WordPress-verkkosivut yritykselle tai organisaatiolle ovat lähtökohtaisesti turvallinen valinta. Tietoturvasta on kuitenkin pidettävä huolta jatkuvasti.

Sivusto täytyy ensinnäkin toteuttaa tietoturva huomioiden ja lisäksi huolehtia sen ylläpidosta myös julkaisun jälkeen. Vanhat verkkosivut, joiden päivityksistä ja ylläpidosta ei ole pidetty huolta, sisältävät auttamatta tietoturvariskejä. Tietoturva-aukot taas mahdollistavat hakkereille esimerkiksi mahdollisuuden verkkosivujen sabotoimiseen, käyttäjätietokannan kaappaamisen, luottokorttikaappaimien asentamisen, roskapostin levittämisen, levytilan käyttämisen rikollisen materiaalin tallentamiseen tai vaikkapa kryptovaluutan louhimiseen.

Verkkosivujen tietoturvasta huolehtiminen on siis ensiarvoisen tärkeää, sillä siihen liittyvät loukkaukset lisääntyvät jatkuvasti. Myöskin tavat, joilla haavoittuvuuksia tietoturvassa pyritään löytämään ovat aina vain entistä jalostuneempia. Kukaan meistä ei ole varmasti pystynyt välttymään esimerkiksi erilaisilta kalasteluviesteiltä, joilla pyritään huijaamaan pahaa aavistamatonta – tai ainakaan uutisoinnista liittyen tietoturvaloukkauksiin. Nykyisin vielä osaa näistä huijauksista on erittäin vaikea erottaa vilpiksi – viestit ovat hyvää suomen kieltä, ja vaikkapa pankkitietojen varastamiseen tarkoitetut sivustot lähes täydellisiä kopioita alkuperäisestä.

Miten huolehdimme tietoturvasta rakentaessamme WordPress-verkkosivuja?

Toteutamme WordPress-verkkosivut aina julkaisujärjestelmän uusimmalla versiolla ja koodaamme verkkosivut nykyaikaisia käytänteitä noudattaen. Lisäksi käytämme vain hyväksi ja luotettavaksi todettuja lisäosia ja teemoja. WordPress-sivustoa alustaessa valitsemme aina vahvat tietokantatunnukset sekä muutamme lisäturvana tietokannan taulujen oletusetuliitteen. Etuliite on oletuksena ”wp_” ja yhdessä vakiomuotoisten tietokantataulujen nimien kanssa hakkerit pyrkivät tietokantaan murtautuessaan eteenpäin tuttujen taulunimien kautta. Estämme myös tiedostojen muokkauksen WordPress-verkkosivujen hallinnassa WP-config -tiedoston kautta.

Erityisesti suuremmissa projekteissa käytämme paikallisia kehitysympäristöjä sekä omaa sisäistä versiohallintaa (Gitlab), jonka kautta kaikki tiedostojen muutoshistoriat säilyvät tallessa projektin aloituksesta lähtien ja muutoksia voidaan jäljittää tarvittaessa taaksepäin. Sisäinen versiohallinta tarkoittaa myös sitä, että kellään muulla ei ole suoraa pääsyä sivuston lähdekoodiin ja muutokset saadaan julkaistua aina ilman toimintakatkoksia sivustolle. Paikallisten kehitysympäristöjen lisäksi näissä projekteissa on käytössä myös Staging-ympäristöt, joiden kautta asiakkaat voivat esimerkiksi itse testata uusia ominaisuuksia ennen kuin ne julkaistaan varsinaiselle sivustolle.

Halutessasi voimme myös asentaa WordPress-verkkosivuille esimerkiksi tietoturva- ja kaksivaiheinen kirjautuminen -lisäosat jos haluat viedä tietoturvasta huolehtimisen vielä askelta paremmaksi.

Toki kehittäjämme huolehtivat myös omalta osaltaan tietoturvasta mm. käyttämällä vahvaa salasanaa omilla koneillaan ja pitämällä huolta siitä ettei läppäriä jätetä minnekään yleisiin tiloihin vorojen saataville. Lisäksi Hurjan toimistolla on totta kai lukitus ja kulunvalvonta, joilla huolehditaan siitä etteivät asiattomat pääse tiloihin sekä tiedämme ketä paikalla on milloinkin. Hurjalla on myöskin erilliset langattomat verkot työntekijöille ja vierailijoille, joilla pidämme huolta ettei samassa verkossa toimiston koneiden kanssa ole koskaan ylimääräisiä laitteita.

Hurjan käyttämät palvelimet ovat tietoturvallisia

• Palvelimet sijaitsevat Suomessa
• Automaattinen varmuuskopiointi kerran päivässä
  • myös varmuuskopiot varmuuskopioidaan
• Automaattinen haittaohjelmien skannaus kerran kuukaudessa
• Palomuuri
• Maksuton automaattisesti asentuva SSL-sertifikaatti
  • SSL-sertifikaatti ei kuulu oletuksena kaikkien toimijoiden hosting-palveluihin, vaan on usein saatavissa lisämaksusta
• Eriytetyt asiakkaiden ympäristöt
  • Cgroup-perusteinen asiakkaiden eriyttäminen toisistaan
• WAF (Web Application Firewall) eli yleisten haavoittuvuuksien suodatus/esto
  • Estää mm. useat kirjautumisyritykset sekä yleisimmät OWASP-haavoittuvuudet
• Säännölliset käyttöjärjestelmäpäivitykset

Aiemmasta blogistamme voit lukea myös astetta teknisempää settiä web-kehityksen tietoturvasta!

