Verkkosivut ovat yrityksenne käyntikortti, jonka kautta monet asiakkaat saavat teihin ensimmäiset kontaktit. Sen vuoksi verkkosivujen tulee olla hyvin toteutettu, sillä ensivaikutelma merkitsee yllättävän paljon. Tämä näkyy esimerkiksi ulkoasuun panostamisessa, käytettävyyden parantamisena tai verkkosivuston latausaikojen minimoimisena.
Sen sijaan monissa tapauksissa verkkosivuston tietoturvaan liittyvät asiat saavat muita vähemmän huomiota. Tämä on sinällään ymmärrettävää, koska tietoturva-asiat eivät ole näkyvä osa verkkosivua. Yleensä tietoturvaan liittyvät asiat nousevat mieleen vasta silloin, kun niiden kanssa tulee ongelmia – ja se voi olla liian myöhään.
Tässä blogikirjoituksessa käydään läpi WordPress-sivuston tietoturvallisuuteen liittyviä myyttejä, niksejä sekä vinkkejä, joiden avulla pienennät sivustosi riskiä joutua vääriin käsiin.
Miksi tietoturvasta kannattaa pitää huolta?
Ennen kuin mennään vinkkien ja oppien pariin, aloitetaan perusteista. Mitä sinun tulee tietää verkkosivustosi tietoturvasta ja miksi siitä tulee pitää huolta?
Verkkosivustosi turvallisuus on monen tekijän summa ja pahimmillaan yhden ainoan tekijän laiminlyönti voi tehdä sivustostasi alttiin hyökkääjille. Hakkerointi aiheuttaa aina jonkin verran harmaita hiuksia sivuston omistajalle. Helpoimmillaan tilanteesta selviää varmuuskopion palauttamisella, mutta ilman varmuuskopiota saattaa hyökkäyksessä menettää pahimmillaan paljon dataa.
Tietoturvaan liittyviin asioihin kannattaa suhtautua aina aiheeseen kuuluvalla vakavuudella. Missään nimessä ei kannata lähteä vähättelemään ongelmaa, esimerkiksi ajattelemalla ”sivustollani ei ole mitään tärkeää” tai ”miksi juuri minun sivustolleni joku hyökkäisi”.
Suurin osa verkkosivustoille tulleista hyökkäyksistä ei ole kohdistettu tietoisesti juuri sinun verkkosivustoosi, vaan sieltä on vain botit ovat löytäneet sivustoltasi sopivan hakkerin mentävän aukon. Tämä ei kuitenkaan poista sitä tosiasiaa, että tietoturva-asioihin tulee suhtautua vakavasti.
Mitä voi laiminlyönneistä voi seurata?
Jos joku pääsee sisälle sivustoosi, voi hän tehdä siellä oikeastaan mitä tahansa. Sivun ulkoasu voi muuttua eri tavoilla, kun botit lisäävät sivustolle omaa agendaansa ajavia sisältöjä. Monissa tapauksissa sivustolle hakkeroitumisen ensimmäisiä kävijälle näkyviä merkkejä on ovat erilaiset epämääräiset linkit, joita sivustolle ilmestyy.
Hyvin usein nämä linkit vievät jonkin netticasinon, lainantarjoajan tai mieskuntoa kohottavia lääkkeitä myyvälle sivustolle. Oli linkin kohde mikä tahansa, se antaa kiusallisen kuvan yrityksestäsi asiakkaille. Vaikka sivustovierailijoista luultavasti tajuaa kyseessä olevan sivustolle kuulumatonta materiaalia, antavat nämä kuitenkin asiakkaalle väkisinkin negatiivista kuvaa yrityksestäsi.
Roskalinkkien ja mainosten lisäksi on myös muita mahdollisia ongelmia. Sivustollesi mahdollisesti kertyneet asiakastiedot voivat vuotaa tietoturvavuodon myötä ulkopuolisten käsiin. Tämän lisäksi on vaarana, että sivustosi lähettää haittaohjelmia tai roskapostia eteenpäin.
Vinkki 1: Älä luota pelkästään WordPressin tietoturva-lisäosiin
Aloitetaan vinkit eräällä myytillä, johon törmää hyvin usein WordPress-sivuilla. WordPressiin on mahdollista hankkia erilaisia tietoturvaa parantavia lisäosia, jotka ovat joko maksullisia tai joskus jopa maksuttomia. Joskus kuulee lausahduksia miten ”meidän sivustolla on käytössä yksi turvallisuutta parantava lisäosa, joten ei siellä ole mitään riskiä”.
