WordPress-sivuston ylläpitäjänä, omistajana tai kehittäjänä olet jo tottunut pitämään silmällä perinteisiä lisäosien haavoittuvuuksia, ja pidät huolta hyvästä tietoturvasta: etenkin siitä, että sivustollasi käytetään kyllin vahvoja salasanoja.
Mikä neuvoksi, jos tietoturvauhka tuleekin luotetulta taholta – kuten vaikkapa komponentista, jota käytetään laajasti verkkokehityksessä? Entäpä jos kyberuhka ei toteudukaan yhdessä yössä, vaan vie vuosia ennen kuin se aktivoituu?
Juuri näin kävi erittäin suositun Polyfill.js-kirjaston kanssa. Vuonna 2024 havaittu kyberuhka on nyt aktivoitunut, ja se voi vaikuttaa WordPress-sivustoihin kaikkialla verkossa.
Hyvä, paha Polyfill.js
Mikä on Polyfill.js?
Alun perin tämän JavaScript-kirjaston tarkoituksena oli tarjota verkkosivuilla uudempia toiminnallisuuksia vanhemmille selaimille, jotka eivät niitä suoraan tukeneet. Toisin sanottuna, kirjastolla saatiin aikaan nätimpi ja kivempi käyttökokemus, vaikka käyttäjällä ei olisikaan ollut aivan uusin selain asennettuna.
Lukuisat verkkosivustot tukeutuivat Polyfill.js-kirjastoon, jota tuotiin saataville osoitteessa polyfill.io (ja esim. sen CDN-aliverkkotunnuksessa). Kun kirjasto voitiin ladata ulkoisesta osoitteesta, käyttöönotto ja ylläpito helpottuivat, ja sivustojen latausajat nopeutuivat.
Ongelmat alkavat
Polyfill-projekti jäi sittemmin heitteille, ja vuonna 2024 kiinalainen yritys hankki polyfill.io-domainin itselleen. Kun omistajanvaihdos oli valmis, verkkotunnus alkoi ujuttaa haitallista koodia muutoin luotettavaan Polyfill.js-kirjastoon.
Tämäntyyppistä haavoittuvuutta kutsutaan XSS-haavoittuvuudeksi (Cross-Site Scripting). Muokattua polyfill-koodia voitiin nyt hyödyntää haitallisen koodin suorittamiseen sivustoilla, joissa kirjasto oli käytössä. Käyttäjiä voidaan esimerkiksi ohjata haitallisille verkkosivustoille, tai tietoja voidaan kaapata.
Vuonna 2024 tekemässään arviossa Patchstack analysoi haavoittuvuuden ennemmin tulevaisuuden uhaksi kuin aktiiviseksi vaaraksi. Koska tuhannet lisäosat ja teemat käyttävät JS-kirjastoja, kyseessä oli kuitenkin huomattava uhka – tai pikemminkin tikittävä aikapommi.
Tänä vuonna on viimein saatu havaita, että haitallinen toiminta on lisääntynyt. Vaikka polyfill.io:n resursseja käyttävät pääasiassa ylläpitämättömät ja hylätyt sivustot, uhka on edelleen olemassa. Se on kaikeksi onneksi kohtuullisen helppo torjua.
Suojaa WordPress-sivustosi
Koska tuhannet lisäosat ja teemat ovat tukeutuneet kolmannen osapuolen JavaScript-kirjastoihin toimiakseen, Polyfill.js saattaa edelleen olla käytössä myös omalla sivustollasi. Nyt on hyvä hetki tarkistaa, ettei sivustosi ole alttiina tälle uhalle.