Näin pidät itse parempaan huolta WordPress-verkkosivujen tietoturvasta

Tietoturvan vaarantumisessa käyttäjä on yleisesti sen heikoin lenkki. Tämä on sekä onni että onnettomuus. Onni siinä mielessä, että se tarkoittaa sitä, että jokainen voi omalla toiminnallaan parantaa tietoturvan toteutumista. Onnettomuus siinä mielessä, että erilaisilla järjestelmillä, kuten tässä tapauksessa WordPress-verkkosivuilla, käyttäjiä on useita, joten potentiaalisia tietoturva-aukkoja on myös lukuisia – ja ihmiset ovat inhimillisyydessään erehtyväisiä. Kasasimme avuksesi muutamia vinkkejä, joiden avulla voit edistää tietoturvan toteutumista omalla toiminnallasi.

• Huolehdi WordPress-verkkosivusi päivityksistä
• Valitse vahva salasana, jota et käytä muissa palveluissa
• Valitse vahva kirjautumistunnus (ei ”admin”)
• Käytä salasanojen hallintapalvelua (esim. LastPass, Keeper, 1Password)
• Käytä kaksivaiheista tunnistautumista
• Vaihda salasanasi säännöllisesti
• Asenna mahdollisimman vähän lisäosia
• Poista ylimääräiset teemat

Tutustu toteuttamiimme verkkosivuihin ja verkkokauppoihin!

Auditoimme WordPress-verkkosivut ammattitaidolla

Entä jos et ole varma onko nykyisten WordPress-verkkosivujesi tietoturva ajantasalla? Ei huolta, meiltä löytyy lääke myös tähän vaivaan! WordPress-sivuston auditoinnissa selvitämme sivustosi mahdolliset tekniset ongelmat ja kuinka niitä voidaan lähteä ratkomaan. Kun sivuston tekniset ratkaisut ja toiminnallisuudet on toteutettu hyviä käytäntöjä noudattaen, palvelee sivustosi myös paremmin asiakkaitasi ja helpottaa myös sivuston jatkokehitystä. Auditointimme on jaettu kolmeen osaan, joista tietoturva on yksi osa-alue.

Tarkistamme tietoturvaan liittyen WordPress-sivuiltasi seuraavat osa-alueet:

• Noudatetaanko sivustolla ajantasaisia ja suositeltavia käytäntöjä
• Löytyykö sivustolta tietoturvaa uhkaavia toiminnallisuuksia ja vanhentuneita lisäosia
• Tallentaako sivusto henkilötietoja, ja miten tällaisten tietojen tallennus ja käsittely on hoidettu

WordPress-verkkosivujen auditointi pitää sisällään myös muita osa-alueita ja halutessasi voimme laajentaa testausta koskemaan sivuston saavutettavuutta saavutettavuusauditoinnilla tai hakukoneystävällisyyttä SEO-auditoinnin muodossa. Lue lisää WordPress-sivuston auditoinnista!

Kokeile maksutonta verkkosivujen kuntotestiä!

Verkkosivut ilman ylläpitoa ovat tietoturvariski

Kuten jo aiemmin totesimme, että vaikka WordPress-verkkosivut ovat turvallinen alusta, on sen tietoturvasta myös huolehdittava ja tietoturvatarkastukset syytä tehdä säännöllisin väliajoin. WordPress kehittyy koko ajan ja on sekä sivuston toimivuuden, suorituskyvyn että tietoturvan kannalta tärkeää että sivun tekniikka on ajan tasalla. Jos sivusto käyttää kovin vanhaa WordPress-versiota, voi käydä niin että lisäosia ei voi yhteensopivuusongelmien vuoksi päivittää, tai niiden päivitykset rikkovat sivuston. Päivitysten laiminlyönti voi johtaa silloin siihen, että sivustolta löytyviä paikkaamattomia haavoittuvuuksia käytetään hyväksi epämieluisiin tarkoituksiin.

Hurjalla huolehdimme halutessasi verkkosivustosi tietoturvan ylläpitämisestä automaattisesti. Meillä Hurjalla tällainen palvelu on nimeltään WordPress-huolenpitopalvelu. Huolenpitopalveluun kuuluvat WordPress-sivustot skannataan säännöllisesti läpi tietoturvaskannerilla ja suoritamme varmuuskopioinnin verkkosivustollesi kerran vuorokaudessa. Lue lisää: Miksi verkkosivujen ylläpito on tärkeää?

Jos siis haluat mielenrauhaa, kannattaa tietoturvasta huolehtiminen jättää ammattilaisten käsiin. Näin WordPress-verkkosivusi pysyvät teknisesti ajan tasalla, toimivana sekä tietoturvallisena. Meillä Hurjalla työskentelee useita WordPress-asiantuntijoita, jotka hoitavat verkkosivujen ja kotisivujen ylläpidon puolestasi ammattitaidolla!

Lataa verkkosivuopas