Pelkkä tietoturvalisäosien käyttö ei ole kuitenkaan oikotie onneen, vaan lisäosien käytön lisäksi myös kaiken muun sivustolla tulee olla kunnossa.
Vinkki 2: Käytä oikeaoppisia salasanoja
Yksi suurimmista riskitekijöistä verkkosivun tietoturvalle ovat olemattomat salasanat. Joskus asetamme vähän laiskuuttamme sivustolle varsin köykäisiä salasanoja, jotka on helppo muistaa ja kirjoittaa.
Yllättävän moni asettaa omaksi salasanakseen esimerkiksi ”kissa”, ”12345”, ”salasana”, ”[oma nimi]” tai ”Yrityksesinimi2020”. Vaikka esimerkeistäni viimeisessä on ollut vähän jo yritystä ison alkukirjaimen ja numeroiden käytön suhteen, ovat nuokin aivan liian heppoisia salasanoja oikeaan käyttöön.
Oikeaoppisessa salasanassa tulisi olla:
- 15 merkkiä pituutta
- Isoja sekä pieniä kirjaimia sekaisin
- Numeroita
- Erikoismerkkejä
Helpoin tapa asettaa WordPress-käyttäjälle tarpeeksi vahva salasana, on käyttää WordPressin omaa salasanan generointi-työkalua. Työkalu tarjoaa sinulle yhdellä klikkauksella valmiin ja turvallisen salasanan.
Vinkki 3: Ole tarkkana admin-käyttäjien kanssa
Admin-käyttäjien, eli suomeksi ylläpitäjä-käyttäjien kanssa kannattaa olla tarkkana. Jokainen uusi admin-käyttäjä sivustolla on yksi mahdollinen uusi polku päästä sivustoon kiinni. Mikäli mahdollista, kaikille firman työntekijöille ei kannata luoda omaa käyttäjää, tai ainakaan kaikille käyttäjille ei kannata antaa admin-tason oikeuksia.
Pitkä lista admin-oikeuksilla varustettuja käyttäjiä yhdistettynä edellä mainittuun huonoon salasanahygieniaan on tulenarka yhdistelmä. Poista ylimääräiset admin-käyttäjät sivustolta, käytä mahdollisuuksien mukaan käyttäjillä rajoitettuja oikeuksia sekä varmista sivustosi käyttäjien salasanojen olevan kunnollisia.
Lisäksi yksi simppeli vinkki admin-käyttäjiin liittyen. Älä nimeä admin-käyttäjää ikinä nimellä admin. Admin on kuitenkin yksi yleisimpiä käyttäjänimiä, joten myös hyökkääjät tulevat varmasti kokeilemaan tätä ensimmäisten joukossa.
Vinkki 4: Käytä captchaa kirjautumissivulla
Yksi simppeli keino WordPress-sivuston turvallisuutta on ns. captchan asentaminen kirjautumissivulle. Captchalle ei taida olla olemassa hyvää suomennosta, mutta sillä tarkoitetaan eräänlaista ylimääräistä varmennetta, jonka tarkoituksena on erotella botit oikeista käyttäjistä.
Capthcha voi olla joko yksinkertainen laskukaava, numeroiden kirjoittamista tai suojateiden etsimistä kuvista. Tämän tarkoituksena on estää bottien pääsy sivulle, koska botit eivät osaa vastata captchaan. Captchan voi asentaa sivulle esimerkiksi erilaisten lisäosien kautta.
Vinkki 5: Suorita lisäosien ja sivuston päivitykset ajallaan
Maailma kehittyy ja me siinä mukana. Samat lait pätevät myös verkkosivuihin, joiden tekniikkaan tulee säännöllisin väliajoin erilaisia päivityksiä. Päivityksiä voi tulla niin WordPressiin, kuin myös sivustolla käytettäviin lisäosiin.
Päivitysten tekeminen voi vaihdella suuresti, riippuen minkälainen paketti sinulla on oman web-hotellisi kanssa. Jotkut web-hotellit päivittävät verkkosivustosi automaattisesti, jotkut taas eivät tee mitään ilman erillistä pyyntöä päivittää sivusto.
