Almindelige fejlvurderinger
Hackere er ligeglade med små websteder
Ikke korrekt. Små websteder har måske ikke så stor værdi i sig selv, men med mange nok, kan man gøre rigtig mange ting. De er lige så gode til fildistribuering eller DDoS, men langt lettere at hacke. Og så er det den smarte vej at gå for en smart hacker.
Mit login er skjult, så jeg er sikker
Blandt fagfolk kalde vi det “Security by Obscurity”.
Eller: Hvis man ikke kan se, det er WordPress, så kan de ikke hacke.
Heller ikke korrekt. Mere end 50% af web’et er WP, så de behøver ikke teste for det.
Og det hjælper heller ikke at gemme wp-login.php, da langt de fleste hacking-scripts går direkte efter funktionen og går dermed udenom login-proceduren.
Hvis jeg opdaterer, er jeg sikker
Det hjælper – men det er ikke nok.
En opdatering kan godt lukke en række huller. Men du ved som regel først, at der er et problem, når du ser opdateringen. Så hvad med de plugins, der IKKE laver en opdatering?
Masser af plugins indeholder fejl og huller i den seneste version. Der udsendes kun en opdatering, hvis problemet er løst!
Hvorfor hacker de?
Inden vi kaster os ud i løsninger, så skal vi lige uddybe problemet lidt. For med viden kommer man meget langt.
WordPress håndterer mere end 40% f alle websteder, derfor giver det god mening fokuserer sin indsats her. Der kan være mange forskellige årsager til at et websted bliver hacket.
Der er Penge i skidtet
Som altid er penge den vigtigste motivator bag alt – også hacking. Og man kan tjene penge ved at hacke på flere måder.
DDoS
“Distributed Denial of Service” er en teknik, der går ud på at oversvømme et websted med så mange forespørgsler, at det holder helt op med at virke.
Mange websteder og IoT, der samtidig forsøger at få adgang til et websted vil gøre det umuligt for andre at få adgang. Man lægger et websted ned og så kan de ikke udføre deres opgave.
Et casino kan ikke tjene penge, borgere ikke se deres restskat, en webshop ikke sælge. En konkurrent er måske interesseret i betale for at et websted for online gaming holder op med at virke i en periode, så kunderne går andre steder hen.
Trafik-jacking
Legitim trafik til et websted viderestilles til andre steder, fx reklame-websteder.
Hvis jeg har et websted, hvor jeg får penge for trafik, så vil det give øget indtægt, hvis jeg kan få fx al trafik til skat.dk til at ende på mit websted i stedet!
Serverressourcer
En server koster penge og med adgang til en server, kan man installere andre systemer – uden at skulle betale for det.
Så du ender med at betale for at din server bliver brugt til at organisere DDoS-angreb eller bliver distributionscentral for ulovlig software eller video.
Server-napping
”Du får din server tilbage, hvis betaler os”
For sjov eller politisk motiveret
Men det sker ikke kun for penge. Selvom det nok var mere almindeligt i 80’erne, så er der stadig script-kiddies, der gerne vil kunne prale af at have defaced en ‘fjende-side’. Det skete fx under Muhammed-krisen, hvor flere mere eller mindre officielle hjemmesider pludselig havde islamistiske slogans på deres forsider.
Det er typisk ’script kiddies’, der laver defacing af websteder ved at erstatte det normale indhold med ting som ”[Hacker] was here!” eller ”Trump er en nar!”.
De senere år har vi set mere statsfinansieret hacking, hvor det handler om at nedlægge kritisk infrastruktur: Informationswebsteder eller statsfunktioner.
I december 2022 blev Forsvarsministeriets hjemmesider ramt af et DDoS-angreb. Det gjorde ingen skade eller gav adgang til nogen informationer – det var kun deres offentlige hjemmesider, der ikke kunne læses.
Det har ingen praktisk betydning for Forsvaret, men det skal give usikkerhed blandt befolkningen.
Hvordan hacker de?
Kompromitteret administratorkonto
Kan man få adgang til en admin-konto er der fri adgang. Herefter kan der installeres et falskt plugin til fx distribution af malware.
Det kan gøres på flere måder:
Sessionsjacking
Når du logger ind, gemmes der en session-cookie, så du ikke skal logge igen og igen. Især med 2FA er det en stor fordel, da det gør det meget lettere at arbejde.
Med 2FA har vi stoppet brute-force hacking eller brug af lækkede login-data. Desværre kan man med en session-cookie slippe udenom 2FA, ligesom vi selv gør.
Men for at få adgang til en session-cookie, så skal man have adgang til den enhed, der logger på.
Lækkede login-info
Bruger du samme brugeravn/adgangskode flere steder, så løber du en stor risiko for at dine data bliver lækket. Og når de hugger brugerdata fra Netflix, så har de også adgang til alle de andre steder, du har brugt den samme kombination.
