Tietoturva

Ei ole olemassa turvatonta WordPress-sivustoa, on vain huonosti ylläpidettyjä WordPress-sivustoja.

 

WordPress on maailman suosituin julkaisujärjestelmä pääasiassa helppokäyttöisyyden ja monipuolisten mahdollisuuksien vuoksi. WordPressin haasteita sen sijaan ovat aina olleet tietoturva ja nopeus. Tietoturva kärsii erityisesti jos sivustoa ei ylläpidetä ja aktiivisesti päivitetä. Päivitysten tulee kattaa sekä WordPressin ydin että lisäosien ja ulkoasuteemat. Tyypilliset tietoturvaongelmat ovat saaneet alkunsa vanhentuneista lisäosista.

WP-palvelussa tarjoamme parasta mahdollista WordPress-ylläpitoa ja siksi tietoturvakin on meillä huippuluokkaa. Tällä sivulla kerromme tarkemmin toimenpiteistä ja tekniikoista, joilla varmistamme asiakkaidemme sivustojen turvallisuuden.

Valvonta 24/7

Kaikkien asiakkaidemme sivustot ovat valvonnassa vuorokauden ympäri, 24/7. Mikäli yksikin sivusto hälyttää häiriön merkiksi, tarkistaa päivystäjämme häiriön syyn. Olemme jatkuvassa valmiudessa reagoimaan asiakkaidemme sivustojen tietoturvapoikkeamiin.

HTTPS-suojaus vakiona ilman lisämaksuja

WP-palvelussa kaikilla asiakkaiden sivustoilla SSL-varmenne eli HTTPS-suojaus on ilmainen vakio-ominaisuus.  Myös muut palvelinyhteydet (SSH/SFTP) ovat aina salattuja. Panostamme myös siihen, että HTTPS-suojaus on varmasti asennettu oikein eikä murrettavissa vanhentuneiden algoritmien tai muun vastaavan syyn takia.

HTTPS-suojaus on entistäkin ajankohtaisempi, sillä se parantaa tietoturvan lisäksi myös sivuston nopeutta ja hakukonenäkyvyyttä.

Lue lisää HTTPS-suojauksesta blogiartikkeleista

Tietoturvalisäosat tarpeettomia

Asiakkaidemme WordPress-sivustojen nopeusoptimointi on tehty tekniikoilla, joiden ansiosta asiakkaan tarvitse tehdä mitään erityistä WordPressin sisällä esimerkiksi välimuistin käyttämiseksi. Samalla periaatteella olemme toteuttaneet myös tietoturvasuojaukset. Asiakas voi halutessaan asentaa WordPressin sisään esimerkiksi tietoturvalisäosan, mutta yleensä siitä ei ole hyötyä ja se hidastaa sivustoa. Jotkut lisäosat voivat jopa häiritä sivuston toimintaa, joten emme suosittele tietoturvalisäosien asennusta WP-palvelun asiakkaille.

Säännölliset päivitykset

Ihan kaikkia WordPress-sivustoja koskeva keskeisin tietoturvauhka ovat verkon automatisoidut hyökkäykset, jotka perustuvat yleisten tiedossa olevien aukkojen hyödyntämiseen. Niihin paras suojaus on säännöllinen päivittäminen. WP-palvelussa huolehdimme, että tietoturvapäivitykset asennetaan nopeasti: esimerkiksi uusin versio 4.8.2 asennettiin kaikille asiakkaillamme alle vuorokaudessa tietoturvapäivityksen ilmestymisestä.

Reagoimme nopeasti myös lisäosien päivityksiin. Teemme päivitykset pohjimmiltaan WP-CLI-työkalun kautta, ja päivitämme kaiken, mikä sen kautta on mahdollista päivittää. Päivitämme myös ne asiakkaan maksulliset lisäosat, joiden lisenssiavaimet on asetettu oikein ja joiden päivitys toimii wp plugin updatekautta. Usein lisäosapäivityksillä estetään vakavat haavoittuvuudet ja tietoturvamurrot.