Tulevat päivitykset sitten automaattisesti tai ei, ne on joka tapauksessa tärkeä tehdä sivustollesi. Vanhentuneet versiot saattavat pitää sisällään haavoittuvuuksia, joita hyödyntämällä verkkosivuihisi saatetaan päästä luikerreltua sisään. Päivityksiä tehdään niin lisäosien parantamiseksi, kuin myös havaittujen tietoturva-aukkojen poistamiseksi.
Hyvin usein sivustojen päivittämättömyyttä perustellaan sillä, että jokin osio sivustolla saattaa lakata toimimasta päivittämisen jälkeen. Nämä tilanteet ovat kuitenkin melko harvinaisia. Suurempi riski sivustollesi on siinä, että vanhentuneen version kautta joku voi päästä sivustoosi käsiksi. Joskus yksi ainoa aukko lisäosissa saattaa avata hyökkääjälle väylän sivustosi kaappaamiseen.
Vinkki 6: Poista tarpeettomat lisäosat kokonaan
Edellisessä vinkissä käsiteltiin WordPressin lisäosia, joita jokaisella sivustolla on käytössä muutamasta jopa useisiin kymmeniin lisäosiin. Kuten edellä sanottiin, haavoittuvuus yhdessäkin sivustolla käytettävässä lisäosassa saattaa riittää hyökkääjälle.
Tästä syystä lisäosia kannattaa käyttää harkitusti. Lisäosien käyttöä ei tarvitse pelätä, mutta niitä ei kannata asentaa sivustolle pelkästään asentamisen ilosta. Sen lisäksi että ylimääräiset lisäosat muodostavat tietoturvariskin, ne myös hidastavat sivua. Pitkät latausajat saattavat heikentää sivustosi sijoituksia hakukoneissa, joten ylimääräistä painoa ei kannata sivuille hankkia tieten tahtoen.
Lisäosien kohdalla kannattaa myös muistaa poistaa käyttämättömät lisäosat kokonaan sivustolta. WordPressissä on mahdollista asentaa lisäosa sivustolle, mutta sitä ei ole pakko ottaa käyttöön. Tässä kohti on kuitenkin tärkeä muistaa, että myös deaktivoidut lisäosat voivat aiheuttaa riskejä.
Vinkki 7: Huolehdi sivustosi varmuuskopiosta
Myös verkkosivusi varmuuskopiointi riippuu paljon käyttämästäsi web-hotellista. Joillakin palveluntarjoajilla varmuuskopioita saatetaan ottaa jopa monta kertaa päivässä, kun taas toiset palveluntarjoajat eivät ota niitä ollenkaan.
Varmuuskopio voi tuntua turhalta niin pitkään kun sitä ei tarvitse, mutta tilanteen tullessa sen arvo nousee arvoon arvaamattomaan. Pahimmissa tapauksissa varmuuskopioita ei ole ollenkaan, jolloin sivuston palauttaminen voi olla jotain vaikean ja mahdottoman välillä.
Mikäli web-hotellisi palvelupakettiin ei kuulu varmuuskopiointia, voit ottaa sivustostasi varmuuskopioita erilaisten lisäosien, kuten ManageWP kautta.
Loppupäätelmät: kiinnitä tietoturvaan huomiota, ennen kuin on liian myöhäistä
Verkkosivustosi tietoturvallisuuteen kannattaa panostaa aina hyvän sään aikana, sillä tietomurtomyrskyn jälkeen ei ole aina automaattisesti poutasää. Ottamalla tietoturva-asiat jo alusta alkaen vakavasti vältät monet tukalat ja kiusalliset tilanteet.
Tietoturva-asiat ovat sekä tekoja, että asennoitumista. Esimerkiksi salasanojen kohdalla kannattaa opetella aina käyttämään mahdollisimman vaikeita salasanoja, sekä varmistaa myös muiden yrityksesi työntekijöiden tekevän samaa. Tämän lisäksi kannattaa kiinnittää huomiota siihen, että sivustosi pysyy päivitettynä ja ajan tasalla, sekä varmuuskopiointi toimii automaattisesti.
Tämän lisäksi turvallisuutta voi parantaa omilla teoilla. Asenna sivustosi kirjautumissivulle ylimääräinen captcha ja pidä huoli sivuston admin-käyttäjistä. Poista ylimääräiset käyttäjät sekä katso jokaiselle käyttäjälle tehtävää sopivat oikeudet.
Lue lisää verkkosivuista: Hidas verkkosivusto? Nämä ovat 5 yleisintä syytä verkkosivuston hitauteen