Hyökkäykset verkkosivuille eivät tapahdu yleensä yksinäisen hakkerin pimeässä huoneessa. Huppupäinen hahmo ei arvaile salasanaasi energiajuomien voimalla – automaatio kukoistaa myös hakkeroinnissa.

Kaikki sivustosi vierailijat eivät ole ihmisiä

Automaation avulla voidaan esimerkiksi lähettää sivustollesi niin valtava määrä liikennettä, että se ensin alkaa hidastelemaan ja lopuksi palvelin lakkaa vastaamasta kokonaan. Näitä hyökkäyksiä kutsutaan palvelunestohyökkäyksiksi (Denial of Service).

Toisenlainen automaattinen hyökkäys on Brute Force -hyökkäys, jossa sivustosi kirjautumisnäkymää pommitetaan jatkuvasti erilaisilla salasanoilla. Hyökkäys voidaan tehdä kokeilemalla järjestelmällisesti kaikkia kirjainyhdistelmiä, mutta luontevammin hyödyntämällä esimerkiksi toisissa tietomurroissa kerättyjä yleisiä salasanoja.

Käännetään automaatio automaatiota vastaan

Edellämainituissa hyökkäyksissä sivustolle kohdistuu suuri määrä liikennettä, mikä toimii hyvänä tuntomerkkinä hyökkäyksistä. Kaikkia sivustollesi kohdistuvia pyyntöjä ei ole pakko päästää läpi.

Sivustosi palvelimen tulee siis seurata siihen kohdistuvia pyyntöjä ja lopettaa hyökkäys estämällä hyökkääjän pääsy sivustolle. Liian suuri määrä pyyntöjä pienen ajan sisällä laukaisee vastatoimet ja estää kävijän pääsyn. Tavalliset käyttäjät saavat selata sivustoa normaalisti, häiriköijät poistetaan.

Kuka huolehtii automaatiohyökkäyksistä?

Automaattisiin hyökkäyksiin varaudutaan harmillisen usein asentamalla WordPressiin vain jokin lisäosa kuten WordFence tai BruteProtect. WordPress on kuitenkin jo lähtökohtaisesti melko huono paikka torjua tällaisia hyökkäyksiä, sillä kutsu palvelimella on vaatinut jo reilusti resursseja ennen kuin se tulee WordPressin käsittelyyn.

Tässä selkokielisempi vertaus:

Automaatiohyökkäysten suojaus WordPressin puolella on vähän sama kuin päästäisi pölynimurikauppiaan istumaan olohuoneen sohvalle ja vasta siellä päättäisi, haluaako että tuleeko hän sisään vai ei.

Laadukkaassa palvelinympäristössä tämä suojaus löytyy jo palvelimelta, etkä tarvitse WordPressiin mitään ylimääräisiä lisäosia. Seravon Otto Kekäläinen demosi tätä omalla sivustollamme Suomen WordPress-yhteisön Slack-kanavalla.

Sivustomme palvelinympäristö tunnistaa siis hyökkääjän ja asettaa hänet jäähylle. Kävijä saa standardin mukaisen virhekoodin 429, eikä pysty jatkamaan sivustomme pommittamista. Tähän ei vaadittu meiltä vipujen vetämistä tai ihmeellisiä WordPress-lisäosia.

Sama suojaus on käytössä ylläpitämillämme WordPress-sivustoilla, kun annat meidän hoitaa palvelinympäristön.

Tietoturva ei ratkea yhdellä tempulla

WordPress-sivuston tietoturva on yhdistelmä monesta asiasta, eikä ratkea vain asentamalla tiettyä lisäosaa. Tärkeää on laadukas toteutus, hyvin valitut lisäosat ja tasokas palvelinympäristö. Käyttäjiltäkin vaaditaan järkeä – esimerkiksi oma nimi salasanana on helppo murtaa suojauksista huolimatta.

Jos sivustosi kaatuilee tai siellä liehuu toisinaan Libanonin lippu, pistä soitellen.