Fandango blogg

Tema: Sikkerhet

Et av historiens største hackerangrep mot WordPress pågår akkurat nå. Er dine nettsider sikret?

Av Tor Inge Ognedal  /  Fandango.no  /  11. februar 2017
Et av de største hacker-angrepene på mange år har pågått med full styrke den siste uka. Flere millioner nettsider er rammet, inkludert tusenvis av norske.

Alle som nå er rammet har en ting til felles: de ikke har oppdatert publiseringsverktøyet til siste versjon. Dermed gjør de seg selv til et lett mål.

Mange bedrifter er ikke klar over hvilken risiko de utsettes for når driftsrutinene ikke er gode nok og en ikke oppdaterer i tide. En hacket nettside kan få fatale konsekvenser for renoméet til bedriften, og blir ofte en dyrekjøpt erfaring for de som rammes.

I denne aller første bloggposten på Fandango.no vil jeg derfor forsøke å forklare tre ting:

1. Hvorfor nettsider blir hacket

2. Hvilke konsekvenser det kan få når bedrifter blir hacket

3. Hvordan man med enkle grep kan beskytte seg

La oss være ærlige her. Sikkerhet og drift er et tema som interesserer de færreste av oss. Likevel angår det alle som har en nettside, og hvis du ignorerer det så kommer det sannsynligvis til å gå galt en dag der du minst venter det.

Denne uka smalt det ordentlig

Mandag 6. februar kom de første rapportene om at et større hacker-angrep var i gang. Denne gangen er målet nettsider som ikke har oppgradert til siste WordPress-versjon.

Fire dager senere var over 1,5 millioner nettsider rapportert hacket [1], og tallene fortsetter å stige. I realiteten er tallene mye høyere ettersom bare en viss prosentandel er oppdaget så langt.

Det som har skjedd nå er at flere enn 20 hackergrupper har gått sammen om å angripe fra alle kanter og gjøre mest mulig ut av situasjonen. De driver en slags konkurranse seg imellom der de prøver å overgå hverandre i å komme på innsiden av flest mulig nettsider. Denne gangen har de lykkes til gangs.

Under angrepet som pågår akkurat nå, er dette en av de mest typiske konsekvensene av å bli hacket. Bildet viser en skjermdump fra en av de rammede nettsidene, der innholdet på nettsiden har blitt erstattet av denne plakaten.

Et enkelt Google-søk etter denne MuhmadEmad gir ca 750,000 treff (13.02.2017). Det viser antallet sider som er infiltrert av denne hackeren alene. Som en også kan se av søkeresultatet, er tusenvis av norske bedrifter blant de som er rammet.

Nettsider flest bruker WordPress

Med en markedsandel på hele 58%, er WordPress verdens klart mest utbredte verktøy (CMS) for å administrere nettsider [2]. Sånn sett er det grunn til å anta at også bedriften du jobber for har hjemmesider som er laget med WordPress.

WordPress er et av de aller sikreste CMSene på markedet så lenge det holdes oppdatert.

Den store utbredelsen er nettopp hovedgrunnen til det. Ingen andre CMSer er i nærheten av å ha et like aktivt utviklermiljø rundt seg. Rundt omkring i verden jobber enormt mange smarte folk daglig med forbedringer av både funksjonaliteten og sikkerheten, og dette kommer alle til gode. Eller rettere sagt: det kommer alle som holder WordPress oppdatert til gode.

Populariteten gjør det nemlig samtidig til et attraktivt mål for hackere. Disse er oftest ikke ute etter akkurat din hjemmeside. Istedet søker de automatisk etter WordPress-sider som ikke er oppdaterte eller ikke har sikret seg godt nok mot inntrengere. Der finnes det ofte svakheter som enkelt lar seg utnytte, og vips så er nettsiden hacket på et blunk.

Bruker dere ikke WordPress, sier du?

Samme hvilken publiseringsløsning man bruker så bør dette med oppdateringer alltid ha høyeste prioritet. Nye versjoner tetter som oftest flere sikkerhetshull som er oppdaget siden forrige versjon kom på markedet. Fail to do so, og du risikerer… ja, du skjønner vel etterhvert tegningen.

Er ingen trygge?

Jo, og som tidligere nevnt er WordPress blant de tryggeste CMSene på markedet så lenge det holdes oppdatert.

I dette tilfellet så startet angrepet ca. 1 uke etter at siste versjon av WordPress ble sluppet. Med denne utgivelsen ble det kjent at enkelte tidligere versjoner hadde et kritisk sikkerhetshull som altså nå var tettet i den siste versjonen.

Alle som har oppdatert til den siste WordPress-versjonen er dermed rustet til å stå imot det angrepet som pågår nå. Alle Fandangos kunder var forøvrig oppdatert innen 6 timer etter at versjonen ble tilgjengelig.

De mange millioner nettsidene som fortsatt kjører på tidligere versjoner har derimot vinduer og dører på vidt gap, for å si det på den måten. Da er det ingen kunst å bryte seg inn.

Hva er det disse hackerne er ute etter? Og hvilke konsekvenser får det for de som blir rammet?

Kunnskap, anerkjennelse og hacktivisme
Noen er simpelthen ute etter å lære seg hvordan hacking gjøres for å bygge opp sin egen kompetanse og kunnskap på området. Det er ikke alltid disse gjør så mye utav seg, men noen ganger skryter de av hva de har fått til. Da legger de kanskje inn meldinger på nettsidene dine, for eksempel «Hackeren XYZ har vært her. Beskytt nettsidene dine!» slik at både du og resten av verden kan se det. Andre har et politisk eller religiøst budskap de vil nå ut med, som vist i eksempelet på bildet over her.

