Palvelinpohjaisten sovellusten päivittäminen on tietoturvan vuoksi ehdottoman tärkeää

5.12.2011

Nettihotellin ylläpidossa olemme kuluneen vuoden aikana törmänneet useita kertoja tilanteeseen, jossa asiakkaidemme kotisivutilaan on päästy ujuttamaan erilaisia haittakoodeja tai roskapostiscriptejä ulkopuolisen ilkeämielisen tahon toimesta. Useimmissa tapauksissa nämä ovat seurausta siitä, että asiakas on toteuttanut kotisivunsa Wordpress-, Joomla-, OsCommerce- tai muulla PHP-pohjaisella sovelluksella, jonka sovellusversion päivitys on kuitenkin jäänyt sikseen kotisivujen julkaisun jälkeen.

Yleisen tietoturvan nimissä haluamme muistuttaa asiakkaitamme siitä, että mikäli käytössänne on erilaisia julkaisujärjestelmä- tai verkkokauppasovelluksia, näiden päivitystä ei sovi unohtaa: Sovelluksista paljastuu jatkuvasti uusia haavoittuvuuksia, jotka mahdollistavat pahimmillaan PHP-koodia hyväksikäyttävän tahon pääsyn asiakkaan levytilaan ja haitallisten scriptien ajamisen. On äärimmäisen tärkeää, että levytilassanne oleva Wordpress tai Joomla on päivitetty aina uusimpaan saatavilla olevaan versioon.

"Älä unohda sovellustasi yksin kotisivutilaasi..."

Vaikka pidämmekin palvelintemme tietoturvan korkeana ja teemme kaikki järjestelmään liittyvät palvelinpäivitykset ajallaan, tietoturvaan liittyy olennaisesti myös asiakkaan vastuu omaan levytilaan asennettavien sovellusten päivittämisestä. Parhaillakaan tietoturvatyökaluilla emme pysty estämään asiakkaan levytilan hyväksikäyttöä, mikäli asiakkaan oma vanhentunut sovellus päästää asiattomat tahot asiakkaan levytilaan ajamaan ilkeämielistä haittakoodia.

Kehotammekin kaikkia asiakkaitamme, joiden kotisivut on toteutettu jollakin julkaisujärjestelmällä (esim. Wordpress, Joomla, Drupal) tai joiden kotisivutilassa on jokin verkkokauppasovellus (esim. OsCommerce, Cubecart, Magento) varmistumaan siitä, että käytössä on varmasti uusin tietoturvallinen versio sovelluksesta. Lisäksi myös sovelluksen erilaiset lisämoduulit ja ulkoasupohjat voivat sisältää erilaisia haavoittuvuuksia, joten myös näiden versio tulee tarkistaa ja tarvittaessa päivittää. Viime aikoina erityisesti Wordpressin TimThumb -scripti on aiheuttanut runsaasti kuvattuja ongelmia, joten kaikkien Wordpress-käyttäjien tulisi tarkistaa tämän scriptin olemassaolo omasta levytilastaan ja tarvittaessa päivittää se pikimiten tietoturvalliseen:
http://fi.forums.wordpress.org/topic/timthumb-haavoittuvuus-paivita

Mikäli ette ole toteuttaneet sivujanne itse ja olette tilanneet kotisivutoteutuksen joltakin muulta taholta, kehotamme välittämään tämän viestin hänelle ja sopimaan julkaisujärjestelmäsovelluksen tai verkkokaupan päivittämisestä turvalliseen, uusimpaan versioonsa. Yleisesti kehotamme sopimaan säännöllisistä päivityksistä, jossa sivuston toteuttaja pitäisi automaattisesti huolen siitä, että kotisivunne päivitetään uusimpaan versioonsa vähintään muutaman kerran vuodessa.

Jos taas olette asentaneet PHP-sovelluksen itse, varmistukaa sovellustoimittajanne kotisivuilta, onko sovellukseen tai sen lisämoduuleihin saatavana uudempaa versiota ja päivittäkää sovelluksenne sovellusvalmistajan ohjeiden mukaisesti. Osassa sovelluksia (esim. Wordpress ja Joomla) päivittäminen uudempaan onnistuu usein myös sovelluksen oman ylläpitoliittymän kautta muutamalla hiiren klikkauksella.

Mikäli sovellus on asennettu hallintapaneelimme sovellusarkistosta, sovellukseen voi olla tarjolla päivityksiä myös hallintapaneelimme kautta. Tarkistakaa mahdolliset tarjolla olevat päivitykset ohjesivuillamme esitetyn "Päivitys saatavilla" -linkin kautta.

Tietyissä tapauksissa myös asiakkaiden HTML-kielellä toteutetut staattiset kotisivutkin ovat saattaneet saastua ja niihin on päästy lisäämään esim. haittaohjelmia levittävää Javascript-haittakoodia. Näissä tapauksissa asiakkaan omat FTP-tunnukset ovat karanneet asiakkaan omalla koneella olleen troijalaisen kautta haittaohjelmia levittävän tahon haltuun. Välttyäksenne tällaisilta tilanteilta omalla koneella tulisi olla asennettuna kunnollinen virusskanneri ja pitää huolta, että se tarkistaa koneen tietoturvan säännöllisesti. Kotikäyttöön ilmaisia hyviä virustentorjuntaohjelmia ovat esimerkiksi Avast (http://www.avast.com) tai AVG Free (http://free.avg.com).

Myös salasanojen säännöllinen vaihtaminen on tärkeää

Viime viikkoina olemme saaneet lukea uutisia erilaisista tietoturvavuodoista, joissa hakkeriryhmät ovat murtautuneet erilaisiin verkkopalveluihin ja vuotaneet niihin talletettuja käyttäjätietoja verkkoon. Vastaavien ongelmien ehkäisemiseksi edellä mainittujen kotisivujen sovellusten päivittämiseen liittyvien toimien lisäksi on hyvä muistaa pitää huolta kaikkien omien käyttäjätunnusten salasanojen tietoturvasta.

Kehotammekin vaihtamaan salasanojanne säännöllisesti. Salasanan tulisi olla riittävän pitkä, ei ennalta arvattava sekä sen tulisi sisältää isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä. Lisäksi samaa salasanaa ei tulisi käyttää useassa eri käyttäjätunnuksessa. Luonnollisesti tämä aiheuttaa haasteita salasanojen muistamisen kanssa, mutta keksimällä salasanoihin jonkin vain omassa tiedossa olevan muistisäännön, useankin salasanan omaksuminen on helppoa.

Nettihotellin webhotellipalveluihin liittyvien salasanojen vaihtamiseksi ohjeet löytyvät kotisivuiltamme täältä. Lisäksi kannattaa muistaa säännöllisesti vaihtaa myös oman julkaisujärjestelmän salasana, mikäli sellainen on käytössä - sekä tietenkin kaikissa muissa mahdollisissa verkkopalveluissa käytössä olevat salasanat.

Ystävällisin terveisin

Nettihotell Internet Oy:n ylläpito

Takaisin