Pois käytöstä oleva WordPress-lisäosa voi johtaa hakkerointiin
Kuuntele tiivistelmä:
Moni ylläpitäjä testaa lisäosia ja jättää ne sitten ottamatta käyttöön, mutta unohtaa poistaa ne kokonaan. Tämä avaa oven hyökkäyksille, jotka voivat johtaa haitallisen koodin ajamiseen, tiedostojen manipulointiin tai jopa koko sivuston haltuunottoon. Tunnettuja esimerkkejä löytyy useilta vuosilta: Display Widgets, File Manager ja BackupBuddy ovat kaikki lisäosia, joiden haavoittuvuuksia on onnistuneesti hyödynnetty, vaikka ne eivät olisi olleet aktiivisessa käytössä.
Turvallinen WordPress-sivusto edellyttää huolellisuutta. Kaikki tarpeettomat lisäosat kannattaa poistaa kokonaan, ei vain laittaa pois päältä. Käytössä olevat lisäosat tulee pitää ajan tasalla, ja valita vain luotettavia vaihtoehtoja. Sivuston suojaksi voi myös asentaa palomuurin, rajoittaa tiedostojen suoraa käyttöä ja ottaa säännöllisiä varmuuskopioita.
WordPressin tietoturva ei ole pelkästään aktiivisten toiminnallisuuksien hallintaa – vaan myös sitä, että pidetään huolta siitä, mitä palvelimelle jää lojumaan. Jos et itse ehdi tai halua huolehtia sivustosi turvallisuudesta, voit ulkoistaa sen meille – tarjoamme WordPressin huolenpitopalvelua, joka kattaa myös nämä usein unohdetut yksityiskohdat.
WordPress on maailman suosituin julkaisujärjestelmä – eikä ihme, sillä sen avulla verkkosivujen hallinta on helppoa ja joustavaa. Suosio tuo mukanaan kuitenkin myös varjopuolia: hakkerit kohdistavat hyökkäyksiään erityisesti WordPress-sivustoihin, koska niitä on niin paljon.
Yksi vähemmän tunnettu mutta todellinen tietoturvariski liittyy lisäosiin, joita ei käytetä mutta jotka ovat silti asennettuna sivustolle. Monet ajattelevat, että pois käytöstä oleva WordPress-lisäosa on harmiton, mutta todellisuudessa se voi tarjota suoran väylän hyökkääjälle.
Tässä artikkelissa pureudumme siihen, miksi inaktiiviset lisäosat voivat olla vaarallisia ja mitä voit tehdä suojataksesi sivustosi.
Jos et halua itse halua, ehdi tai osaa huolehtia WordPress-verkkosivustosi tietoturvasta, niin voit tilata meiltä WordPressin huolenpitopalvelun.
Mitä tarkoittaa ”pois käytöstä oleva” WordPress-lisäosa?
WordPressissä lisäosan voi asentaa ja sen voi ottaa käyttöön tai poistaa käytöstä. Monet ylläpitäjät asentavat lisäosia testatakseen niitä ja jättävät ne sitten sivustolle, vaikka ne eivät olisi enää käytössä.
Tämä tarkoittaa, että:
- Lisäosan tiedostot ovat edelleen fyysisesti palvelimella (esim. wp-content/plugins/lisaosan-nimi/).
- Tiedostot voivat olla suoraan kutsuttavissa selaimella, jos niiden nimi ja sijainti tiedetään.
- WordPress ei välttämättä estä näiden tiedostojen suorittamista, vaikka lisäosa olisi deaktivoitu.
Tämä ero asennetun, mutta ei-aktiivisen ja täysin poistetun lisäosan välillä on kriittinen ymmärtää, kun puhutaan tietoturvasta.
Pois käytöstä oleva WordPress-lisäosa tarkoittaa lisäosaa, joka on edelleen asennettuna palvelimelle, mutta jota ei ole aktivoitu WordPressin hallintapaneelissa.
Miten hakkerit voivat hyödyntää inaktiivista lisäosaa?
Vaikka lisäosa olisi poistettu käytöstä WordPressin hallintapaneelissa, sen tiedostot ovat edelleen palvelimella. Tämä tarkoittaa, että jos lisäosassa on haavoittuva PHP-tiedosto, hakkeri voi suorittaa sen suoraan, kunhan hän tietää tai arvaa tiedoston polun.
