Kotisivun tietoturva - Miten pitää sivut turvassa?

Janne Parri
/
28.7.2022
/
Blogi
/

Miten kova kolhu yrityksellesi olisi, jos joku kaappaisi kotisivusi? Entä jos sivusi vain katoaisivat? Kuinka nopeasti saisit uudet sivut tilalle? Pelottelut sikseen. Nyt käydään läpi kotisivujen tietoturvaan vaikuttavat asiat.

Inhimillinen tekijä

Suurin tietoturva riski on aina ihminen. Jos kaikki salasanasi ovat postit-lapulla tietokoneen näytössä, niin voit katsoa vain peiliin. Toinen huono tapa on käyttää koiran nimeä ja syntymäaikaa salasanoissa. Inhimillinen tekijä liittyy salasanojen lisäksi muihinkin tietoturvariskeihin.

Päivittämätön ohjelmisto on myös kotisivujen kohdalla tietoturvariski. Etenkin, jos käytät avoimia sovelluksia kuten Wordpressiä, päivitykset kannattaa todellakin tehdä. Usein sivuston ylläpito jää muiden kiireiden jalkoihin. Vanhoissa sovelluksissa saattaa olla tunnettuja tietoturva-aukkoja. Hämärähemmot saattavat jopa kartoittaa verkkosivuja tietyn ohjelmistoversion perusteella.

Verkkosivualustan vaikutus tietoturvaan

Se miten sivusto on rakennettu vaikuttaa tietenkin sivun tietoturvaan. Yleiset ja toiminnassa olevat alustat mahdollistavat turvallisen sivuston. Kaikilla alustoilla käyttäjä itse voi kuitenkin tehdä ratkaisuja, jotka altistavat hyökkäyksille.

Wordpressin tietoturva

En ole Wordpress-expertti ja olen varmasti puolueellinen. Tästä huolimatta open source -projektien etu on nopeasti päivittyvä alusta ja yhteisö sen ympärillä. Digitoimisto Duden Rolle kirjoitti aikanaan hyvin tästä blogissaan. Hyvin tehty ja ylläpidetty Wordpress-sivu on kyllä turvallinen. Se kestää jopa lukemattomat hyökkäykset, joita WP:n suosion seurauksena tulee. Minä väitänkin, että Wordpressin suurin tietoturvariski on laiskat ylläpitäjät.

WP:seen tulee jatkuvasti päivityksiä. Näitä päivityksiä tulee WP:n ytimeen, teemoihin ja lisäosiin. Jos päivityksiä ei laiteta automaatille tai käydä itse päivittämässä, syntyy riski.

Webflow'n tietoturva

Webflow toimii suljetussa ympäristössä eli lähdekoodia ei julkaista. Jos luotat, että Webflow'n kehittäjät osaavat työnsä, niin tämä on hyvä juttu tietoturvan kannalta. Täytyy kuitenkin muistaa, että mikään järjestelmä ei ole murtamaton. Kun käytät Webflow'ta tai jotain muuta suljettua järjestelmää, siirrät samalla vastuuta palvelun tarjoajalle. Wordpress-sivu on täysin sinun vastuullasi ja tukea sen korjaamiseen hätätilanteessa voi olla vaikea saada. Webflow'lla tuki kuuluu palveluun.

Jotta pointti menee perillen, niin sanottakoon vielä kertaalleen, että käyttäjä voi itse tehdä Webflow'stakin riskialttiin. Käytä siis kunnon salasanoja ja kaksivaihesta tunnistautumista.

Kolmannen osapuolen sovellukset (eli lisäosat ja plugarit)

Pitkälti kaikille sivuille lisätään ominaisuuksi jollain erillisellä sovelluksella. Tämä tarkoittaa sitä, että kyseinen sovellus käyttää sivuasi. Joissain tapauksissa voit eristää nämä sovellukset, mutta useimmiten WP-sivusi on täynnä kaiken maailman lisäosia.