Denne typen hackere er ofte først og fremst ute etter anerkjennelse fra likesinnede, eller å plage deg for moro skyld. Å bli utsatt for dette er ubehagelig nok i seg selv, men det som er verre er at det avslører at du er et enkelt mål for hackere med ondere hensikter.

Phishing, spam og svindel
Noen hackere har en skumlere agenda. De bryter seg inn og oppretter falske nettsider på ditt webhotell uten at du merker det. Hit kan ofrene bli sendt via lenker i f.eks. mail eller sosiale medier, og bli bedt om å oppgi sensitiv informasjon som passord, konto- og kredittkortnummer og så videre. Det er dette som kalles phishing, og det er renspikket svindel. Noen ganger kombineres dette med å utnytte serveren din til å sende ut millioner av spam-mailer. Her er det nesten alltid økonomiske motiver som ligger bak. Hackerne tjener penger på dette.

Siden disse falske nettsidene ligger på ditt webhotell og opererer i det skjulte, vil det ta noe tid før du etterhvert begynner å merke at det er noe som ikke stemmer. Kanskje blir bedriften din svartelistet fra Googles søketreff og ikke dukker opp i søk i det hele tatt. Kanskje kommer heller ikke bedriftens e-poster fram til mottakerne lenger. Det er sånt som kan skje hvis du blir svartelistet som følge av at serveren din sender ut spam, eller blir klassifisert som usikker eller infisert.

Spionasje og utpressing
Noen går såpass langt at de bryter seg inn og stjeler bedriftshemmeligheter eller henter ut sensitiv informasjon fra serveren din. Kanskje selger de opplysninger om deg eller kundene dine videre til en tredjepart. Kanskje kontakter de kundene dine i ditt navn, eller rett og slett bare ødelegger hele eller deler av nettsiden så den blir ubrukelig. De kan til og med ta ned hele nettsiden og kreve løsepenger fra deg for å gjenopprette den. Også her er det økonomiske motiver som ligger bak.

Så hvordan skal en beskytte seg mot hacking?

La det være sagt: ingen nettsteder i verden er 100% garantert umulige å hacke. Det ser man stadig eksempler på når høysikkerhetssider som tilhører f.eks. banker, rettsvesen, store konserner, politiske organisasjoner og regjeringer blir hacket. Her er det dog snakk om målrettede angrep, og ikke søk etter tilfeldige nettsider som har sikkerhetshull.

Men det er nettopp tilfeldige nettsider med sikkerhetshull som oftest blir rammet. Det skjer med tusenvis hver eneste dag. Under slike angrep som pågår akkurat nå, mangedobles antallet tilfeller.

Den enkleste metoden for å beskytte seg mot det aller meste av trusler, er rett og slett å holde nettløsningen oppdatert og legge inn litt ekstra sikkerhetsopplegg rundt det hele. Bruk en god hosting partner med orden i sysakene og sørg for å ha gode rutiner på drift og backup.

4 enkle tiltak for å beskytte seg – og slik løser Fandango det for sine kunder:

1. Hold WordPress og pluginer oppdatert til enhver tid

Når nye versjoner av WordPress slippes på markedet, oppdateres alle Fandangos kunder vanligvis i løpet av 6 timer og senest innen 24 timer.

2. Bruk en skikkelig host til webhotellet ditt

Alle Fandangos nettløsninger serves på premium webhotell hos et av de markedsledende internasjonale hostingselskapene (Siteground, WP Engine, Flywheel) med 24/7 driftsovervåkning 7 dager i uka.

En rekke sikkerhetstiltak er satt inn på server-nivå og alle disse hostene jobber både proaktivt og reaktivt for å sikre serverne sine mot alle typer hacking.

3. Installer et ekstra sikkerhetslag i WordPress som beskytter mot de aller fleste hackerforsøk

Alle Fandangos nettløsninger har ekstra sikkerhetslag innebygget i WordPress (Wordfence eller Sucuri) som beskytter mot det aller meste av trusler, og som oppdateres flere ganger i uka.

4. Ha gode backup-rutiner i tilfelle uhellet likevel skulle være ute

Alle Fandangos nettløsninger kjører backup minst 1 gang i døgnet og kan hente ut komplette kopier av nettsidene som er tatt mange uker (60 dager) tilbake i tid.

Konklusjon

Altfor mange blir dessverre hacket som følge av dårlige driftsrutiner. Det svikter enten i egen bedrift, hos den eller de som har laget nettsidene og har vedlikeholdsansvaret, eller hos de som server webhotellet som nettsidene ligger på.

En hacket nettside kan være fatalt for renoméet til en bedrift, og er ofte en svært dyrekjøpt lærepenge for de som rammes. Blir du først hacket så kan det ta lang tid og koste betydelige summer å få ryddet opp i rotet. Unngå derfor å sette bedriftens rykte og sikkerhet på spill for å spare noen kroner i året på superbillig, usikret hosting og dårlige driftsavtaler uten tilstrekkelig oppfølging.

Sørg for at bedriftens nettsider blir passet på, og vær i forkant slik at du unngår å havne i saksa.

Skrevet av Tor Inge Ognedal  /  Fandango.no  /  11. februar 2017