Suositellut toimenpiteet
Jos olet sivuston omistaja, ylläpitäjä tai lisäosan kehittäjä, näin voit varmistaa, ettei sivustosi ole altis polyfill.io-uhalle:
1. Auditoi ja päivitä lisäosasi
Tarkista, mitä WordPress-lisäosia sivustollesi on tällä hetkellä asennettu. Poista kaikki lisäosat, joita et enää tarvitse. Jos jokin lisäosa on ehdottomasti tarpeellinen, varmista, että se on päivitetty. Voit tarkistaa lisäosan haavoittuvuuden Patchstack-tietokannasta. Kaikki haavoittuvat lisäosat tulee poistaa käytöstä, etenkin jos niille ei ole saatavilla korjausta.
2. Käytä luotettavia vaihtoehtoja
Jos olet sivustokehittäjä ja sinulla on omia skriptejä, jotka lataavat resursseja osoitteesta polyfill.io, poista ne välittömästi. Jos sivustosi vaatii edelleen ehdottomasti polyfillejä, vaihda luotettavaan ja turvalliseen vaihtoehtoon. Palveluntarjoajat kuten Cloudflare pitävät turvallisia versioita kirjastosta saatavilla omassa infrastruktuurissaan (cdnjs).
3. Ota käyttöön CSP
CSP eli Content Security Policy on erinomainen turvatoimi millä tahansa verkkosivustolla. Määrittämällä tiukan CSP:n WordPress-sivustollesi voit nimenomaisesti määritellä, mistä verkkotunnuksista sivustosi saa ladata skriptejä tai muita resursseja. Vaikka lisäosa yrittäisi ottaa yhteyttä verkkotunnukseen kuten polyfill.io, hyvä CSP-määritys estää selainta suorittamasta sitä.
Seravolla on käytössä oletuksena yksinkertainen CSP-määritys. Lue lisää Seravon tietopankista.
4. Varmista, että sivustoasi valvotaan
Tällaiset toimitusketjuhyökkäykset osoittavat, miten verkkosivustot ja järjestelmät ovat riippuvaisia toisistaan. Pienelläkin huolimattomuudella verkkotunnusten hallinnassa voi olla vakavat seuraukset.
Kyberturvallisuudesta huolehtiminen on kokopäiväistä työtä, ja hyvä kumppani sivuston turvallisuuden varmistamiseksi on nykypäivänä välttämättömyys. Seravon kaltainen premium-tason hosting valvoo WordPress-sivustoasi ja skannaa sen päivittäin uhkien varalta. Tarjoamme myös Turvatakuun ja korjaamme sivustosi ilmaiseksi, jos se joutuu murron kohteeksi ollessaan ylläpidossamme.
Jos sivustoasi ei vielä hostata turvallisessa palvelussa, siirrä se meille jo tänään!
Polyfill.io ja sivustot Seravolla
Jos WordPress-sivustosi on Seravon ylläpidossa, voit olla huoletta: olemme torjuneet uhan poistamalla haavoittuvuudelle alttiin koodin käytöstä niillä sivustoilla, joita asia koski.
Olemme myös ottaneet yhteyttä niiden sivustojen teknisiin yhteyshenkilöihin, joita haavoittuvuus koski. Varmista, että yhteystietosi ovat ajan tasalla! Katso ohjeet tietopankistamme.
Lopuksi
Tapaus on hyvä muistutus siitä, miksi ja miten kyberuhat syntyvät ja kehittyvät: jos jotain voidaan käyttää väärin, niin tulee myös tapahtumaan vääjäämättä. WordPress-yhteisön valppaiden toimijoiden ansiosta alusta pysyy turvallisena, ja suuret vahingot pystyttiin välttämään hyvän yhteistyön ansiosta.
Käytä tänään muutama minuutti sivustosi skriptien tarkistamiseen, päivitä lisäosasi ja varmista, että kolmannen osapuolen riippuvuutesi tulevat luotettavista, varmistetuista lähteistä!
Seravo – Hosting ja ylläpito WordPressille
Seravo on premium-tason hostingpalvelu, joka tarjoaa WordPress-sivustollesi nopean ja turvallisen palvelinympäristön. Palvelustamme löydät kaiken valmiina WordPressin ylläpitoa varten.
Tutustu palveluun ja tee tilaus!