Etter mer enn to tiår i nærheten av webservere og drift av slikt synes jeg egentlig at det er litt merkelig at mange ikke tar sikkerhet seriøst. Sikkerhet er en problemstilling som er aktuell på alle nivå i utvikling og drift av et nettsted. Finnes det en vei inn til baksiden av nettstedet ditt så vil før eller siden noen benytte seg av den. Likevel lar mange, altfor mange, dørene stå åpne.

Alle publiseringsløsninger har utfordringer. Alt som gjør det mulig å endre innhold på nettstedet ditt er en av veiene inn til det du trodde du hadde tatt så godt vare på. Derfor må du vokte den veien. Og du må holde den vedlike.

Resultatet av et innbrudd kan gi så mange slags resultater:

  • du tappes for informasjon
  • nettstedet «de-faces», dvs. får nytt ansikt (les: nytt innhold)
  • det legges på kode som bistår uhederlige i å hente inn kredittkortinformasjon, passord osv. fra brukere (såkalt phishing)
  • det legges på kode som setter igang utsendelse av søppelpost (spam)
  • det legges på kode som leder til spredning av programvare som er skadelig for brukerutstyr som benyttes for å se på nettstedet (dvs. at eks. PCer får lastet opp programvare som ødelegger innhold)

Siste «nytt» innen slik skadelig programvare nevnt i siste punkt ovenfor er det som populært kalles «Ransomware». Dette er programvare som effektivt låser datamaskinen og der bruker kun får opp en melding som varsler at dersom man ikke overfører et angitt beløp til angitt konto så vil datamaskinen forbli låst. For en tid siden kom jeg over 6 nettsteder av de jeg har ansvar for drift av som var rammet av dette. Dvs. først fant jeg ett. Deretter måtte alle kontoer på alle servere sjekkes opp mot samme feil. Det som var ekstra kjedelig med denne saken var at koden hackerne hadde lagt igjen var lagt på et sted der de færreste sjekker eller oppdaterer innhold/programvare. Det var lagt i konfigurasjonsfila til publiseringsverktøyet. Og det var kode som hadde vært sovende siden den ble lagt dit. Dvs. «ransomware»-kallene var ikke aktivert, men sto foran aktivering. Og for alle nettstedene hadde koden blitt lagt inn i perioden juli 2013 – september 2013. Hackerne hadde benyttet et sikkerhetshull i publiseringsløsningen som fantes den gang da. Og de hadde funnet noen domener der oppdateringen ikke var fulgt godt nok opp. Så i perioden fra sikkerhetshullet ble oppdaget til det var tettet vha. oppdatering hadde skaden allerede skjedd. Den ventet bare på å slå til på et senere tidspunkt.

Oppdatering og Panamapapirer?

Ifølge en artikkel hos Wordfence i dag så kan Panamapapirlekkasjen skyldes noe så enkelt som manglende oppdatering av en plug-in til WordPress. En svært vanlig plug-in. Noe så vanlig som en ‘slider’, altså en kode som viser bilder o.l. som en serie lysbilder i et nettsted. Hvis dette er sant så er det mange der ute som burde sjekke opp nettstedet sitt så fort som fy.

Ikke farlig i det hele tatt sier du kanskje? For det er jo bare nettstedet de angriper. Der er det jo ikke noe farlig. Det er nå du må ta innover deg at Panamapapirene selvfølgelig ikke lå på nettstedet til Mossack Fonseca. Slett ikke. Døren inn via slideren i WordPress ga hackere det vi kaller shell-tilgang til serveren der nettstedet befant seg. Derfra kunne de fortsette innover og innover til de kom til de morsomme papirene.

Vi som ikke har behov for skatteparadis kan jo kose oss over tanken på at hackerne kanskje kunne bidra til nødvendig omveltning på enkelte deler av samfunnet. Men det er slett ikke morsomt dersom du får innbrudd bare fordi du lot nøkkelen stå i døra.

Så raska på: sørg for at koden i nettstedet oppdateres. Det har du tid til. Eller råd til å be noen gjøre for deg.

Om å kjøpe sikkerhet av noen som ikke kan det

For en tid siden gjorde jeg noen oppmerksom på at nettstedet deres var altfor åpent for morsomheter. De hadde en gammel versjon av WordPress. Men det som var verre var at de hadde en hel haug med plug-ins. Mange av disse benyttet de ikke. Likevel lot de dem ligge. Og oppdatering av plug-ins lå lenger bak i køen enn oppdatering av WordPress. Hva skjedde? De ble utsatt for et lite innbrudd i nettstedet. Min anbefaling: fjern alle plug-ins dere ikke bruker og få oppgradert alt annet til siste versjon så fort som fy. I mellomtiden: steng folk ute fra nettstedet. Hva gjorde de? De kjøpte «sikkerhet» fra et konsulentfirma som satte på enda en plug-in. Fortsatt uten at noe var oppdatert. Denne nye godsaken var i seg selv en sak de ikke hadde kontroll over. De klarte nemlig å sette dette opp slik at det i løpet av noen nattetimer ble generert over 8.000 e-postvarsler om forsøk på å bryte seg inn på nettstedet. Alle disse varslene var falske fordi de viste til at angrepene kom fra en og samme spesifiserte IP-adresse. Mens alle logger i brannmurer og servere viste at det var ingen trafikk fra den angitte IP-adressen.

Hadde de oppdatert koden på nettstedet og fjernet kode de ikke hadde bruk for hadde de spart tid og penger for mange. Ikke bare for seg selv.

Oppdatering lønner seg!

– Gammelt jungelordtak