Sivuston tietoturvallisuuden takaaminen
Nykypäivänä on erityisen tärkeää, että verkkosivuston tietoturvallisuudesta pitää huolta. Seravon palvelimilla olevilla sivuilla on jo automaattisesti joitakin ominaisuuksia aktiivisena, kuten esim. automaattiset tietoturvapäivitykset, haitallisen koodin/sisällön monitorointi ja palvelunestohyökkäysten suojaus, mutta WordPress-sivuston tietoturvallisuutta on mahdollista tehostaa myös itse. Seravon palvelinasiantuntijat hoitavat tärkeimmät tietoturvapäivitykset, mutta on suositeltavaa huolehtia sivuston kaikista päivityksistä ajoissa.
Sivuston PHP-versio on myös hyvä pitää päivitettynä. Ennen päivityksen tekemistä tulee kuitenkin varmistaa, että sivustolla käytössä olevat lisäosat ja teema tukevat uudempaa PHP-versiota.
Varmista, ettei sivustollasi ole käytössä lisäosia, jotka eivät ole enää aktiivisessa käytössä, tai jotka on mahdollisesti hylätty vanhentuneina niiden omien kehittäjienkin toimesta. Kun siivoat WordPressin lisäosat, on sivustollasi tällöin vähemmän koodia, josta hyökkääjä voisi haavoittuvuuksia löytää ja päästä sivustollesi.
Seravo Plugin
Koska olemme erikoistuneet nimenomaan WordPress-sivustojen ylläpitoon, on kaikista palvelupaketeistamme löytyvässä Seravo Pluginissa valmiiksi useita tietoturvaa edistäviä ominaisuuksia.
Automaattisten ominaisuuksien lisäksi on mahdollista lisätä vielä tarkempia suojausmenetelmiä, jotka vaativat usein kuitenkin hieman asetusten säätämistä kohdilleen. Tästä syystä kaikki ominaisuudet eivät ole automaattisesti heti käytössä, sillä ne voisivat myös estää sivuston käytön virhetilanteen sattuessa. Seravo Pluginin asetuksia pääsee muokkaamaan kirjautumalla ensin sivuston WP-adminiin, ja sen jälkeen valikosta Työkalut > Tietoturva. Seravo Pluginin avulla voi myös poistaa roskatiedostoja, tarpeettomia lisäosia tai teemoja, sekä tarkistaa viime aikaisia kirjautumisia sivustolle.
Tarkempia ohjeita Seravo Pluginin tietoturvaominaisuuksista löytyy täältä.
HSTS
HSTS (Sanoista HTTP Strict Transport Security) -otsaketiedot kertovat käyttäjän selaimelle, ettei sivustolle tulisi koskaan muodostaa suojaamatonta yhteyttä. Tällä tavoin voidaan estää mm. DNS-kaappauksia. Seravon palvelimilta löytyy oletuksena yksinkertainen HSTS-määritys, mutta sitä voi myös tiukentaa tarvittaessa.
Lisätietoa HSTS:n käytöstä löytyy tästä: https://help.seravo.fi/article/235-miten-hsts-otetaan-kayttoon
CSP
CSP (sanoista Content Security Policy) on tietoturvastandardi ja -tekniikka, jolla sivusto kertoo HTTP-otsakkeilla vierailijan verkkoselaimelle, mitkä ovat sallittuja resursseja kyseisellä sivustolla. CSP:n tavoitteena on rajoittaa vieraan koodin ja muiden komponenttien sisällyttämistä sivustolle ja näin ehkäistä muun muassa Cross Site Scripting ja Clickjacking-tyyppisiä hyökkäyksiä. Tieto sallituista resursseista välitetään HTTP-otsakkeena palvelimelta selaimelle. Sen avulla voidaan määritellä sallitut lähteet esimerkiksi skripteille, tyylitiedostoille, upotetuille fonteille, kehyksille ja muille sisältötyypeille.
Lisää CSP:stä ja sen käyttöönotosta voi lukea täältä: https://help.seravo.fi/article/404-content-security-policy-csp
2FA
Kaksivaiheinen tunnistautuminen (2FA, "two-factor authentication" tai MFA, "multi-factor authentication") on menetelmä, jossa sisäänkirjautumisen yhteydessä käyttäjätunnuksen ja salasanan lisäksi käytetään vielä lisävahvistusta. Lisävahvistus voidaan tehdä esim. tekstiviestillä, tai erillisellä TOTP-sovelluksella (time-based one-time password), kuten esim. Google Authenticator. Kaksivaiheista tunnistautumista suositellaan vahvasti kaikille käyttäjille, sillä se parantaa tietoturvaa huomattavasti.
Lisätietoa 2FA:n käyttöönotosta löytyy täältä: https://help.seravo.fi/article/507-miten-otan-kayttoon-kaksivaiheisen-tunnistautumisen
Salasanamanagerit ja salasanahygienia
Käytä eri salasanoja eri järjestelmissä tietomurtojen varalta. Huolimattoman käyttäjän kaikki tilit voivat tulla kaapatuksi kerralla, jos samaa salasanaa käytetään kaikkialla. Hyvä salasana on myös monimutkainen, vaikeasti arvattava ja sisältää erikoismerkkejä. Jos epäilet että salasanasi on joutunut tietomurron yhteydessä vuodetuksi, vaihda mahdollisimman nopeasti salasanasi uuteen.
Älä koskaan kerro salasanaasi kenellekään. Sivuston ylläpitäjillä on aina omat tunnuksensa, joilla tarvittavat ylläpitotyöt saadaan hoidettua.
On siis erittäin tärkeää käyttää aina vahvoja salasanoja ja pitää ne varmassa tallessa. Salasanojen hallintaa varten suosittelemme käyttämään erillistä salasanamanageria (esim. KeePass: https://keepass.info/). Managerin avulla kaikki salasanat pysyvät tallessa yhdessä paikassa ja ovat helposti käytettävissä eri laitteilla.
Lisätietoja salasanahygeniasta löytyy alta:
https://seravo.com/fi/salasanahygienia/
https://seravo.com/fi/salasanahygienia-on-puoli-tietoturvaa/
Lähteet:
https://help.seravo.fi/article/290-seravo-plugin-tietoturva
https://seravo.com/fi/kansainvalinen-tietoturvapaiva-turvaa-tietosi/
https://seravo.com/fi/wordpress-sivuston-tietoturvan-parantaminen/
https://seravo.com/fi/usein-kysyttya-tietoturvasta/
https://seravo.com/fi/salasanahygienia-on-puoli-tietoturvaa/