Prøv at teste din mail på denne tjeneste. Den er helt ufarlig og gør intet andet end at se, om din mail indgår i nogle af de data, der erlækket fra forskellige onlinetjenester de seneste år. Hvis du står på listen, så søærg for at få ændret din adgangskode.
Phishing
Dette er betegnelsen for den type kontakter, der lader som om, at de har legitim ret til at bede dig om information – og som lever højt på, at rigtigt mange mennesker tror på det.
Sikkerhedshuller
WordPress-kernen
WordPress er faktisk et meget sikkert system. Det er sjældent vi ser seriøse huller – hvor man reelt kan gøre noget – og de forbliver ikke åbne længe.
Det er så svært at finde huller i WP i dag, er dusøren for at finde et reelt, brugbart sikkerhedshul i dag er $100.000 hos sikkerhedsfirmaet Zerodium!
Seneste større hul var via REST APIet, der var årsagen til at mange websteder blev defacet. Men det blev lukket endeligt med WP 4.2.7. Det var i 2017.
Plugins og temaer
Mens kernekoden bliver gennemgået af mange forskellige programmører, så er sikkerheden typisk ikke nær hård hos plugins-udviklere. Men de store plugins lægger også på mange websteder.
Så når der fx findes et hul i Elementor, så er det 15.000.000, der er i farezonen!
Patchstack udgiver en årlig “State of WordPress Security” rapport og I 2020 var der i det kendte WP-økosystem 582 sikkerhedshuller. I rapporten fra 2022 var det steget til 4500! Dette skyldes til dels en mere omfattende gennemgang af WordPress repository, men det er stadig en voldsom stigning.
Hackerne kender disse huller, der giver potentiel adgang til tusindvis af websteder. Angrebene er fuldt automatiserede, så det eneste spørgsmål er, om et websted har dette hul og om der indført er andre sikkerhedsforanstaltninger.
Zero-day
”Zero-day vulnerabilities” er huller, der bliver offentligt kendte før udvikleren har haft tid til at finde en løsning på det.
Det er selvfølgelig den værste slags, og opstår som regel hvis hackerne selv finder huller eller andre offentliggør risikoen for hurtigt. De er heldigvis efterhånden sjældne, for de er et mareridt for alle webstedsejere.
I september 2022 blev en zero-day i Backupbuddy aktivt forfulgt og med 140.000 potentielle installationer var det et guldfund. Hullet gav mulighed for at downloade filer fra webstedet rod – fx wp-config.php, der indeholder adgangsinfo til databasen og dermed adgang til ALT.
I september 2023 var det Ultimate Member med mere end 200.000 installationer, der lukkede op for adgang med administrator rettigheder.
1-day
Mindre omtalt er denne type, hvor angrebet sker efter at udviklerne har sendt en ny version ud, hvor hullet er lukket. Men hackerne ved godt, at ikke alle får installeret opdateringerne med det samme. Så her snakker vi om ”Shcrödingers Sikkerhedshul”, hvor vi først ved om det er blevet lukket eller ej, når man har forsøgt at bryde igennem!
Så selvom det stadig er en god ide at opdatere til seneste sikkerhedsversion snarest muligt, så er det ikke nok.
https://patchstack.com/whitepaper/wordpress-security-stats-2022/
https://patchstack.com/database/
Nulled plugins
Dette navn dækker over Premium plugins, der er blevet ændret til at kunne fungere uden licens og dermed uden betaling. De bliver distribueret på lister med ”Free premium plugins”, der nemt kan findes via en Google søgning.
Denne type bruges meget ofte at hackere til at sprede malware – som webstedsejerne så selv installerer!
Plugins med bagdøre
Vi har tidligere set eksempler på kendte plugins, hvor udviklerne ikke længere ønsker fortsætte og andre tager over. Men i stedet for at udvikle nye og forbedrede funktioner, så laves en ny version med indbygget bagdør. Og alle brugerne henter og installerer den nye version.
Scam/Phishing
Vi har for nyligt set et phishing-angreb, hvor der blev masseudsendt en mail, der så ud til at komme fra WordPress Core udviklerne. Heri oplyste de om en potentiel risiko og opfordrede til at downloade og installere en ”opdatering”.
Selvom det for de fleste var tydeligt, at det var scam, så var der stadig mange andre, hoppede på den og fik deres websted inficeret med malware.
Hvordan sikrer jeg min WordPress?
Du kan gøre flere ting:
- Hold WordPress, plugins og temaer opdateret
- Brug minimalt med plugins
- Brug svære passwords
- Installer ekstra sikkerhed, fx WordFence med 2FA
Der findes en ikke en simpel, billig måde at løse det på. Den simple er: “Lad professionelle stå for sikkerheden” – men det er sjældent billigt.
Så det bedste du kan gøre er en masse små ting. Og bruge din sunde fornuft til at undgå de meste åbenlyse fælder.