Uusin kirjoitus :
Sivututka jää pian historiaan vajaan kymmenen vuoden toiminnan jälkeen. Ajattelin retrofiiliksissäni koota muutamia parhaita paloja firman...
Sivututkan kymmenen toimintavuoden jälkeen meidän on aika siirtyä eteenpäin. Työt ja intohimo erinomaisen verkkosivupalvelun eteen jatkuvat uusissa yrityksissä.
Antti jatkaa WordPress-kehittäjänä ja asiantuntijana Arcode -nimen alla. Jussi suunnittelee ja toteuttaa verkkosivustoja All Out Agency -nimellä.
Voit lukea lisää päätöksestä ja sen taustoista tästä blogikirjoituksesta. Sivututkan tarinan ja parhaat palat löydät täältä.
Internetistä on tullut maailmanlaajuinen tietopankki. Erilaisten lomakkeiden kautta tallennetaan henkilötietoja, puhelinnumeroita tai arkaluontoisempaakin tietoa kuten henkilötunnuksia. Verkkokaupoissa tarvitaan pankkitietoja ja ihmiset rekisteröityvät palveluihin käyttäjätunnuksilla ja salasanoilla. Kaikkia näitä yksityisiä tietoja voidaan käyttää myös väärin.
Pienemmässä organisaatiossa voidaan ajatella, että miksi joku hakkeroituisi meidän WordPress-verkkosivuille, missä ei ole kuin muutama hassu sivu tekstiä ja palautelomake? Eikä sivustolla ole edes mitään arkaluonteista tietoa. Kuka sen nyt haluaisi hakkeroida?
WordPress on suosittu sisällönhallintajärjestelmä ja sitä käytetään ympäri maailmaa. Joka päivä internetiin julkaistaan yli 600 uutta WordPressiä hyödyntävää sivustoa.
Laaja käyttö tekee siitä myös erityisen suositun verkkosivuihin kohdistuvan hakkeroinnin kohteen. Google havainnoi noin 50 000 tietojenkalastelu-yritystä joka viikko.
Ei ole olemassa turvatonta WordPress-sivustoa,
on vain huonosti ylläpidettyjä WordPress-sivustoja.
-Seravo
Suosiostaan huolimatta WordPress on tietoturvaltaan vankka, kunhan järjestelmät pidetään ajan tasalla ja perusasioista on huolehdittu. WordPressin ympärille on vuosien varrella kertynyt laaja asiantuntijajoukko, joka koostuu WordPressin omista tietoturva-asiantuntijoista, tietoturvaa tutkivista yrityksistä ja vapaaehtoisista kehittäjistä.
Tämä asiantuntijajoukko reagoi järjestelmän mahdollisiin tietoturvapuutteisiin nopeasti ja korjaukset ovat heti jokaisen WordPress käyttäjän käytettävissä.
Hakkeri: henkilö, joka yrittää murtaa tietojärjestelmiä ja ohjelmia
Botti: tietokoneohjelma, joka suorittaa automaattisesti usein toistuvia tehtäviä
Hakkeri saattaa kokeilla murtautua sivustolle kiristääkseen rahaa tai vain aiheuttaakseen harmia. Myös automaattisesti verkkosivujen haavoittuvuuksia etsivät botit voidaan valjastaa haitallisiin tarkoituksiin ja laittaa botti keräämään käyttäjätunnuksia ja salasanoja eri palveluista.
Hakkerit ja botit voivat levittää haittaohjelmia, kiristysohjelmia tai muita haitallisia ohjelmia, jotka voivat levitä kävijöiden huomaamatta eteenpäin.
Vaikka hakkeroidun sivuston kautta ei kiristettäisi rahaa tai tehtäisi muita isompia rikollisia toimia, hakkeroitu sivusto tulee todennäköisesti vahingoittamaan yrityksen mainetta. Yrityksen sivuille ilmestyy jotain sopimatonta sisältöä tai sivuston kautta käydyt salaiset keskustelut yhteystietoineen ovatkin paljastettu julkisesti näkyville.