Tekniikat tietoturvan takana

Käyttämämme tekniset suojauskeinot kehittyvät jatkuvasti. Käytämme muun muassa seuraavia tekniikoita tietoturvan varmistamiseksi:

  • Kaikki sivustot, sisältäen WordPressin ytimen, lisäosat ja ulkoasuteemat (joitain rajoituksia lukuunottamatta) päivitetään säännöllisesti. Tietoturvapäivitykset (sekä WordPressin ytimen, lisäosien että myös PHP:n osalta) asennetaan hyvin nopeasti.
  • Testaus ja valvonta koskee yhtä lailla päivityksiä ja varmistamme, että sivustot eivät mene rikki päivitysten takia.
  • Myös kaikki palvelinohjelmistot ja käyttöjärjestelmät päivitetään säännöllisesti.
  • Kaikki asiakkaiden sivustot ja tiedostot skannataan vähintään kerran vuorokaudessa haittakoodin havaitsemiseksi.
  • Palvelimella on laajat lokitukset, joista http-liikenteen tapahtumia ja tietoturvamurtoepäilyjä voi tutkia ja selvittää jälkikäteen.
  • Mahdollisista tietoturvamurroista palautuminen, kuten varmuuskopioiden palautus ja kaikkien käyttäjien istunnon ja salasanan nollaus, on tehty helpoksi.
  • Automaattinen varmuuskopiointi joka vuorokausi, jonka toimivuuteen WordPress ei vaikuta. Varmuuskopiointi on toteutettu pull-tekniikalla, eli mahdollinen murtautuja ei pysty helposti tuhoamaan varmuuskopioita. Asiakas voi itse selata varmuuskopioitaan ja palauttaa minkä tahansa päivän tilanteen edeltäneen kuukauden ajalta.
  • Varmuuskopioista on myös offsite-varmuuskopiot kokonaisen palvelinsalin tuhoutumisen varalta.
  • Varmuuskopio kattaa kaikki tiedostot ja myös tietokannan. Varmuuskopioista palauttamista testataan säännöllisesti.
  • Jokaisella asiakkaalle on oma eritytetty Linux container -ympäristö. WP-palvelussa ei ole ns. shared hosting -ympäristö.
  • SSL-varmenne eli HTTPS-suojaus on meillä hintaan sisältyvä vakio-ominaisuus, ei lisäpalvelu.
  • Käyttäjätunnusten lähettäminen ilman salattua yhteyttä on estetty, ja asiakkaat käyttävät aina suojattuja HTTPS-, SFTP- ja SSH-yhteyksiä kirjautumiseen palvelimelle.
  • Verkkotason DDOS-suojauksen lisäksi meillä on käytössä myös sovellustason DDOS-suojaus jolla rajoitetaan PHP:n liika kuormittaminen.
  • Salasanojen brute force -hyökkäykset tehdään tehottomiksi rajoittamalla sisäänkirjautumisyritysten määrää. Asiakkaalta edellytetään ainoastaan normaalin salasanahygienian noudattamista.

Tietoturvatakuu

Asiakkaan kannalta on keskeisintä ymmärtää, että WP-palvelu ei tarjoa pelkkää palvelintilaa, vaan ensisijaisesti WordPress-sivustojen ylläpitoa. Tietoturvasta huolehtiminen on keskeinen osa ylläpitoa ja kehitämme tietoturva-asioita jatkuvasti. Joissain tilanteissa jopa rajoitemme asiakkaiden toimintaa heidän oma tietoturvansa suojaamiseksi.

Paras osoitus siitä, että huolehdimme tietoturvasta on kuitenkin se, että lupaamme siivota ja palauttaa asiakkaan sivuston ilmaiseksi, mikäli se murretaan suojauksista ja säännöllisestä päivittämisestämme huolimatta.

Tietosuoja

Suomalaisten asiakkaiden sivustot sijaitsevat pääasiassa Suomessa jossakin kolmesta konesalistamme (Tampereella ja Helsingissä). Kaikki palvelinsalimme täyttävät Viestintäviraston määräyksen 54 B/2014 M luotettavista tiloista.

Asiakkaamme voivat saada erikseen pyytämällä tietoturvapolitiikkamme, josta käy ilmi lisää yksityiskohtia.

Lisätietoja WordPress-tietoturvasta

Lisätietoja tietoturvasta blogissamme avainsanalla ”tietoturva”. Alla englanninkielinen yleisesitys perusasioista, joita jokaisen WordPress-sivuston omistajan tulisi tietää.