Esimerkiksi:
https://www.omadomain.fi/wp-content/plugins/haavoittuva-lisäosa/haavoittuvuus.phpJos kyseinen tiedosto sisältää turva-aukon, hyökkääjä voi:
- Ajaa haitallista koodia palvelimella
- Ladata ja suorittaa haittaohjelmia
- Muokata tai poistaa sisältöä
- Kaapata koko sivuston hallinnan
Tällaiset hyökkäykset eivät vaadi, että lisäosa on aktiivinen – riittää, että se on asennettuna ja sisältää haavoittuvan tiedoston.
Tyypillisiä hyökkäystapoja:
- Tiedoston etäsuoritus (Remote Code Execution)
- Tietokantakyselyiden manipulointi (SQL Injection)
- Rikkinäisten autentikointimekanismien hyväksikäyttö
- Roskapostin tai haitallisen sisällön lisääminen sivustolle
Erityisen alttiita ovat lisäosat, joiden tiedostoihin ei ole rakennettu kunnollista suojaa suoralta pääsyltä. Esimerkiksi monesta vanhasta lisäosasta puuttuu WordPressin ABSPATH-tarkistus:
if ( ! defined( 'ABSPATH' ) ) {
exit; // Exit if accessed directly
}Jos tämä puuttuu, PHP-tiedosto on helpompi käynnistää suoraan.
Todellisia tapauksia lisäosien haavoittuvuuksista
WordPressin historia tuntee lukuisia tapauksia, joissa inaktiivinen lisäosa on ollut hyökkäyksen väylänä. Alla muutamia tunnettuja esimerkkejä:
Display Widgets (vuonna 2017)
Tämä lisäosa sisälsi haitallista koodia, joka antoi hyökkääjälle mahdollisuuden lisätä roskapostia sivustolle ilman ylläpitäjän lupaa. Vaikka lisäosa olisi ollut pois käytöstä, haitallinen tiedosto jäi palvelimelle.
File Manager (2020)
Yksi vakavimmista WordPress-haavoittuvuuksista. Lisäosa sisälsi tiedoston, jonka kautta hyökkääjä pystyi ajamaan mielivaltaista koodia palvelimella. Koska tiedosto oli suoraan kutsuttavissa, pelkkä lisäosan deaktivointi ei estänyt hyökkäystä.
BackupBuddy (2022)
Suosittu varmuuskopiolisäosa sisälsi vakavan haavoittuvuuden, joka mahdollisti arkaluonteisten tiedostojen lataamisen. Moni sivusto joutui vaaraan, vaikka lisäosa ei olisi ollut aktiivinen.
Tällaiset tapaukset osoittavat, että pelkkä lisäosan deaktivointi ei riitä. Jos haavoittuvat tiedostot ovat edelleen saatavilla palvelimella, hyökkääjä voi hyödyntää niitä aivan kuten aktiivista lisäosaa.
Miten suojata WordPress-sivusto lisäosien osalta?
WordPress-sivuston suojaaminen ei vaadi monimutkaisia järjestelmiä, mutta vaatii huolellisuutta. Yksi tehokkaimmista tavoista ehkäistä lisäosista johtuvat tietoturvariskit on siivota palvelimelta kaikki turha pois.
Näin voit suojata sivustosi:
1. Poista kaikki käyttämättömät lisäosat kokonaan
Jos et käytä lisäosaa, älä jätä sitä vain pois päältä – poista se kokonaan WordPressin hallintapaneelista. Näin myös lisäosan tiedostot poistuvat palvelimelta.
2. Pidä käytössä olevat lisäosat ajan tasalla
Päivitä lisäosat säännöllisesti. Monet päivitykset sisältävät tietoturvakorjauksia, ja vanhentuneet versiot ovat yleinen hyökkäyskohde hakkereille.
3. Käytä vain luotettavia lisäosia
Suosi lisäosia, joilla on hyvät arvostelut, niitä kehitetään aktiivisesti ja joilla on suuri käyttäjämäärä. Tarkista, milloin lisäosa on viimeksi päivitetty.
4. Asenna palomuuri (WAF)
Web Application Firewall, kuten Wordfence tai Cloudflare, voi estää suorat pääsyt haavoittuvaisiin tiedostoihin. Tämä antaa ylimääräisen suojakerroksen myös inaktiivisten lisäosien varalta.
5. Estä suora pääsy lisäosien tiedostoihin
Voit lisätä .htaccess-tiedostoon rajoituksia, jotka estävät pääsyn esimerkiksi .php-tiedostoihin tietyissä kansioissa. Tämä vaatii kuitenkin varovaisuutta, jotta et estä toimivien lisäosien toimintaa.
