Kansainvälinen tietoturvapäivä – Turvaa tietosi

Computer Security Day on päivä, jota on vietetty kansainvälisesti marraskuun 30. päivä jo vuodesta 1988 lähtien. Se sai alkunsa, kun Internetin edeltäjä ARPANET joutui hyökkäyksen kohteeksi. Päivän tarkoitus on muistuttaa kaikkia tietotekniikan käyttäjiä tavoista, joilla tietoturvasta voi huolehtia ja miten sitä voidaan parantaa.

Muutama minuutti riittää hyvien suojauskäytäntöjen varmistamiseksi! Muista myös huolehtia oman WordPress-sivustosi tietoturvasta. Näillä Seravon kattavilla vinkeillä ja ohjeilla pidät huolen, että tärkeät tietosi pysyvät turvassa.

Pidä huolta salasanoista

Psykoterapiakeskus Vastaamon taannoisessa tietomurrossa yhtenä mahdollistavana tekijänä oli heikko ja näin ollen helposti murrettavissa oleva salasana. Lyhyen ja useita vuosia käytössä olleen salasanan oli tarkoitus suojata tuhansia potilastietoja. Vieläkin räikeämpi laiminlyönti oli se, ettei root-käyttäjälle oltu määritelty salasanaa lainkaan.

Vahvoja salasanoja voit luoda esimerkiksi selaimellasi tai erillisellä salasanojen hallintasovelluksella. Tällaisessa “salasanamanagerissa” on se hyvä puoli, ettei salasanoja tarvitse enää muistaa – riittää, että ne ovat yhden riittävän vahvan salasanan takana. Jos salasanasovellusta ei halua käyttää, yksi vaihtoehto on käyttää salasanana kokonaisia lauseita yksittäisten sanojen asemesta. Nämä ovat yleensä helpompia muistaa kuin satunnaiset merkkijonot. Vinkkejä salasanan hallintasovelluksen käyttöönottoon löydät esimerkiksi Kyberturvallisuuskeskuksen sivuilta.

Hyvästä salasanahygieniasta voi huolehtia myös muillakin tavoilla: jos teet etätöitä tai kirjaudut palveluihin julkisella paikalla, muista varmistaa, ettei kukaan urki salasanaasi. Käytä mahdollisuuksien mukaan laitteesi ruudulla tietoturvasuojaa eli tietosuojakalvoa, ja muista lukita laitteesi silloin, kun et sitä käytä. Vältä avoimia langattomia yhteyksiä, sillä niiden käyttämisessä piilee vaaransa – niissä laitteesi tietoliikennettä voidaan mahdollisesti urkkia.

Kaksivaiheinen tai monivaiheinen tunnistautuminen (2FA, MFA)

Kaksivaiheisen tunnistautumisen käyttöönottoa emme voi suositella tarpeeksi erityisesti WordPress-sivustoilla. Seravon WP-palvelusta löytyy toki suoja bottien automatisoituja kirjautumisyrityksiä vastaan, mutta kaksivaiheinen tunnistautuminen suojaa sivustosi siltä varalta, että salasanasi on heikko, arvattavissa tai se on “yleisesti tiedossa” aiemman tietovuodon takia. haveibeenpwned-sivustolta voit tarkistaa sähköpostiosoitteellasi, onko jollakin käyttämälläsi palvelulla tapahtunut tietovuoto, ja onko kyseisen käyttäjätilisi salasana näin mahdollisesti hyökkääjien tiedossa.

Edellä mainitun vuoksi eri palveluissa ei tulisi ikinä käyttää samaa salasanaa – se voi vuotaa yhdestä palvelusta päätyen hyökkääjän tietoon, ja sitä voidaan käyttää toiseen palveluun sisään pääsemiseksi. Kun käytössä on kaksivaiheinen tunnistautuminen, sisäänkirjautuminen palveluun vahvistetaan vielä erillisellä koodilla, laitteella tai sovelluksella, ja kirjautumisyritys epäonnistuu.

Kaksivaiheiseen kirjautumiseen voi käyttää myös erillistä turva-avainta. Kuvassa YubiKey.

WordPressin tietoturva-asetukset

Hyvän salasanahygienian ja kaksivaiheisen kirjautumisen ohella voit myös huolehtia WordPressin tietoturvasta käymällä läpi edistyneempiä tietoturvatekniikoita ja -asetuksia.

Sivuston otsaketiedot – CSP ja HSTS

Sivuston otsakkeisiin (engl. headers) voidaan tehdä lisäyksiä, jotka ennaltaehkäisevät mahdollisia hyökkäyksiä. Esimerkiksi XSS eli Cross-Site Scripting on hyökkäys, jossa haittakoodia päästään lisäämään sivustolle “injektoimalla”. Clickjacking-hyökkäyksessä taas sivuston elementtejä kuten painikkeita ja linkkejä muokataan hyökkääjän mielen mukaan, joita klikatessaan kävijät esimerkiksi ohjatuvatkin jollekin haitalliselle sivustolle.

