Nykypäivänä on erityisen tärkeää, että verkkosivuston tietoturvallisuudesta pitää huolta. Seravon palvelimilla olevilla sivuilla on jo automaattisesti joitakin ominaisuuksia aktiivisena, kuten esim. automaattiset tietoturvapäivitykset, haitallisen koodin/sisällön monitorointi ja palvelunestohyökkäysten suojaus, mutta WordPress-sivuston tietoturvallisuutta on mahdollista tehostaa myös itse.
Seravon järjestelmäasiantuntijat hoitavat tärkeimmät tietoturvapäivitykset, mutta on suositeltavaa huolehtia sivuston kaikista päivityksistä ajoissa. Myös sivuston PHP-versio on hyvä pitää päivitettynä, sillä sen päivitys ei sisälly automaattisiin päivityksiimme. Ennen päivityksen tekemistä tulee kuitenkin varmistaa, että sivustolla käytössä olevat lisäosat ja teema tukevat uudempaa PHP-versiota.
Varmista, ettei sivustollasi ole käytössä lisäosia, jotka eivät ole enää aktiivisessa käytössä, tai jotka on mahdollisesti hylätty vanhentuneina niiden kehittäjien toimesta. Kun siivoat WordPressin lisäosat, on sivustollasi tällöin vähemmän koodia, josta hyökkääjä voisi löytää haavoittuvuuksia ja päästä sivustollesi.
Seravo Plugin
Koska olemme erikoistuneet nimenomaan WordPress-sivustojen ylläpitoon, on kaikista palvelupaketeistamme löytyvässä Seravo Pluginissa valmiiksi useita tietoturvaa edistäviä ominaisuuksia.
Automaattisten ominaisuuksien lisäksi on mahdollista lisätä vielä tarkempia suojausmenetelmiä, jotka vaativat usein kuitenkin hieman asetusten säätämistä kohdilleen. Tästä syystä kaikki ominaisuudet eivät ole automaattisesti heti käytössä. Seravo Pluginin asetuksia pääsee muokkaamaan kirjautumalla ensin sivuston hallintapaneeliin, ja sen jälkeen valikosta Työkalut > Tietoturva. Seravo Pluginin avulla voi myös poistaa roskatiedostoja, tarpeettomia lisäosia tai teemoja, sekä tarkistaa viime aikaisia kirjautumisia sivustolle.
HSTS
HSTS (HTTP Strict Transport Security) -otsaketiedot kertovat käyttäjän selaimelle, ettei sivustolle tulisi koskaan muodostaa suojaamatonta yhteyttä. Tällä tavoin voidaan estää mm. DNS-kaappauksia. Seravon palvelimilta löytyy oletuksena yksinkertainen HSTS-määritys, mutta sitä voi myös tiukentaa tarvittaessa.
Lisätietoa HSTS:n käytöstä löytyy täältä.
CSP
CSP (Content Security Policy) on tietoturvastandardi ja -tekniikka, jolla sivusto kertoo HTTP-otsakkeilla vierailijan verkkoselaimelle, mitkä ovat sallittuja resursseja kyseisellä sivustolla. CSP:n tavoitteena on rajoittaa vieraan koodin ja muiden komponenttien sisällyttämistä sivustolle ja näin ehkäistä muun muassa Cross Site Scripting ja Clickjacking -tyyppisiä hyökkäyksiä. Tieto sallituista resursseista välitetään HTTP-otsakkeena palvelimelta selaimelle. Sen avulla voidaan määritellä sallitut lähteet esimerkiksi skripteille, tyylitiedostoille, upotetuille fonteille, kehyksille ja muille sisältötyypeille.
Lisää CSP:stä ja sen käyttöönotosta voi lukea täältä.
2FA
Kaksivaiheinen tunnistautuminen (2FA, "two-factor authentication" tai MFA, "multi-factor authentication") on menetelmä, jossa sisäänkirjautumisen yhteydessä käyttäjätunnuksen ja salasanan lisäksi käytetään vielä lisävahvistusta. Lisävahvistus voidaan tehdä esim. tekstiviestillä, tai erillisellä TOTP-sovelluksella (time-based one-time password), kuten esim. Google Authenticator. Kaksivaiheista tunnistautumista suositellaan vahvasti kaikille käyttäjille, sillä se parantaa tietoturvaa huomattavasti.
Lisätietoa 2FA:n käyttöönotosta löytyy täältä.
Salasanamanagerit ja salasanahygienia
Käytä eri salasanoja eri järjestelmissä tietomurtojen varalta. Huolimattoman käyttäjän kaikki tilit voivat tulla kaapatuksi kerralla, jos samaa salasanaa käytetään kaikkialla. Hyvä salasana on monimutkainen, vaikeasti arvattava ja sisältää erikoismerkkejä. Jos epäilet että salasanasi on joutunut tietomurron yhteydessä vuodetuksi, vaihda se mahdollisimman nopeasti uuteen.
Älä koskaan kerro salasanaasi kenellekään. Sivuston ylläpitäjillä on aina omat tunnuksensa, joilla tarvittavat ylläpitotyöt saadaan hoidettua.
On erittäin tärkeää käyttää aina vahvoja salasanoja ja pitää ne varmassa tallessa. Salasanojen hallintaa varten suosittelemme käyttämään erillistä salasanamanageria (esim. KeePass). Managerin avulla kaikki salasanat pysyvät tallessa yhdessä paikassa ja ovat helposti käytettävissä eri laitteilla.
Miten toimin, jos haluan suorittaa sivustollani tietoturvaskannauksen?
Skannauksien suorittaminen on sallittua, mutta vain etukäteisluvalla. Valvomme jatkuvasti järjestelmiämme ja tutkimme haitalliseksi epäiltyä toimintaa infrastruktuurissamme. Jotta et olisi korvausvelvollinen palveluun kohdistuvasta skannauksesta tai auditoinnista mahdollisesti koituvan haitan vuoksi, ilmoitathan aikeistasi hyvissä ajoin etukäteen sähköpostitse, [email protected] allekirjoittaaksesi tarvittavan sopimuksen.