Kríziskommunikáció weboldal feltörés után

Az utóbbi években a weboldal feltörések és vírus fertőzések száma ugrásszerűen megnőtt. Köszönhető ez elsősorban annak, hogy a tartalomkezelő rendszerek, közöttük a WordPress az utóbbi 5 évben rendkívüli népszerűséget ért el. A WordPress, amely eleinte egy blog motorként indult, a későbbiekben egy univerzális tartalomkezelő rendszerré nőtte ki magát, amely nemcsak egy weboldal tartalom frissítését képes támogatni, de komplett weboldalak, webshopok is viszonylag egyszerűen és gyorsan létrehozhatók a segítségével.

A feltörések elszaporodásának alapvető 4 oka

1. A WordPress egy nyílt forráskódú tartalomkezelő rendszer, bárki tetszés szerint fejleszthet hozzá kiegészítőket (plugin). A több tízezer plugin viszont nehezen ellenőrizhető információ biztonság szempontjából, ezért sok olyan van közöttük, amelyik könnyen támadható.
2. A WordPress-szel viszonylag egyszerű weboldalakat fejleszteni, ezért sok olyan webfejlesztő jelent meg a piacon, akik az alapvető információ biztonsági ismeretekkel sem rendelkeznek.
3. A WordPress rendszerhez és plugin-jeihez idődől időre biztonsági frissítéseket adnak ki, de a weboldal tulajdonosok sokszor tudatlanságból vagy költség takarékosságból nem végzik el ezeket a frissítéseket, így oldaluk támadhatóvá válik.
4. Mivel magasan a WordPress a legnépszerűbb tartalomkezelő rendszer – 2018-ban már a weboldalak 30%-a ezzel a motorral működött – ezért könnyű rá olyan feltörő programot írni, amely automatikusan szkenneli a netet és amint egy elavult feltörhető weboldalt talál, akkor megfertőzi.

Ha weboldalad feltörték, akkor elképzelhető, hogy azonnal észreveszed, de az is gyakran előfordul, hogy csak pár nap után értesülsz a rossz hírről. Mindig az a jobbik eset, mikor még azelőtt cselekedni tudsz, hogy a látogatók észrevennék a bajt.
A legrosszabb forgatókönyv viszont egyértelműen az, mikor a látogatók, ügyfelek értesítenek arról, hogy valami gond van az oldallal. Ez utóbbi esetben elkerülhetetlen, hogy a probléma elhárítása mellett megfelelő kommunikációt alkalmazz. De ne szaladjunk ennyire előre, első körben nézzük, milyen jelei vannak, ha feltörték a weboldalad.

Honnan lehet tudni, hogy feltörték a weboldalam?

Nem tudsz belépni az adminisztrációs rendszerbe (CMS-be) – a támadó eltulajdonította a felhasználó nevedhez tartozó jelszót és rögtön utána meg is változtatja, hogy kizárjon téged a rendszerből.
Az adminisztrációs felületen új ismeretlen felhasználók jelennek meg – a támadó hozzáfér az adminsztrációs rendszerhez és új felhasználót hoz létre, hogy folyamatosan módosítani tudja a weboldalt.
Hirtelen nagy forgalomesést észlelsz a látogatottsági statisztikákban – a weboldalba helyezett kártevő átirányítja a látogatót egy másik oldalra és ez forgalom csökkenésként jelenik meg a statisztikában.
Weboldalad nyitólapját megváltoztatták – a támadók az esetek többségében igyekeznek rejtve maradni, de ha a cél a weboldal feltörése és ezzel való dicsekvés, akkor ezt látványos formában teszik. Törlik a nyitólapot és helyette egy „Hacked by … „ üzenet jelenik meg.
Weboldalad ismeretlen felbukkanó ablakokat nyit meg – a cél itt a látogató kéretlen „hirdetésekkel” történő átirányítása egy másik weboldalra.
Gyanús tevékenységet észlelsz tárhelyed log file-jaiban.
A biztonsági plugin-ek riasztás adnak – ha van ilyen plugin-ed telepítve, akkor ezek feladata értesíteni téged, ha valami gyanúsat észlelnek.
Weboldalad egy másik weboldalra irányít át – elég durva formája a feltörésnek, ha a megnyitott oldalt azonnal egy másik site-ra irányítják át.
Weboldalon furcsa, ismeretlen szövegek és linkek jelennek meg – tiltott linképítési módszer, ha a feltört weboldal tartalmába linkeket szúrnak be.
Weboldalad helyett egy Google értesítés jelenik meg, amely tájékoztatja a látogatót, hogy a site vírussal fertőzött és megtekintése veszélyeket hordoz magában.
Ismeretlen fájlok jelennek meg a weboldal állományai között – a site fájlokat böngészve ismeretlen – valószínűleg károkozókat tartalmazó – állományok jelennek meg.
A tárhely szolgáltatód értesít, hogy weboldalad túl sok kéretlen e-mail-t küld.
A Google Search Console jelzi, hogy weboldaladdal probléma van – többek között ezért is célszerű oldalad felvenni a Search Console-ba, hogy értesítst kapj, ha valami probléma van vele.
A domained vagy IP címed tiltólistára kerül a sok kiküldött kéretlen e-mail miatt és leveleid sem érkeznek meg a címzettekhez – a feltörés utána a site-ot spam e-mail küldésre használják, amelynek végeredménye egy ilyen tiltólistára kerülés lesz.

