Blogi Tietoturvalliset WordPress-verkkosivut yritykselle
WordPress-verkkosivut yritykselle tai organisaatiolle ovat lähtökohtaisesti turvallinen valinta. Tietoturvasta on kuitenkin pidettävä huolta jatkuvasti.
Sivusto täytyy ensinnäkin toteuttaa tietoturva huomioiden ja lisäksi huolehtia sen ylläpidosta myös julkaisun jälkeen. Vanhat verkkosivut, joiden päivityksistä ja ylläpidosta ei ole pidetty huolta, sisältävät auttamatta tietoturvariskejä. Tietoturva-aukot taas mahdollistavat hakkereille esimerkiksi mahdollisuuden verkkosivujen sabotoimiseen, käyttäjätietokannan kaappaamisen, luottokorttikaappaimien asentamisen, roskapostin levittämisen, levytilan käyttämisen rikollisen materiaalin tallentamiseen tai vaikkapa kryptovaluutan louhimiseen.
Verkkosivujen tietoturvasta huolehtiminen on siis ensiarvoisen tärkeää, sillä siihen liittyvät loukkaukset lisääntyvät jatkuvasti. Myöskin tavat, joilla haavoittuvuuksia tietoturvassa pyritään löytämään ovat aina vain entistä jalostuneempia. Kukaan meistä ei ole varmasti pystynyt välttymään esimerkiksi erilaisilta kalasteluviesteiltä, joilla pyritään huijaamaan pahaa aavistamatonta – tai ainakaan uutisoinnista liittyen tietoturvaloukkauksiin. Nykyisin vielä osaa näistä huijauksista on erittäin vaikea erottaa vilpiksi – viestit ovat hyvää suomen kieltä, ja vaikkapa pankkitietojen varastamiseen tarkoitetut sivustot lähes täydellisiä kopioita alkuperäisestä.
Toteutamme WordPress-verkkosivut aina julkaisujärjestelmän uusimmalla versiolla ja koodaamme verkkosivut nykyaikaisia käytänteitä noudattaen. Lisäksi käytämme vain hyväksi ja luotettavaksi todettuja lisäosia ja teemoja. WordPress-sivustoa alustaessa valitsemme aina vahvat tietokantatunnukset sekä muutamme lisäturvana tietokannan taulujen oletusetuliitteen. Etuliite on oletuksena ”wp_” ja yhdessä vakiomuotoisten tietokantataulujen nimien kanssa hakkerit pyrkivät tietokantaan murtautuessaan eteenpäin tuttujen taulunimien kautta. Estämme myös tiedostojen muokkauksen WordPress-verkkosivujen hallinnassa WP-config -tiedoston kautta.
Erityisesti suuremmissa projekteissa käytämme paikallisia kehitysympäristöjä sekä omaa sisäistä versiohallintaa (Gitlab), jonka kautta kaikki tiedostojen muutoshistoriat säilyvät tallessa projektin aloituksesta lähtien ja muutoksia voidaan jäljittää tarvittaessa taaksepäin. Sisäinen versiohallinta tarkoittaa myös sitä, että kellään muulla ei ole suoraa pääsyä sivuston lähdekoodiin ja muutokset saadaan julkaistua aina ilman toimintakatkoksia sivustolle. Paikallisten kehitysympäristöjen lisäksi näissä projekteissa on käytössä myös Staging-ympäristöt, joiden kautta asiakkaat voivat esimerkiksi itse testata uusia ominaisuuksia ennen kuin ne julkaistaan varsinaiselle sivustolle.
Halutessasi voimme myös asentaa WordPress-verkkosivuille esimerkiksi tietoturva- ja kaksivaiheinen kirjautuminen -lisäosat jos haluat viedä tietoturvasta huolehtimisen vielä askelta paremmaksi.
Toki kehittäjämme huolehtivat myös omalta osaltaan tietoturvasta mm. käyttämällä vahvaa salasanaa omilla koneillaan ja pitämällä huolta siitä ettei läppäriä jätetä minnekään yleisiin tiloihin vorojen saataville. Lisäksi Hurjan toimistolla on totta kai lukitus ja kulunvalvonta, joilla huolehditaan siitä etteivät asiattomat pääse tiloihin sekä tiedämme ketä paikalla on milloinkin. Hurjalla on myöskin erilliset langattomat verkot työntekijöille ja vierailijoille, joilla pidämme huolta ettei samassa verkossa toimiston koneiden kanssa ole koskaan ylimääräisiä laitteita.
