WordPress-sivuston tietoturva on uhattuna, elleivät nämä 6 asiaa ole kunnossa
Timo Salminen
•
6
Digitaalisten palveluiden tietoturva on noussut jälleen voimalla julkiseen keskusteluun Helsingin kaupungin ja Vastaamon tietomurtojen myötä. Kuten yleensäkin tietoturvan suhteen — kun se pettää, keskustelu herää.
Näyttävät tietomurrot palauttavat mieliin sen, että tietoturva on verkkopalveluiden tuotannon ja ylläpidon tärkein yksittäinen osa-alue. Jos se ei kestä, vaikutukset palvelun omistavan organisaation maineeseen ja liiketoimintaan voivat olla katastrofaaliset.
Tietoturvan merkitys korostuu WordPressiä hyödynnettäessä
Me digitoimisto Karhu Helsingissä suunnittelemme ja rakennamme päätyöksemme verkkosivustoja ja verkkokauppaa WordPress-julkaisujärjestelmällä. WordPress-verkkopalveluissa tietoturvan taso vaihtelee rajusti riippuen siitä, miten sivusto on rakennettu ja miten sitä ylläpidetään. Tietoturvasta huolehtiminen on elimellisen tärkeä osa WordPressin hyödyntämistä.
WordPressin tietoturva on sitä hyödyntävän yrityksen vastuulla
WordPressiä kehitetään kansainvälisen yhteisön voimin. Sen laadusta ja tietoturvasta ei kanna kokonaisvaltaista vastuuta mikään yritys tai muukaan keskitetty taho.
WordPress-yhteisö tekee töitä tietoturvan eteen, mutta järjestelmää hyödyntävällä yrityksellä ja sen valitsemalla kumppanilla on päävastuu tietoturvasta, toisin kuin kaupallisissa järjestelmissä. Tämä on olennaista muistaa, kun arvioidaan, minkälainen WordPress-ratkaisu tarvitaan ja minkälaisen kumppanin kanssa.
WordPress-verkkopalveluissa monia houkuttelee niiden edullisuus. Halvimmissa toteutuksissa tietoturva on unohdettujen ominaisuuksien listalla liian usein. Tietoturvan varmistaminen maksaa.
6 asiaa, joilla WordPress-sivuston tietoturva varmistetaan
1. WordPress-tietoturvapäivitykset tehdään säännöllisesti
WordPressiin julkaistaan säännöllisesti tietoturvapäivityksiä ja ne tulee ajaa sivustolle nopealla rytmillä. Hyvässä WordPress-optimoidussa palvelinympäristössä päivitykset ajetaan sivustolle automaattisesti, mutta ylläpidossa on varauduttava reagoimaan päivitysten ajoittain aiheuttamiin ongelmiin. Sivustoa ei siis parhaassakaan ympäristössä voi jättää oman onnensa nojaan.
Suojattoman sivuston päätyminen pahantahtoisiin käsiin on nykyisin vain ajan kysymys.
Tietoturvauhat realisoituvat suurella todennäköisyydellä, mikäli WordPress-tietoturvapäivityksiä ei tehdä. Nykyisin tietoturvarikolliset — eli tuttavallisemmin hakkerit — skannaavat automatisoidusti internetiä, löytävät sieltä päivittämättömiä WordPress-sivustoja ja hyökkäävät niiden kimppuun. Suojattoman sivuston päätyminen pahantahtoisiin käsiin on nykyisin vain ajan kysymys.
2. WordPress-lisäosat valitaan sivustolle harkiten ja niiden yhteensopivuus varmistetaan
Yksi WordPressin houkutuksista on suuri ilmaisten ja edullisten lisäosien eli pluginien määrä. Mittaviakin toimintoja saa järjestelmään käyttöön muutamalla klikkauksella.
Lisäosista saadaan WordPress-sivustolla paljon hyötyä, kun ne valitaan huolellisesti. Lisäosien tietoturvaa ei kuitenkaan valvota keskitetysti, joten kunkin lisäosan asentava taho kantaa vastuun siitä, että osa on laadukas, hyvämaineinen ja tietoturvallinen. Tuhansien lisäosien valikoimassa nämä kriteerit eivät useinkaan täyty. Karhun WordPress-tuotannoissa tekninen asiantuntijamme arvioi jokaisen sivustolle asennettavan lisäosan ennen käyttöönottoa. Tällainen arviointiprosessi puuttuu valtaosalta WordPress-sivustoja.
Tietosuoja ja tietoturva: Lue lisää
Lisäosien laadun keskeinen elementti on niiden yhteensopivuus automaattisten tietoturvapäivitysten ja toistensa kanssa. Mikäli lisäosia valitaan ilman tarkkaa arviointia, WordPress-sivusto voi päätyä tilaan, jossa tietoturvapäivityksiä ei pystytä ajamaan sivustolle. Tällöin voidaan joutua harkitsemaan laajoja teknisiä muutoksia tai jopa sivuston alasajoa. Meillä on tästä tosielämän kokemuksia toisaalla rakennetuilla WordPress-sivustoilla, joita olemme adoptoineet Huolenpitoomme.
