WordPress on suosittu sisällönhallintajärjestelmä ja sitä käytetään ympäri maailmaa. Joka päivä internetiin julkaistaan yli 600 uutta WordPressiä hyödyntävää sivustoa.
Laaja käyttö tekee siitä myös erityisen suositun verkkosivuihin kohdistuvan hakkeroinnin kohteen. Google havainnoi noin 50 000 tietojenkalastelu-yritystä joka viikko.
Suosiostaan huolimatta WordPress on tietoturvaltaan vankka, kunhan järjestelmät pidetään ajan tasalla ja perusasioista on huolehdittu. WordPressin ympärille on vuosien varrella kertynyt laaja asiantuntijajoukko, joka koostuu WordPressin omista tietoturva-asiantuntijoista, tietoturvaa tutkivista yrityksistä ja vapaaehtoisista kehittäjistä.
Tämä asiantuntijajoukko reagoi järjestelmän mahdollisiin tietoturvapuutteisiin nopeasti ja korjaukset ovat heti jokaisen WordPress käyttäjän käytettävissä.
Mitä on tietoturva ja miksi siihen tulee kiinnittää huomiota?
Hakkeri: henkilö, joka yrittää murtaa tietojärjestelmiä ja ohjelmia
Botti: tietokoneohjelma, joka suorittaa automaattisesti usein toistuvia tehtäviä
Hakkeri saattaa kokeilla murtautua sivustolle kiristääkseen rahaa tai vain aiheuttaakseen harmia. Myös automaattisesti verkkosivujen haavoittuvuuksia etsivät botit voidaan valjastaa haitallisiin tarkoituksiin ja laittaa botti keräämään käyttäjätunnuksia ja salasanoja eri palveluista.
Hakkerit ja botit voivat levittää haittaohjelmia, kiristysohjelmia tai muita haitallisia ohjelmia, jotka voivat levitä kävijöiden huomaamatta eteenpäin.
Vaikka hakkeroidun sivuston kautta ei kiristettäisi rahaa tai tehtäisi muita isompia rikollisia toimia, hakkeroitu sivusto tulee todennäköisesti vahingoittamaan yrityksen mainetta. Yrityksen sivuille ilmestyy jotain sopimatonta sisältöä tai sivuston kautta käydyt salaiset keskustelut yhteystietoineen ovatkin paljastettu julkisesti näkyville.
Yrityksen imagoon vaikuttaa haitallisesti vain sekin, että verkkosivuja ei pääse hakkeroinnin seurauksena hetkellisesti käyttämään.
Yksi turvallisuuden perusasioista on tietosuoja. Tietosuoja on jokaiselle ihmiselle kuuluva oikeus suojata omat henkilötietonsa. GDPR tietosuoja-asetus on nostanut tietosuojan vielä suurempaan rooliin viime vuosina.
Verkkosivujen vahva tietoturva on edellytys tietosuojan toteutumiselle. Varsinkin jos verkkosivuilla säilötään henkilötietoja, mikä on melko tavallista WordPress-sivustoilla.
Lakiteknisesti tietosuojaloukkauksissa ja tietomurroissa vastuussa on yrityksen hallinto ja johto. Karuja esimerkkejä olemme voineet lehdistä valitettavasti lukea. Luotettavan ja osaavan IT-kumppanin valinta on siis tärkeä osa yrityksen tietoturvaa.
Mitä WordPress-käyttäjä voi tehdä parantaakseen sivuston tietoturvaa?
Vaikka WordPress on järjestelmänä lähtökohtaisesti turvallinen ja laaja joukko kehittäjiä tarkastavat ja päivittävät sitä säännöllisesti, niin WordPress-sivuston tietoturvaa voidaan parantaa muutamilla keinoilla.
Tietoturvan parantamisessa perusasioista huolehtimalla pääsee jo pitkälle. Tässä muutama vinkki, jotka eivät vaadi koodaustaitoa tai syvällisempää WordPressin tuntemista:
1. Käytä vain vahvoja salasanoja ja käyttäjätunnuksia
Yleisimmät WordPress-hakkerointiyritykset käyttävät muista järjestelmistä varastettuja salasanoja. Siksi salasanojen tulisi olla uniikkeja, eli salasana ei ole käytössä muualla.
Vahva salasana pitää sisällään isoja ja pieniä kirjaimia, numeroita ja mahdollisesti myös erikoismerkkejä sekä on vähintään 12 merkin pituinen. Voit luoda vahvan salasanan esimerkiksi passwordsgenerator.net työkalulla.
Jos käyttäjillä on uniikit ja vahvat salasanat sekä WordPress lisäosineen pidetään ajan tasalla, sivusto on todennäköisesti jo hyvin suojattu bottien jatkuvia hakkerointiyrityksiä vastaan.
Monet eivät pidä vahvojen salasanojen käytöstä, koska niitä on vaikea muistaa.
Hyvä keino vahvojen salasanojen käyttöön on käyttää erillistä sovellusta salasanojen hallintaan, kuten esimerkiksi 1Passwordia. Sovelluksessa salasanat tallennetaan suojattuun varastoon, josta kulloinkin tarvittavan salasanan voi kopioida suoraan kirjautumisnäkymään. Näin tarvitsee muistaa vain yksi salasana usean sijaan. Kaikki salasanat löytyvät samasta paikasta ja ne on helppo kopioida.
