Traficom välitti tänään asiakkaillemme tietoa LiteSpeed Cache WordPress -lisäosasta, josta on löydetty kriittinen haavoittuvuus (“Tiedote: Traficom: Kriittinen haavoittuvuus LiteSpeed Cache WordPress -lisäosassa“, julkaistu 22.08.2024 10:37). Tämä on herättänyt asiakkaissamme huolta, ovatko heidän sivustonsa turvattu. Huoli ei ole aivan tuulesta temmattu, sillä lisäosa on käytössä yli viidellä miljoonalla sivustolla.
LiteSpeed-haavoittuvuuden lisäksi muita viime aikoina ilmaantuneita korkean prioriteetin kriittisiä haavoittuvuuksia on löydetty ainakin WPML-lisäosasta.
Ei ole kuitenkaan syytä huoleen, sillä yhdelläkään Duden toteuttamalla sivustolla ei ole käytössä kumpaakaan lisäosaa. Asiakkaanamme voit siis olla huoleti. Jos lisäosat olisivat käytössä, olisimme jo olleet hoitaneet päivityksen ennen tiedotteen näkemistä. Ylläpitopalveluumme kuuluu säännölliset päivitykset, joten lisäosat ovat ajan tasalla. Tietoturvapäivitykset saamme automaattisesti ja haavoittuvat lisäosat päivitämme ensi tilassa.
Duden Tietoturvaskanneri™ skannaa sivustot reaaliajassa ja ilmoittaa meille välittömästi haavoittuvuuksien löytyessä. Näin meidän ei tarvitse itse tarkkailla haavoittuvuuksia, joita kolmannen osapuolen lisäosista saattaa silloin tällöin löytyä.
Mitä LiteSpeed Cache tekee ja mihin haavoittuvuus vaikuttaa?
LiteSpeed Cache -lisäosaa käytetään nopeuttamaan sivuston toimintaa WordPressin päästä. Dudella on kuitenkin rakennettu jokaiselle sivustolle toteutuksiin oma räätälöity välimuistinsa ja tämän lisäksi välimuistituksiin käytössä on eri tasojen palvelintekniikkaa (ngx-pagespeed, NGINX FastCgi, Redis, jne.). Uusimmilla sivustoilla ja toisen tason ylläpidoissa, joissa on käytössä Duden optimoitu nopeutuspaketti, ei erillistä välimuistilisäosaa WordPressin päässä edes tarvita.
LiteSpeed Cache WordPress -lisäosasta on löydetty kriittinen haavoittuvuus. Haavoittuvuuden hyväksikäyttö mahdollistaa hyökkääjälle pääsyn järjestelmään luomalla uusia käyttäjätunnuksia ilman tunnistautumista.
Haavoittuvuuden kautta siis kuka tahansa osaava ulkopuolinen pystyi saamaan pääkäyttäjän oikeudet ja ottamaan sivuston haltuun.
Hauskana knoppitietona muuten tästä yksittäisestä tietoturva-aukosta on maksettu historian suurin WP Bug Bounty-palkkio, joka on yhteensä 14 400 yhdysvaltain dollaria. Ehkä muunmuassa tästä syystä haavoittuvuus on ylittänyt uutiskynnyksen. Patchstackin blogista voi lueskella lisää.
WordPress on tietoturvallinen alusta
WordPress on maailman suosituin sisällönhallintajärjestelmä ja sille toteutettuihin lisäosiin osuu aika ajoin haavoittuvuuksia. Tämä ei tee WordPressistä tietoturvatonta alustaa. Tietoturvaskanneri tarkkailee myös WordPressin ytimen eheyttä, jotta voimme taata myös WordPressin ytimen tietoturvallisuuden asiakkaillemme.
Kuinka Dudella hoidetaan WordPress-tietoturva
Dudella tietoturva on mukana kaikessa tekemisessä yhtenä kulmakivenä, aivan kuten esimerkiksi saavutettavuus ja sivustojen suorituskyky, kuten latausnopeus.
- Ensiluokkaisen koodin tietoturvakäytäneet meille tarjoilee PHP_CodeSnifferin WordPress-Security -standardi, joten lapsuksia ei pääse lipsahtamaan koodiin.
- Valitsemme jokaisen käytössä olevan lisäosan huolella. Emme hyväksy lisäosavalinnoissa toistaitoista koodia.
- Seuraamme tietoturvajulkaisuja.
- Sysop-tiimimme panostaa palvelinratkaisujen tietoturvaan ja kehittää tietoturvaa edelleen.
- Käytämme automaattisia työkaluja (kuten Duden Tietoturvaskanneri™) ehkäisemään ongelmia ja varmistamaan tietoturvallisten ratkaisujen toimivuuden.
Dude tarjoaa laadukasta WordPress-ylläpitoa myös muille kuin Duden toteuttamille sivustoille. Jos palvelu kiinnostaa, ole ihmeessä yhteyksissä! Tarjoamme myös auditointeja, johon kuuluu tietoturva, jos sivustonne tila huolettaa.