3. Kumppani tietää, mitä koodia palvelu sisältää — tekoälyn tai Intian sijaan
Verkkosivujen kehityksessä on nykyisin kova kilpailutilanne, jota voi luonnehtia hintasodaksi. Digitoimistoilla on tiukat paineet alentaa kehitystyön kustannuksia. Moni toimisto delegoi siksi koodaustyötä tekoälylle tai ulkomaisille halpatuotantoyrityksille.
Mikäli WordPress-sivuston teknisessä tuotannossa hyödynnetään oman kumppanitoimiston sijaan tekoälyä tai ulkoistuksia halpatuotantomaihin, koodin teknisen laadun ja tietoturvan varmistaminen saa tavallista suuremman merkityksen. Yhden tahon on otettava koodin laadusta kokonaisvastuu ja oltava tietoinen siitä, mitä koodia sivusto pitää sisällään.
4. Palvelinympäristö on laadukas ja WordPressille suunniteltu
WordPress-sivustoja tulee tarjoilla kävijöille palvelinympäristöstä, joka on suunniteltu nimenomaan WordPressiä varten. Silloin palvelintilassa on otettu huomioon keskeiset tietoturvatekijät, kuten automaattiset tietoturvapäivitykset ja riittävät valvonnat. Palvelinympäristön ylläpidossa tulee olla käytössä vastuulliset ja laadukkaat prosessit.
Laadukaskin WordPress-palvelinympäristö on mahdollista saada käyttöön edullisesti.
Ammattimaisen ja hyvämaineisen hosting-kumppanin valintaan on tärkeää suhtautua vakavuudella. WordPressin yksi vahvuus on se, että se toimii kevyemmillä palvelinresursseilla kuin moni muu julkaisujärjestelmä. Siksi laadukaskin WordPress-palvelinympäristö on mahdollista saada käyttöön edullisesti.
5. Päivittäjät eivät voi asentaa lisäosia tai upottaa sivuille koodia tai iframe-ikkunoita ilman ohjausta
Monella WordPress-sivustolla päivittäjät voivat käyttäjäoikeuksillaan vapaasti ottaa käyttöön haluamiaan lisäosia ja upottaa sivuille koodia. Tämä luo vaikutelman ketteryydestä, mutta aiheuttaa merkittävän tietoturvariskin.
Päivittäjä ei monessa tapauksessa ole valmis arvioimaan eikä edes tule ajatelleeksi asentamiensa lisäosien teknistä laatua ja tietoturvaa. Sama koskee erilaisia upotuskoodeja.
Huonolaatuinen lisäosa tai pieni virhe upotuskoodissa voi aiheuttaa sivustolle haavoittuvuuden, jonka myötä tietoturva pettää ja pahantahtoiset tahot onnistuvat ottamaan sivuston hallintaansa. Tämä on internetin nykyisessä tietoturvatilanteessa arkipäivää eikä etäinen uhkakuva.
Uhka piilee myös harmittomalta vaikuttavissa iframe-sisältöikkunoissa, joilla yhden verkkosivun sisään voi tuoda toisen verkkosivun sisältöä. Mikäli iframet sallitaan, päivittäjän vastuulla on arvioida, onko hänen iframen sisään tuomansa verkkosisältö riittävän luotettavasta lähteestä. Mikäli iframessa näytetään pahantahtoisen tahon tuottamaa tai haavoittuvuuksia sisältävää sisältöä, voi se vaarantaa myös iframea ympäröivän sivuston tietoturvan ja sivuston käyttäjien tietosuojan.
6. Tietoturvan ja laadunvalvonnan painottaminen teknisessä tuotannossa
WordPress-sivuston teknisessä tuotannossa on lukematon määrä asioita, jotka voi tietoturvan näkökulmasta tehdä hyvin tai vähemmän hyvin. Keskeistä on, että tuotantoa tekevä taho on tietoturvasta kiinnostunut ja varaa resursseja sen varmistamiseen.
Esimerkiksi oikeanlaiset tiedosto-oikeudet, tietokannan turva-asetukset ja konfigurointitiedostojen suojaus ovat tietoturvaan vakavasti suhtautuvan WordPress-tuotannon olennaisia osia.
Tietoturvan huomiointi WordPress-sivustoilla vaatii huolellisuutta, teknistä osaamista, ihmisten aikaa ja hyviä prosesseja. Kaikki nämä edellyttävät investointeja, joita paremman tietoturvan eteen on aiheellista tehdä. Jos tietoturva pettää, tekemättä jääneiden investointien perään kysytään takuuvarmasti.
Kysy Timolta tietoturvallisemmista WordPress-sivustoista
Kaipaatteko WordPress-sivustoa, jonka tuotannossa ja huolenpidossa suhtaudutaan vakavasti tietoturvaan? Lähetä Timolle viesti alla näkyvällä lomakkeella ja keskustellaan.
Timo Salminen asiakkuusjohtaja timo.salminen@karhuhelsinki.fi 050 518 0085