2. Päivitä järjestelmä ja lisäosat säännöllisesti
WordPress-järjestelmää ylläpidetään säännöllisesti uusilla versioilla. Oletuksena pienet päivitykset asennetaan taustalla automaattisesti, mutta suurempien päivitysten osalta homma kannattaa hoitaa manuaalisesti WordPress-hallinnasta.
WordPress tarjoaa myös valtavan määrän kolmansien osapuolten tekemiä lisäosia, joita voi hyödyntää sivuston kehittämisessä. Lisäosilla voidaan ottaa käyttöön mm. verkkokaupan toiminnot, optimoida hakukonenäkyvyyttä tai lisätä lomakkeita sivustolle.
Sivustolla on suositeltavaa käyttää vain luottavia ja yleisesti suosittuja lisäosia. Hyvä tapa on ladata lisäosia vain luotettavalta taholta, esimerkiksi WordPressin omilta wordpress.org sivuilta, missä lisäosien turvallisuus on jo suurelta osin tarkistettu. Käyttämättömät lisäosat on hyvä poistaa ja muutenkin pitää lisäosien määrä maltillisena.
WordPress-maailmassa teema tarkoittaa mm. sivuston ulkoasua, eli sitä miltä sivusto näyttää. Ilmaisia teemoja on saatavilla tuhansia, mutta niiden laatu voi vaihdella suuresti.
Iso osa WordPress-sivustoja päätyönään tekevistä yrityksistä keskittyy valmisteemojen sijaan räätälöityjen teemojen toteuttamiseen. Räätälöity teema mahdollistaa joustavamman sivuston rakenteen ja sisällönhallinnan lisäksi myös tietoturvan tiukemman huomioimisen.
WordPress-järjestelmän, teeman ja lisäosien päivitykset ovat turvallisuuden ja sivuston vakauden kannalta erittäin tärkeitä. Vanhentunut järjestelmä tai sen osat voivat myös laskea sivuston nopeutta ja toimintavarmuutta.
3. Ota varmuuskopiot säännöllisin väliajoin
Huolettomalla asenteella varmuuskopioiden ja tietoturvan merkitystä on helppo aliarvioida, ennen kuin verkkosivut on hakkeroitu. Sivuston puhdistaminen on hankalaa ja aikaa vievää työtä.
Sivustosta tulisi ottaa varmuuskopio säännöllisin väliajoin, jotta ongelmatilanteessa sivuston voi palauttaa edelliseen versioon. Myös ennen WordPress-järjestelmän päivitystä sivusto on hyvä varmuuskopioida, jotta sivuston voi tarvittaessa palauttaa, jos jokin menee pieleen.
4. Ota SSL-suojaus käyttöön
SSL on protokolla, joka salaa tiedonsiirron sivuston ja selaimen välillä. Salaus tekee tietojen haistelun ja tiedon varastamisen vaikeammaksi. Kun SSL-suojaus on otettu käyttöön, sivusto käyttää http:n sijaan https-muotoista osoitetta. Tällöin sivuston osoitteen vieressä selaimessa näytetään riippulukko suojauksen merkiksi.
Useimmilla hosting-palveluntarjoajilla ja webhotelleilla SSL-suojauksen saa päälle automaattisesti ilman lisäkuluja.
5. Sulje kommentointi
Jos sivustollasi on käytössä kommentointi, kommentointimahdollisuus tulisi rajata päättymään tietyn ajan sisään, esim. 30 päivään. Tämä vähentää roskakommenttien määrä huomattavasti.
Miten me Sivututkalla huomioimme tietoturvan?
Käytämme vain tiukalla seulalla valittuja, tarpeellisia ja WordPress-yhteisön hyväksi toteamia lisäosia sekä pidämme niiden määrän minimissä. Emme käytä lainkaan kolmannen osapuolen valmisteemoja, vaan rakennamme sivuston oman räätälöidyn pohjateeman päälle.
Sivustoillemme otetaan aina käyttöön SSL-suojaukset. Vahvat salasanat on pakotettu käyttöön. Pidämme myös huolen, että hallinnan kautta ei vahingossakaan pääse muokkaamaan koodia tai lisäämään piilokoodia sivustolle muun sisällön mukana.
Sivututkan ylläpitopaketti pitää sisällään varmuuskopioinnit ja päivittäiset tietoturvan seurannat. Varmistamme, että WordPress-järjestelmän lisäksi kaikki sivuston osat ovat ajan tasalla ja tietoturvalliset. Palvelinympäristöistä vastaa erikoistunut kumppanimme Seravo.
Lisäksi paikkaamme WordPressin toiminnallisuuksiin liittyvät lievemmät tietoturvapuutteet. Näistä tarkemmin seuraavassa kirjoituksessa, jossa menemme WordPress-tietoturvan teknisempään päätyyn.
Heräsikö aiheesta kommenttia tai kysyttävää? Ota yhteyttä!