17.4.2017

”Tämä sivusto voi olla hakkeroitu” – apua, mitä teen?

Asiakasyrityksen nettisivusto hakkeroitiin hiljattain. Kyseessä oli ns. Japanese keyword hack. Kyseinen hakkerointi ilmenee lähinnä googlettaessa yritystä: Googlen hakutuloksissa näkyy japanilaista tekstiä ja kuvahaussa ylimääräisiä kuvia, joissa niissäkin on japanilaista tekstiä.

Japanese Keyword Hackin hakkeroiman sivuston Google-hakunäkymä näytti tältä. Nettiosoitteen perässä on Googlen varoitusteksti: Tämä sivusto voi olla hakkeroitu.

Kyseisen yrityksen sivuston osalta hakkeri oli myös vaihtanut sivuston salasanan, mutta itse nettisivuilla ei varsinaisesti näkynyt ulospäin juuri mitään erikoista tai ylimääräistä.

Yrityksen sivusto oli toteutettu WordPressillä, joka on avoimen lähdekoodin julkaisujärjestelmä. Ja koska se on tätä nykyä yksi maailman suosituimmista julkaisujärjestelmistä, on se myös otollinen kohde hakkereille.

Puhdistaminen syö aikaa, rahaa ja hermoja

Kun hakkerointi huomattiin, oli ensi reaktio paniikki. Miten tämä voi olla mahdollista? Miksi kyseinen sivusto on hakkeroitu? Ja ennen kaikkea, miten sivusto saadaan puhdistettua?

Sivuston WordPress-järjestelmä oli pidetty ajan tasalla, mutta siitä huolimatta hakkeri oli löytänyt takaportin, josta se pääsi murtautumaan sisään.

Sivustosta oli onneksi olemassa varmuuskopioita, joten puhdistus aloitettiin palauttamalla sivustosta muutaman viikon takainen versio. Myös WordPressin salasana vaihdettiin samassa yhteydessä.

Japanese keyword hack -hakkeroinnin puhdistuksen testaaminen osoittautui kuitenkin tuskallisen hitaaksi. Koska kyseessä on Googlen hakunäkymä, on sivuston puhdistuksen jälkeen lähetettävä Googlelle uudelleenindeksointipyyntö. Käytännössä Google ”tarkistaa” sivuston, ja päivittää sitten hakunäkymän. Ja koska tähän voi mennä aikaa muutamista tunneista jopa päiviin, ei auta kuin odotella ja toivoa parasta.

Tilanne jähmettyi asemasodaksi

Pian kävi kuitenkin ilmi, että myös varmuuskopiot olivat saastuneita. Hakkeri pääsi yhä uudestaan murtautumaan sivustolle ja sotkemaan jälleen sivuston hakukonenäkyvyyttä.

Sivuston puhdistuksen parissa kamppaili parikin alihankkijaa. Kokeiltiin useita eri keinoja, mutta hakkeri onnistui uudestaan ja uudestaan murtautumaan sivustolle: kun puhdistustoimenpiteet oli tehty, ilmestyivät seuraavana päivänä jälleen samat (tai erit) japanilaiset tekstit näkyviin.

Aikaa taistelussa, eli puhdistuksessa ja testauksessa meni jopa useita viikkoja. Alkoi näyttää siltä, että täytyisi turvautua viimeiseen mahdolliseen keinoon, joka olisi todella työläs: koko sivuston rakentaminen alusta alkaen uusiksi.

Vanhassa varmuuskopiossa vara parempi

Onneksi koko sivuston perestroikaan ei lopulta tarvittu lähteä. Pelastus tässä tapauksessa löytyi palvelintilan tarjoajalta, jolta sattumoisin löytyi sivustosta usean kuukauden vanha varmuuskopio. Se oli puhdas.

Välittömästi varmuuskopion palauttamisen jälkeen WordPress sekä kaikki lisäosat päivitettiin ajan tasalle, vaihdettiin kaikki salasanat sekä asennettiin sivustolle erillinen tietoturva-lisäosa.

Mitä tästä opimme?

Hakkeroinnin puhdistaminen voi todellakin syödä aikaa ja rahaa, sekä hermoja ja energiaa. Siksi ennakointi on yhtä tärkeää kuin oman talon palovakuutus.

Vaikka WordPress on erinomainen ja monipuolinen julkaisujärjestelmä, on sen suosiolla ikävä kyllä varjopuolensa. Hakkereiden välttämiseksi on äärimmäisen tärkeää huolehtia sivuston tietoturvasta. Tarjolle tulevat järjestelmä- ja lisäosapäivitykset tulee asentaa mahdollisimman nopeasti. Sivustosta on syytä ottaa säännöllisesti varmuuskopioita, joista myös vanhempia kopioita on syytä pitää tallessa.

”Tämä sivusto voi olla hakkeroitu” – apua, mitä teen?
Takaisin Blogi-sivulle