Yrityksen imagoon vaikuttaa haitallisesti vain sekin, että verkkosivuja ei pääse hakkeroinnin seurauksena hetkellisesti käyttämään.
Samoin kuin fyysistä yrityksen rakennusta suojellaan lukoin, hälytysjärjestelmin ja kulkuseurannoin, tulee myös verkossa oleva yrityksen toiminta suojata.
Yksi turvallisuuden perusasioista on tietosuoja. Tietosuoja on jokaiselle ihmiselle kuuluva oikeus suojata omat henkilötietonsa. GDPR tietosuoja-asetus on nostanut tietosuojan vielä suurempaan rooliin viime vuosina.
Verkkosivujen vahva tietoturva on edellytys tietosuojan toteutumiselle. Varsinkin jos verkkosivuilla säilötään henkilötietoja, mikä on melko tavallista WordPress-sivustoilla.
Lakiteknisesti tietosuojaloukkauksissa ja tietomurroissa vastuussa on yrityksen hallinto ja johto. Karuja esimerkkejä olemme voineet lehdistä valitettavasti lukea. Luotettavan ja osaavan IT-kumppanin valinta on siis tärkeä osa yrityksen tietoturvaa.
Vaikka WordPress on järjestelmänä lähtökohtaisesti turvallinen ja laaja joukko kehittäjiä tarkastavat ja päivittävät sitä säännöllisesti, niin WordPress-sivuston tietoturvaa voidaan parantaa muutamilla keinoilla.
Tietoturvan parantamisessa perusasioista huolehtimalla pääsee jo pitkälle. Tässä muutama vinkki, jotka eivät vaadi koodaustaitoa tai syvällisempää WordPressin tuntemista:
Yleisimmät WordPress-hakkerointiyritykset käyttävät muista järjestelmistä varastettuja salasanoja. Siksi salasanojen tulisi olla uniikkeja, eli salasana ei ole käytössä muualla.
Vahva salasana pitää sisällään isoja ja pieniä kirjaimia, numeroita ja mahdollisesti myös erikoismerkkejä sekä on vähintään 12 merkin pituinen. Voit luoda vahvan salasanan esimerkiksi passwordsgenerator.net työkalulla.
Jos käyttäjillä on uniikit ja vahvat salasanat sekä WordPress lisäosineen pidetään ajan tasalla, sivusto on todennäköisesti jo hyvin suojattu bottien jatkuvia hakkerointiyrityksiä vastaan.
Monet eivät pidä vahvojen salasanojen käytöstä, koska niitä on vaikea muistaa.
Hyvä keino vahvojen salasanojen käyttöön on käyttää erillistä sovellusta salasanojen hallintaan, kuten esimerkiksi 1Passwordia. Sovelluksessa salasanat tallennetaan suojattuun varastoon, josta kulloinkin tarvittavan salasanan voi kopioida suoraan kirjautumisnäkymään. Näin tarvitsee muistaa vain yksi salasana usean sijaan. Kaikki salasanat löytyvät samasta paikasta ja ne on helppo kopioida.
WordPress-järjestelmää ylläpidetään säännöllisesti uusilla versioilla. Oletuksena pienet päivitykset asennetaan taustalla automaattisesti, mutta suurempien päivitysten osalta homma kannattaa hoitaa manuaalisesti WordPress-hallinnasta.
WordPress tarjoaa myös valtavan määrän kolmansien osapuolten tekemiä lisäosia, joita voi hyödyntää sivuston kehittämisessä. Lisäosilla voidaan ottaa käyttöön mm. verkkokaupan toiminnot, optimoida hakukonenäkyvyyttä tai lisätä lomakkeita sivustolle.
