan avsløre han brukernavn/passord eller installere virus på maskinen hans.

Man må begynne med gode backuprutiner og gjerne flere kopier av backup tilbake i tid og dessuten kopier som ligger på minst lokasjoner. Har man mange registrerte brukere på websiden, bør man ha streng policy til passord.

Hold nettstedet oppdatert

Pass på at WordPress, moduler og templater er oppdatert. Det beskytter deg mot 95% av angrepene. Installer en sikkerhetsmodul. Det finnes flere mulige. Kjør en eller annen form for lukking av nettstedet med denne modulen. Du må la en person med litt teknisk innsikt sette seg inn i hvordan modulen sikrer ditt nettsted, men de fleste modulene er ganske brukervennlige.

Ha gode passord og bruk https:

Pass på at du ikke tillater enkle passord. Det er ikke så farlig når man har få brukere, men veldig viktig når man har mange registrerte brukere. Det finnes alltid en “Jon”, “Arne” eller “Per”. Disse vil gjerne ha “jon”, “arne” og “per” som brukernavn og e-post for å ha det enkelt. Har man mange nok brukere så vil en av disse før eller siden finne på å velge et enkelt passord. Da får hackerne en fot innenfor.

Hvordan kom hackerne seg inn?

Ingen lett oppgave å svare på. Man må studere logger på webserveren og legge ut honeypots. Honeypot er en slags felle man legger ut og håper at hackerne biter på. Det kan være lett brukernavn eller passord. Når noen kommer seg inn på det brukernavnet, så vet man at det er hackerne som er ute på ferde.

Sjekkliste for opprydding etter hackerangrep av nettside i WordPress

Sjekk hvem som eier filene
Som regel er det alltid web-serveren, eller kunden som har nettstedet som eier filene. Gjør en scan og finn alle filene som fraviker dette. Det er mulig du vil oppdage en eller flere bakdører
Sjekk når filene er endret
Alle filene har en dato for når det er laget og når de er endret. Sorter alle filene på dato og undersøk de filene som har endret seg sist. Det er mulig du vil finne bakdører i disse filene
Finn filer som ikke skal være der
Denne kan være vanskelig, men lar seg gjøre med litt arbeid. Installer WordPress og moduler i en annen katalog. Lag liste med alle filer fra det nye stedet og nettstedet som er blitt hacket. Undersøk filene som ikke er på det nye nettstedet
Sikre opplastingskatalogen
Når hackere har lastet opp enn bakdør, som er en .PHP fil, så er de avhengige av å kjøre den. Lukke alle underkataloger slik at man ikke kan kjøre .PHP filer direkte. Alle kataloger er fulle av .PHP-filer, men alle disse blir lest inn dex hovedfilen, som heter index.php. Det skal ikke være nødvendig å kjøre andre .PHP filer direkte fra andre kataloger. Noen unntak finnes
Sjekk brødtekstene i databasen for mistenklig Javascriptkode
Sjekk at ikke innleggene har fått mystiske javascript-koder, som blir kjørt når man ser på innleggene/blogg-artiklene
Bytt passord
Hvis du har funnet hvilken bruker de har utnyttet, så kan det være nok å bytte til strenge passord bare for denne brukeren. Man trenger ikke være helt paranoid, men det er god rutine å endre passord for alle med admin-rettigheter. Vanlige brukere er det mindre viktig med for du kan egentlig ikke stole på noen av dem, men gjør det vanskelig for en vanlige bruker å hacke seg videre
Profesionelle hjemmesider

Go to Top