WordPressin tietoturvasta puhuttaessa yksi usein mainittu, mutta harvoin täysin ymmärretty mekanismi on nonce. Termi kuulostaa kryptografiselta taikuudelta, ja sitä se osittain onkin, mutta käytännössä kyse on hyvin arkisesta suojauksesta: varmistetaan, että pyyntö todella tulee sieltä mistä sen pitäisi tulla.
Nonce ei ole palomuuri, ei salasana eikä digitaalinen sormenjälki. Se on pieni, mutta tärkeä osa WordPressin puolustusjärjestelmää. Kun ymmärtää, mitä nonce tekee – ja erityisesti mitä se ei tee – pystyy rakentamaan turvallisempia lisäosia, teemoja ja sovelluksia.
Mikä nonce oikeastaan on?
Nonce tulee sanoista number used once. Kryptografiassa nonce tarkoittaa arvoa, jota käytetään vain kerran estämään toistohyökkäyksiä. WordPressissa nonce ei kuitenkaan ole täysin kertakäyttöinen eikä satunnainen samalla tavalla kuin puhtaassa kryptografiassa.
WordPress-nonce on:
-
aikaperusteinen token
-
käyttäjä- ja kontekstisidonnainen arvo
-
hashattu merkkijono
-
tarkoitettu pyyntöjen validointiin
WordPress generoi noncen yhdistämällä käyttäjätiedot, aikaleiman ja action-merkkijonon. Lopputulos näyttää satunnaiselta, mutta on deterministinen tietyllä aikavälillä.
Nonce ei siis ole “salainen avain”, vaan enemmänkin “hetkellinen varmistuskoodi”.
Mihin noncea käytetään WordPressissa?
Noncea käytetään varmistamaan, että tietty toiminto on:
-
käynnistetty WordPressin sisältä
-
tehty oikeassa kontekstissa
-
todennäköisesti käyttäjän tarkoituksellinen
Nonce näkyy usein URL-parametrina tai lomakekentässä:
-
URLissa:
_wpnonce=abc123 -
Lomakkeessa: hidden input -kenttänä
-
AJAX-pyynnöissä: mukana payloadissa
Nonce liittyy aina actioniin, esimerkiksi:
-
postauksen poisto
-
asetusten tallennus
-
käyttäjätietojen muokkaus
-
AJAX-toiminnot
Tyypillinen nonce-virta
Prosessi etenee yleensä näin:
-
WordPress luo noncen:
wp_create_nonce('delete_post') -
Nonce lisätään lomakkeeseen tai linkkiin
-
Käyttäjä suorittaa toiminnon
-
WordPress tarkistaa noncen:
wp_verify_nonce()
Jos nonce ei täsmää, toiminto hylätään.
Mitä nonce oikeasti suojaa?
Nonce on ennen kaikkea CSRF-suoja.
CSRF (Cross-Site Request Forgery) tarkoittaa hyökkäystä, jossa käyttäjän selain huijataan tekemään pyyntö ilman käyttäjän tietoista toimintaa. Esimerkiksi:
-
käyttäjä on kirjautunut WordPressiin
-
käyttäjä avaa haitallisen sivun
-
sivu laukaisee pyynnön WordPressiin
-
selain lähettää evästeet mukana
-
WordPress luulee pyynnön olevan laillinen
Nonce estää tämän, koska hyökkääjä ei tiedä validia nonce-arvoa.
Nonce suojaa:
-
lomakepyyntöjä
-
admin-toimintoja
-
AJAX-kutsuja
-
URL-pohjaisia toimintoja
Nonce lisää pyynnölle kontekstuaalisen varmistuksen.
CSRF-suojauksen logiikka
Ajatus on yksinkertainen:
-
hyökkääjä voi pakottaa selaimen tekemään pyynnön
-
hyökkääjä ei voi arvata noncea
-
WordPress hylkää pyynnön ilman noncea
Nonce toimii kuin oven koodi, joka vaihtuu säännöllisesti.
Mitä nonce ei suojaa?
Nonce ei ole universaali tietoturvakilpi. Tämä on yksi yleisimmistä väärinkäsityksistä.
Nonce ei suojaa:
-
autentikointia
-
käyttöoikeuksia
-
XSS-hyökkäyksiä
-
SQL-injektiota
-
brute force -hyökkäyksiä
-
datan salausta
Nonce ei vastaa kysymykseen “onko tämä käyttäjä oikeutettu?”, vaan “tuleeko tämä pyyntö oikeasta kontekstista?”.
Nonce ei korvaa käyttöoikeustarkistuksia
Nonce ei tarkista rooleja tai capabilityjä. Tämä on kriittinen pointti.
Väärä logiikka:
-
“Nonce on validi → sallitaan toiminto”
Oikea logiikka:
-
“Nonce on validi → tarkistetaan käyttöoikeudet”
Käyttöoikeudet tarkistetaan esimerkiksi:
-
current_user_can()
Nonce ja capabilityt ovat eri suojakerroksia.
Nonce ja autentikointi
Nonce ei ole kirjautumismekanismi.
Nonce ei:
-
tunnista käyttäjää
-
toimi salasanana
-
estä session hijackingia
Nonce perustuu siihen, että käyttäjä on jo autentikoitu. Ilman kirjautumista nonce ei yleensä ole relevantti.