Tietoturvan kanalta haluat lisätä vain luotettavia lisäosia. Sinun tulee myös pitää ne ajan tasalla. Mitä vähemmän näitä lisäosia sivullasi on, sitä pienempi on tietoturvariski.

Tietoturvan lisäksi lisäosat saattavat aiheuttaa ristiriitoja. Toisin sanoen, jos kaksi lisäosaa eivät pelaa keskenään, sivusi saattaa kaatua. Tästäkin syystä lisäosia ei kannata asennella heppoisin perustein.

Vielä lisää teknisiä asioita

SSL tulee sanoista Secure Sockets Layer. Kun kotisivusi on SSL-suojattu, yhteys käyttäjän ja sivuston välillä on salattu. Ne hämärähemmot eivät siis pääse lukemaan sinun ja sivuston välisiä viestejä. SSL-varmenteen tunnistaa kun sivun URL osoite alkaa https:// muodossa http:// sijasta. Moni selain näyttää myös kiinni olevaa lukko-ikonia osoitteen vieressä, kun yhteys on suojattu. SSL-varmenteen saat helpoiten webbihotelli-palveluntarjoajaltasi ja nykyään ne kuuluvat lähes aina halvimpaankin pakettiin. Se kuitenkin pitää muistaa kytkeä päälle ja ohjata http-liikenne https-puolelle.

D-Dos-suojaus on suojaus palvelunestohyökkäyksiä vastaan. Termi tulee sanoista Distributed Denial-of-Service. Palvelinestohyökkäyksessä verkossa oleva palvelu jumiutetaan kuormittamalla sitä monista lähteistä. Webbihotelli-palveluntarjoajaltasi on tähänkin varmasti jonkinlainen ratkaisu. Palveluita löytyy myös kolmansilta osapuolilta.

Varmuuskopiot on varmasti tutumpi juttu. Jos kävisi, niin että sivusi katoaisivat, varmuuskopiot varmasti lämmittäisivät sydäntäsi. Varmuuskopiointia voi tehdä monella tavalla. WP:lle on lisäosia ja webbihotelleissa saattaa olla varmuuskopiontiominaisuus. Periaatteessa voit myös manuaalisesti käydä kopioimassa sivustosi tiedostot, mutta automatiikka on ystäväsi tässäkin asiassa.

Käyttöoikeuksien hallinta liittyy inhimilliseen riskiin. Jos olet yrittäjä tai verkkosivujen pääjehu, haluat pitää suurimmat oikeudet itselläsi. Esimerkiksi juuri irtisanottu vihainen työntekijä saattaisi vaikka tehdä jäynää sivuillasi. Toisaalta tilanteen ei tarvitse olla näin dramaattinen. Voihan olla, että työntekijän laitteen varastetaan ja sivusi altistuu sitä kautta. Hallitsemalla käyttöoikeuksia, voit sulkea käyttäjät ja tilit tarvittaessa.

Kaksivaiheinen tunnistautuminen tai monivaiheinen varmistus ovat hyvä tapa nostaa tietoturvan tasoa. Tällöin pelkkä salasana ei riitä, vaan tarvitset toisen laitteen varmistuksen kirjautuaksesi sisään. Tunnistautuminen kannattaa tehdä jollain luotettavalla sovelluksella. Tekstiviestien käyttö tunnistautumisessa on osoitettu riskialttiiksi.

Koonti ja tehtävälista

Kotisivun tietoturva siis käsittää monta asiaa. Isoin uhka sivustolle on käyttäjä itse, mutta teknologiallakin on merkitystä. Tässä tehtävälista, jolla pääset varsin hyvälle tasolle tietoturvassa.

  • Varmista, että sivualusta ja lisäosat ovat ajan tasalla.
  • Poista turhat lisäosat.
  • Varmista, että varmuuskopiointi on hoidossa.
  • Tarkista verkkosivun käyttäjät ja heidän käyttöoikeutensa.
  • Pakota kaksivaiheinen varmistus kaikille käyttäjille.
  • Varmista, että pavelintilan tarjoaja on varautunut D-Dos-hyökkäyksiin.