Hogyan kommunikáljam az ügyfelek felé a problémát?

Ha a látogatók, ügyfelek értesülnek a weboldal feltörésről, vírusfertőzésről, akkor az alábbi kérdések fordulhatnak meg a fejükben:
A weboldalon tárolt személyes adataim lehet, hogy kiszivárogtak, illetéktelen kezekbe kerültek?
Lehet, hogy ellopták a hitelkártya adataimat?
A weboldal lehet, hogy megfertőzte a számítógépemet?
Mennyi ideig nem férek hozzá a weboldalhoz?
Megbízhatok későbbiekben ebben a cégben vagy jobb, ha egy másikat választok?
A kríziskommunikáció egyik része, hogy ezekre a kérdésekre megfelelő választ tudj adni. A legfontosabb, hogy ne zárkózz el az ügyfelekkel való kommunikációtól, vedd fel a telefont, és válaszolj a felmerülő kérdésekre.

Számos angol nyelvű cikket találhatunk a témáról, melyek sokat segíthetnek ebben a helyzetben. A Berstein cikkében a legfőbb problémaforrásokról olvashatsz, a forbes.com oldalán pedig a kommunikációs tippekról. Az egyik leggyakorlatiasabb cikk a 4 mód, ahogyan elkerülheted, hogy a hackelés PR-rémálommá váljon. Eszerint a legfontosabb, hogy az ügyfelek, vásárlók biztonságban érezzék magukat és tudják, történt-e visszaélés a személyes adataikkal. Egy ilyen helyzetben nagyon erős a kiszolgáltatottság érzés az ügyfelek részéről. Ezt kellő belátással, megértéssel kell kezelni. Szintén fontos, hogy a folyamatos kommunikáció lehetőségét fenntartsuk: akár egy új, nem a domainhez kötődő emailcím megadásáal, akár a közösségi csatornák folyamatos monitorozásával.

Mi a teendő, ha feltörték a weboldalam?

A helyzet kríziskommunikációja mellett azonnal meg kell kezdeni a károk helyreállítását, az oldal vírus és kártevő mentesítését és a működés visszaállítását.

Erre az alábbi forgatókönyvet javaslom:
1. Ellenőrizd a számítógéped. Egy vírusos gép megfertőzheti a weboldalt, mikor hozzáférsz az adminsztrációs rendszerhez vagy a fájlokhoz. Az első lépés tehát a számítógép megtisztítása.
2. Ellenőrizd az admin-hoz hozzáférő felhasználókat. Távolítsd el mindenkit, akit nem ismersz vagy nincs szüksége hozzáférésre.
3. Változtasd meg az FTP, az admin és az adatbázis jelszavadat. Ha ezt a lépést kihagyod, akkor a site-ot újrafertőzhetik a nyitva hagyott hozzáférésen keresztül.
4. Vizsgáld át a weboldal fájlokat és az adatbázist és lokalizáld a vírust vagy kártevőt.
5. Töröld ki vagy írd felül a fertőzött állományokat egy mentésből származó tiszta verzióval. Ehhez a legutóbbi tiszta, fertőzés mentes teljes mentésre lesz szükséged. A mentés nem csak a fájlokat jelenti, hanem az adatbázist is!
6. Erősítsd meg a site védelmét. Telepíts biztonsági plugin-eket, víruskeresőket, backup programokat. Gondoskodj a jelszavak rendszeres módosításáról.

Az itt felsorolt tevékenységek elvégzése nem csak a weboldal adminisztrációs rendszeréhez értő személyt feltételeznek, hanem egy olyan szakembert, aki ért az adatbázisokhoz, ismeri a weboldal és az adminisztrációs rendszer fájlszerkezetét és alapvető információ biztonsági ismeretei is vannak, tehát átfogóan látja a problémát és nem csak magát a kártevőt távolítja el, de utána jár a fertőzés okának is.

Hogyan csökkenthető a feltörés kockázata avagy mit tehetsz annak érdekében, hogy elkerüld weboldalad feltörését?

Nincs feltörhetetlen weboldal, de mivel az esetek többségében nem célzott támadásról, hanem automatizált próbálkozásokról van szó, ezért van jó pár egyszerű tevékenység, amivel jelentősen csökkenthető a kockázat. Ezért mindig frissítsd a CMS rendszert és a CMS plugin-eket az elérhető legújabb verzióra! Mindig legyen biztonsági mentésed a teljes site-ról. Emellett hasznos lehet, ha telepítesz egy biztonsági plugin-t. És a weboldalt és az adminisztrációs rendszerhez hozzáférő felhasználók gépeit vírusmentesen tartod. Alapvető, hogy biztonságos admin és FTP jelszavakat használj.