Nonce ei ole identiteetin todistus, vaan pyynnön validointitarkistus.
Nonce ja XSS
Nonce ei suojaa XSS:ltä (Cross-Site Scripting).
Jos sivulla on XSS-haavoittuvuus:
-
hyökkääjä voi lukea nonce-arvoja
-
hyökkääjä voi generoida pyyntöjä
-
nonce ei auta
Nonce olettaa, että JavaScript-ympäristö on luotettava. XSS rikkoo tämän oletuksen.
Siksi nonce + XSS-haavoittuvuus = nonce käytännössä mitätön.
Nonce ja replay-hyökkäykset
Puhtaassa kryptografiassa nonce estää replay-hyökkäykset. WordPressissa tilanne on hieman erilainen.
WordPress-nonce:
-
on voimassa tietyn ajan
-
ei ole täysin kertakäyttöinen
-
voi toimia useita kertoja aikarajan sisällä
Nonce ei siis estä kaikkia toistohyökkäyksiä samalla tavalla kuin kryptografinen nonce.
Nonce on enemmänkin “tilapäinen lupa”.
Miksi WordPress-nonce ei ole täysin kertakäyttöinen?
Syyt ovat käytännöllisiä:
-
selaimen back-nappi
-
useat välilehdet
-
käyttäjäkokemus
-
suorituskyky
Jos nonce olisi täysin kertakäyttöinen:
-
lomakkeet menisivät rikki helposti
-
UX kärsisi merkittävästi
WordPress valitsee kompromissin turvallisuuden ja käytettävyyden välillä.
Nonce AJAX-kutsuissa
AJAX on noncejen yleisimpiä käyttökohteita modernissa WordPress-kehityksessä.
Nonce:
-
lähetetään JavaScriptista
-
tarkistetaan serverillä
-
suojaa endpointteja
Ilman noncea AJAX-endpoint on altis CSRF:lle.
Nonce AJAXissa ei kuitenkaan korvaa:
-
capability-tarkistuksia
-
input-validointia
-
sanitointia
Nonce on vain yksi osa kokonaisuutta.
Nonce REST API:ssa
REST API:ssa nonce toimii hieman eri tavalla.
Nonce:
-
yhdistyy evästepohjaiseen autentikointiin
-
suojaa selaimesta tulevia pyyntöjä
-
ei yleensä ole relevantti ulkoisille clienteille
REST API:ssa nonce on enemmän selainturvallisuuden mekanismi kuin yleinen API-suojaus.
Yleisimmät väärinkäsitykset nonceista
Nonceihin liittyy joukko sitkeitä myyttejä.
Nonce ei ole:
-
turvakoodi joka tekee endpointista turvallisen
-
salainen avain
-
käyttöoikeusjärjestelmä
-
XSS-suoja
Nonce on:
-
CSRF-suojauksen työkalu
-
kontekstin validointimekanismi
-
osa defense-in-depth -mallia
Nonce ei tee huonosta logiikasta turvallista.
Nonce ja defense-in-depth
Nonce on yksi kerros useiden joukossa.
Turvallinen WordPress-toiminto sisältää:
-
nonce-tarkistus
-
capability-tarkistus
-
input-validointi
-
sanitointi
-
escaping
-
oikea SQL-käsittely
Nonce yksinään ei ole tietoturvastrategia.
Nonce on kuin turvavyö – tärkeä, mutta ei yksin riittävä.
Milloin nonce kannattaa käyttää?
Nonce kannattaa käyttää aina kun:
-
suoritetaan state-changing -toiminto
-
käsitellään lomakkeita
-
rakennetaan admin-toimintoja
-
tehdään AJAX-kutsuja
-
muutetaan asetuksia
-
poistetaan tai muokataan dataa
Nonce ei ole tarpeen:
-
pelkässä GET-näkymässä
-
staattisessa sisällössä
-
julkisissa lukupyynnöissä
Nonce liittyy toimintoihin, ei pelkkään datan näyttämiseen.
Hyvä nonce-käytäntö
Hyvä toteutus:
-
nonce action on spesifi
-
nonce tarkistetaan serverillä
-
capability tarkistetaan erikseen
-
virhetilanne käsitellään oikein
Huono toteutus:
-
geneerinen nonce kaikille toiminnoille
-
noncea käytetään käyttöoikeuksien korvikkeena
-
nonce jätetään tarkistamatta
Nonce ei ole kosmeettinen lisä, vaan looginen tarkistus.
Lopuksi: nonce realistisessa roolissaan
Nonce ei ole WordPressin tietoturvan sankari eikä huijari. Se on pragmaattinen työkalu.
Nonce:
-
ei tee sivustosta “turvallista”
-
ei estä kaikkia hyökkäyksiä
-
ei ole kryptografinen ihme
Nonce:
-
estää CSRF-hyökkäyksiä
-
varmistaa pyyntöjen kontekstia
-
vähentää hyökkäyspinta-alaa
Kun nonce ymmärretään oikein, siitä tulee luotettava osa turvallista arkkitehtuuria. Kun nonce ymmärretään väärin, syntyy valheellinen turvallisuuden tunne – ja se on tietoturvassa vaarallisin tila.
Nonce ei ole kilpi. Nonce on tarkastuspiste.