XSS-  ja clickjacking-tyyppiset hyökkäykset voidaan ehkäistä käyttämällä Content Security Policya eli CSP:tä. Näiden otsaketietojen avulla kävijän selaimelle voidaan varmentaa, että sen lataamat sisällöt varmasti ovat peräisin oikealta palvelimelta.

HSTS-otsaketiedot puolestaan kertovat käyttäjän selaimelle, ettei sivustolle tule koskaan muodostaa suojaamatonta yhteyttä. HSTS tarjoaa siis suojan esimerkiksi DNS-kaappauksia vastaan.

Yksinkertaiset CSP- ja HSTS-määritykset löytyvät Seravon WP-palvelusta oletuksena. Tarpeen mukaan niiden määrityksiä voidaan tiukentaa, ja sivuston tietoturva parantuu entisestään. Lisätietoja HSTS:stä sekä CSP:stä löydät Seravon tietopankista.

Asetuksia muutettaessa on syytä pitää mielessä, että tiukemmilla säännöillä on mahdollisesti vaikutuksia sivuston toiminnallisuuksiin. Siksi emme voi tehdä kaikkein tiukimpia määrityksiä asiakkaidemme puolesta, vaan CSP ja HSTS tulee ottaa käyttöön yhteistyössä sivuston kehittäjätahon ja muiden sidosryhmien kanssa.

Seravo Plugin vahvistaa sivustosi tietoturvaa

Seravolla tietoturva on lähtökohtaisesti huolehdittu mahdollisimman hyvin, niin WordPressin puolella kuin tietokannassakin. Toisin kuin muilla palveluntarjoajilla, Seravolla et maksa lisämaksua hyvästä tietoturvasta, vaan se kuuluu aivan jokaiseen palvelupakettiin. WP-palvelussa käytössä olevasta Seravo pluginista (Työkalut > Tietoturva)  löydät myös lisää asetuksia, joilla voit parantaa WordPress-sivustosi tietoturvaa entisestään. Käy siis läpi nämä asetukset! Asiakaspalvelumme neuvoo mielellään, jos asetuksista herää kysyttävää.

Kannattaa myös tutustua “Usein kysyttyä tietoturvasta” -sivuumme, etenkin jos pohdit erillisen tietoturva-auditoinnin suorittamista sivustollasi. Tältä sivulta löydät myös yksityiskohtaisempia lisätietoja siitä, miten tietoturvasta on huolehdittu Seravolla, mm. miten palvelunestohyökkäyksiltä suojaudutaan, miten kuormantasaus on toteutettu ja miten tietoturvaskannauksen tuloksia tulkitaan.

Aseta maakohtainen rajoitus

HTTP-palvelimella (Nginx) tai PHP-tasolla on mahdollista rajata pääsyä koko sivustolle maakohtaisesti. Tällainen rajoitus on toki mahdollista kiertää, mutta se voi joissakin tapauksissa auttaa suitsimaan ei-toivottua liikennettä, kuten turhaan sivustoa kuormittavia botteja. Tutustu tarkempiin ohjeisiin rajauksen toteuttamiseksi tietopankissamme.

WordPressin kirjautumissivun piilottamista uudelleennimeämällä (wp-admin, wp-login.php) emme suosittele, sillä esimerkiksi kaksivaiheinen tunnistautuminen on paljon tehokkaampi suoja kirjautumissivulle.

Pysäytä suojaamattoman lomakkeen roskapostitus

Jos WordPress-sivustollasi käytössä olevaa lomaketta ei ole suojattu erillisellä captcha-arvoituksella, voi botti käydä lähettämässä roskapostia sen avulla. Captcha-lisäosa erottelee ihmiskäyttäjät roboteista, eikä botti pääse väärinkäyttämään lomaketta.

Kannattaa myös tutustua sivustollasi käytössä olevan lomakelisäosan asetuksiin – monesta suositusta lisäosasta löytyy lisäasetuksia, joilla spämmääjät saadaan kuriin. Tarkista myös verkkotunnuksesi SPF-, DKIM- ja DMARC-tietueet, joita käsittelemme tässä kirjoituksessa myöhemmin.

Päivitä WordPress

Pidä WordPress päivitettynä. Seravon päivitysjärjestelmä testaa ja kokeilee ensin päivitysten tekemistä varjoympäristössä, jotta sivusto ei hajoa päivitysten yhteydessä. WP-palveluun kuuluvat tietenkin myös tietoturvapäivitykset. Seuraamme tietoja uusista todetuista haavoittuvuuksista,  ja teemme tietoturvapäivitykset aina sivustollesi viipymättä erillään tästä päivitysjärjestelmästä.

Sivuston PHP-versio on myös hyvä pitää päivitettynä. Ennen päivityksen tekemistä tulee kuitenkin varmistaa, että sivustolla käytössä olevat lisäosat ja teema tukevat uudempaa PHP-versiota. Jos käytössä oleva teema on räätälöity tai sivustolla on käytössä omalle yrityksellesi varta vasten tehtyjä lisäosia, voi PHP-päivityksessä tarvita sivuston kehittäjän apua.