Sivustolla on suositeltavaa käyttää vain luottavia ja yleisesti suosittuja lisäosia. Hyvä tapa on ladata lisäosia vain luotettavalta taholta, esimerkiksi WordPressin omilta wordpress.org sivuilta, missä lisäosien turvallisuus on jo suurelta osin tarkistettu. Käyttämättömät lisäosat on hyvä poistaa ja muutenkin pitää lisäosien määrä maltillisena.
WordPress-maailmassa teema tarkoittaa mm. sivuston ulkoasua, eli sitä miltä sivusto näyttää. Ilmaisia teemoja on saatavilla tuhansia, mutta niiden laatu voi vaihdella suuresti.
Iso osa WordPress-sivustoja päätyönään tekevistä yrityksistä keskittyy valmisteemojen sijaan räätälöityjen teemojen toteuttamiseen. Räätälöity teema mahdollistaa joustavamman sivuston rakenteen ja sisällönhallinnan lisäksi myös tietoturvan tiukemman huomioimisen.
WordPress-järjestelmän, teeman ja lisäosien päivitykset ovat turvallisuuden ja sivuston vakauden kannalta erittäin tärkeitä. Vanhentunut järjestelmä tai sen osat voivat myös laskea sivuston nopeutta ja toimintavarmuutta.
Huolettomalla asenteella varmuuskopioiden ja tietoturvan merkitystä on helppo aliarvioida, ennen kuin verkkosivut on hakkeroitu. Sivuston puhdistaminen on hankalaa ja aikaa vievää työtä.
Sivustosta tulisi ottaa varmuuskopio säännöllisin väliajoin, jotta ongelmatilanteessa sivuston voi palauttaa edelliseen versioon. Myös ennen WordPress-järjestelmän päivitystä sivusto on hyvä varmuuskopioida, jotta sivuston voi tarvittaessa palauttaa, jos jokin menee pieleen.
SSL on protokolla, joka salaa tiedonsiirron sivuston ja selaimen välillä. Salaus tekee tietojen haistelun ja tiedon varastamisen vaikeammaksi. Kun SSL-suojaus on otettu käyttöön, sivusto käyttää http:n sijaan https-muotoista osoitetta. Tällöin sivuston osoitteen vieressä selaimessa näytetään riippulukko suojauksen merkiksi.
Useimmilla hosting-palveluntarjoajilla ja webhotelleilla SSL-suojauksen saa päälle automaattisesti ilman lisäkuluja.
Jos sivustollasi on käytössä kommentointi, kommentointimahdollisuus tulisi rajata päättymään tietyn ajan sisään, esim. 30 päivään. Tämä vähentää roskakommenttien määrä huomattavasti.
Käytämme vain tiukalla seulalla valittuja, tarpeellisia ja WordPress-yhteisön hyväksi toteamia lisäosia sekä pidämme niiden määrän minimissä. Emme käytä lainkaan kolmannen osapuolen valmisteemoja, vaan rakennamme sivuston oman räätälöidyn pohjateeman päälle.
Sivustoillemme otetaan aina käyttöön SSL-suojaukset. Vahvat salasanat on pakotettu käyttöön. Pidämme myös huolen, että hallinnan kautta ei vahingossakaan pääse muokkaamaan koodia tai lisäämään piilokoodia sivustolle muun sisällön mukana.
Sivututkan ylläpitopaketti pitää sisällään varmuuskopioinnit ja päivittäiset tietoturvan seurannat. Varmistamme, että WordPress-järjestelmän lisäksi kaikki sivuston osat ovat ajan tasalla ja tietoturvalliset. Palvelinympäristöistä vastaa erikoistunut kumppanimme Seravo.
Lisäksi paikkaamme WordPressin toiminnallisuuksiin liittyvät lievemmät tietoturvapuutteet. Näistä tarkemmin seuraavassa kirjoituksessa, jossa menemme WordPress-tietoturvan teknisempään päätyyn.
Heräsikö aiheesta kommenttia tai kysyttävää? Ota yhteyttä!