Aiemmasta blogistamme voit lukea myös astetta teknisempää settiä web-kehityksen tietoturvasta!
Tietoturvan vaarantumisessa käyttäjä on yleisesti sen heikoin lenkki. Tämä on sekä onni että onnettomuus. Onni siinä mielessä, että se tarkoittaa sitä, että jokainen voi omalla toiminnallaan parantaa tietoturvan toteutumista. Onnettomuus siinä mielessä, että erilaisilla järjestelmillä, kuten tässä tapauksessa WordPress-verkkosivuilla, käyttäjiä on useita, joten potentiaalisia tietoturva-aukkoja on myös lukuisia – ja ihmiset ovat inhimillisyydessään erehtyväisiä. Kasasimme avuksesi muutamia vinkkejä, joiden avulla voit edistää tietoturvan toteutumista omalla toiminnallasi.
Tutustu toteuttamiimme verkkosivuihin ja verkkokauppoihin!
Entä jos et ole varma onko nykyisten WordPress-verkkosivujesi tietoturva ajantasalla? Ei huolta, meiltä löytyy lääke myös tähän vaivaan! WordPress-sivuston auditoinnissa selvitämme sivustosi mahdolliset tekniset ongelmat ja kuinka niitä voidaan lähteä ratkomaan. Kun sivuston tekniset ratkaisut ja toiminnallisuudet on toteutettu hyviä käytäntöjä noudattaen, palvelee sivustosi myös paremmin asiakkaitasi ja helpottaa myös sivuston jatkokehitystä. Auditointimme on jaettu kolmeen osaan, joista tietoturva on yksi osa-alue.
Tarkistamme tietoturvaan liittyen WordPress-sivuiltasi seuraavat osa-alueet:
WordPress-verkkosivujen auditointi pitää sisällään myös muita osa-alueita ja halutessasi voimme laajentaa testausta koskemaan sivuston saavutettavuutta saavutettavuusauditoinnilla tai hakukoneystävällisyyttä SEO-auditoinnin muodossa. Lue lisää WordPress-sivuston auditoinnista!
Kokeile maksutonta verkkosivujen kuntotestiä!
Kuten jo aiemmin totesimme, että vaikka WordPress-verkkosivut ovat turvallinen alusta, on sen tietoturvasta myös huolehdittava ja tietoturvatarkastukset syytä tehdä säännöllisin väliajoin. WordPress kehittyy koko ajan ja on sekä sivuston toimivuuden, suorituskyvyn että tietoturvan kannalta tärkeää että sivun tekniikka on ajan tasalla. Jos sivusto käyttää kovin vanhaa WordPress-versiota, voi käydä niin että lisäosia ei voi yhteensopivuusongelmien vuoksi päivittää, tai niiden päivitykset rikkovat sivuston. Päivitysten laiminlyönti voi johtaa silloin siihen, että sivustolta löytyviä paikkaamattomia haavoittuvuuksia käytetään hyväksi epämieluisiin tarkoituksiin.
Hurjalla huolehdimme halutessasi verkkosivustosi tietoturvan ylläpitämisestä automaattisesti. Meillä Hurjalla tällainen palvelu on nimeltään WordPress-huolenpitopalvelu. Huolenpitopalveluun kuuluvat WordPress-sivustot skannataan säännöllisesti läpi tietoturvaskannerilla ja suoritamme varmuuskopioinnin verkkosivustollesi kerran vuorokaudessa. Lue lisää: Miksi verkkosivujen ylläpito on tärkeää?
Jos siis haluat mielenrauhaa, kannattaa tietoturvasta huolehtiminen jättää ammattilaisten käsiin. Näin WordPress-verkkosivusi pysyvät teknisesti ajan tasalla, toimivana sekä tietoturvallisena. Meillä Hurjalla työskentelee useita WordPress-asiantuntijoita, jotka hoitavat verkkosivujen ja kotisivujen ylläpidon puolestasi ammattitaidolla!
Lataa verkkosivuopasVerkkosivujen ylläpidossa palvelinylläpidon lisäksi kannattaa huolehtia myös siitä, että sivusto pysyy teknisesti ajan tasalla – erityisesti mikäli sivuston alustana toimii avoimen lähdekoodin julkaisujärjestelmä kuten WordPress.