6. Varmuuskopioi sivusto säännöllisesti
Jos jotakin sattuu, voit palauttaa puhtaan version nopeasti. Varmuuskopiointi ei estä hyökkäyksiä, mutta auttaa toipumaan niistä.
Lue lisää: PHP-version päivittäminen ja WordPressin tekniset ongelmat
Usein kysyttyä: onko inaktiivinen lisäosa silti vaaraton?
Eikö lisäosa ole vaaraton, jos se ei ole aktiivinen?
Ei välttämättä. Vaikka lisäosa ei ole aktiivisessa käytössä, sen tiedostot voivat olla palvelimella edelleen saavutettavissa. Jos niissä on haavoittuvuuksia, hyökkääjä voi silti käyttää niitä hyväkseen.
Voiko lisäosan deaktivointi silti estää hyökkäyksen?
Joissain tapauksissa kyllä, mutta ei kaikissa. Jos hyökkäys perustuu suoraan tiedostopolun käyttöön, deaktivointi ei estä sitä. Turvallisin ratkaisu on lisäosan poistaminen.
Miten voin tarkistaa, onko sivustollani käyttämättömiä lisäosia?
Kirjaudu WordPressin hallintapaneeliin ja siirry kohtaan Lisäosat -> Asennetut lisäosat. Sieltä näet selkeästi, mitkä lisäosat ovat poissa käytössä ja mitkä aktiivisia. Poista kaikki WordPress-lisäosat, joita et enää tarvitse.
Entä jos haluan säilyttää lisäosan myöhempää käyttöä varten?
Tässä tapauksessa suosittelemme, että lataat lisäosan ZIP-tiedostona omalle koneellesi ja poistat sen WordPressistä. Voit tarvittaessa asentaa lisäosan uudelleen myöhemmin.
Yhteenveto
Moni WordPress-sivuston ylläpitäjä ajattelee, että pois käytöstä oleva lisäosa on harmiton, mutta näin ei valitettavasti ole. Jos lisäosa on edelleen sivustolle asennettuna, sen tiedostot voivat tarjota suoran reitin hakkereille, vaikka lisäosa ei olisi aktiivinen.
Hyökkäykset voivat kohdistua suoraan yksittäisiin tiedostoihin ja pahimmillaan koko sivuston hallinta voi päätyä ulkopuoliselle. Tällaisia hyökkäyksiä on nähty toistuvasti eri lisäosien yhteydessä.
Paras tapa suojautua on yksinkertainen: poista kaikki lisäosat, joita et käytä. Pidä käytössä olevat lisäosat ajan tasalla, käytä vain luotettavia vaihtoehtoja ja suojaa sivustosi tarvittaessa palomuurilla. Ota aina täydellinen varmuuskopio WordPress-sivustostasi ennen WordPress-lisäosien päivittämistä. Tällä tavoin sinulla on versio, johon palata, jos lisäosien päivitys rikkoo jotain.
WordPressin turvallisuus ei ole kiinni vain siitä, mitä käytät aktiivisesti – vaan myös siitä, mitä jätät huomiotta.
Artikkelin kirjoittaja:
Miikka Joki
Olen toiminut yrittäjänä vuodesta 2015 alkaen. Intohimoni on data ja verkkosivujen optimointi. Minuun ollaan yhteydessä, kun WordPress-sivustolla on ongelma, yritys haluaa lisätä myyntiä tai kehittää verkkosivujaan. Vuonna 2019 perustimme yhdessä Henry Moilasen kanssa Mainostoimisto Sitrusmedian.
Vahvuuteni: digitaalinen mainonta ja markkinointi, optimointi, kotisivut ja verkkokaupat.
miikka.joki(at)hakukonemestarit.fi
Puh. 044 239 6296
*Osa tämän sivuston linkeistä on ns. affiliate-linkkejä eli kumppanilinkkejä. Linkin kautta tehdyistä tilauksista tämä sivusto voi saada rahallisen korvauksen, mutta asiakkaalle linkin käyttämisestä ei tule yhtään ylimääräisiä kustannuksia. Usein affiliate-linkin kautta saat jopa alennuksen palvelun normaalista hinnasta.
Sinua voisi kiinnostaa myös:
Heräsikö kysyttävää?
Lähetä meille viestiä tai soita. Kysyminen ei vielä maksa mitään, eikä velvoita sinua mihinkään.