Poista ylimääräiset ja tarpeettomaksi jääneet lisäosat

Varmista, ettei sivustollasi ole käytössä lisäosia, jotka eivät ole enää aktiivisessa käytössä, tai jotka on mahdollisesti hylätty vanhentuneina niiden omien kehittäjienkin toimesta. Kun siivoat WordPressin lisäosat, on sivustollasi tällöin vähemmän koodia, josta hyökkääjä voisi haavoittuvuuksia löytää ja päästä sivustollesi. 

Seravon 24/7-valvonta ilmoittaa sivuston tekniselle yhteyshenkilölle, jos sivustolla on käytössä lisäosa, jossa on todettu haavoittuvuus. Sivuston valvonta kuuluu jokaiseen palvelupakettiin Seravolla. Hyökkääjät ja hakkerit pystyvät kuitenkin mahdollisesti hyödyntämään haavoittuvuuksia jo ennen kuin ne löydetään, joten ylimääräisten ja tarpeettomien lisäosien poistaminen on aina hyvä idea. Samalla optimoit sivustoasi – ei ylimääräistä sisältöä hidastamassa sivustosi toimintaa!

Varmuuskopiot

Erillisiä varmuuskopiointiin tarkoitettuja lisäosia ei tarvita WP-palvelussa, sillä sivustosi varmuuskopioidaan kerran vuorokaudessa. Jokainen varmuuskopio on tallessa 30 päivän ajan, ja niiden  avulla sivustosi voidaan palauttaa toimintaan nopeasti ja luotettavasti. Voit tehdä varmuuskopiosta palauttamisen joko itse ohjeidemme avulla, tai antaa asiakaspalvelumme tehdä sen. Varmuuskopiosta palauttaminen kuuluu Seravolla asiakaspalveluun ja tapahtuu lisämaksutta!

Lisävinkit hyvään tietoturvaan

Varo huijausviestejä

Suhtaudu saapuviin sähköposteihin ja viesteihin varauksella: tarkista, mistä osoitteesta ne on lähetetty. Onko lähettäjän sähköpostiosoitteen verkkotunnus sama kuin itse palvelulla? Turvallisinta on olla klikkaamatta viestissä olevia linkkejä ennen kuin viestin lähettäjästä on voinut varmistua.

Lokakuussa Traficom antoi vakavan varoituksen organisaatioita piinaavista tietojenkalastelu- eli phishing-viesteistä, joita nähtiin tuolloin poikkeuksellisen paljon. Jos saat epäilyttävän viestin, älä klikkaa mitään linkkejä, ja raportoi löydöksesi oman organisaatiosi IT-osastolle.

Domainin tietojen vahvistaminen

Seravolla yhden verkkotunnuksen eli domainin ylläpito kuuluu jokaiseen palvelupakettiin. Ne asiakkaat, jotka ovat siirtäneet domainin hallinnan Seravon ylläpitoon, voivat saada sähköpostiinsa viestin, jossa pyydetään vahvistamaan domain tai tarkistamaan siltä löytyvät yhteystiedot. Viesti on aiheellinen, ja domainin omistajatiedot tulee pitää ajan tasalla ICANN:n määräyksestä. Seravon tietopankista löydät esimerkin tällaisesta viestistä. Jos saapunut viesti kuitenkin askarruttaa, on turvallisinta olla klikkaamatta mitään linkkejä ja välittää viesti osoitteeseen help@seravo.com, niin tarkistamme viestin aiheellisuuden.

Tarkista DNS-tietueet: SPF, DKIM ja DMARC

Onko tiedossasi viestejä, joissa lähettäjänä näyttää olevan tuttu henkilö ja verkkotunnus, mutta viestin sisältö on selkeästi spämmääjän käsialaa? Esimerkiksi tietojenkalasteluviesti voi tulla millaisesta osoitteesta tahansa. Yksi keino estää tällainen verkkotunnuksen väärinkäyttö on huolehtia siitä, että sähköpostiliikenteeseen liittyvien tietueiden toiminta on tarkistettu.

SPF-, DKIM- ja DMARC-tietueet liittyvät kokonaisvaltaisesti tapaan, jolla kaikkea verkkotunnuksesi eli domainin sähköpostiliikennettä käsitellään, ja niiden läpikäymiseen kannattaa varata aikaa. Eri tietueilla varmistetaan hieman eri asioita, mutta Domainkeskuksen blogissa niiden säännöt on esitelty tarkemmin. Kaikki nämä tietueet parantavat sähköpostiliikenteen kulkua, mutta valitettavasti vain harva organisaatio on ottanut esimerkiksi DMARCin käyttöön.

Vaikka Seravo ei voi suoraan päättää näiden tietueiden sisällöstä asiakkaidensa puolesta, voit silti asiakkaanamme ottaa aina yhteyttä, jos DNS-tietueista ilmenee kysyttävää. Jos domain on siirretty Seravon hallintaan, pääset katsomaan ja muokkaamaan tietueita kirjautumalla sisään WordPressiin, valikossa Työkalut > Verkkotunnukset. Katso lisäohjeet tietopankista.

Mitä tehdä, jos sivustolle on murtauduttu? Apua!

Jos sivustosi on Seravon WP-palvelussa, ole huoletta – valvontamme tutkii sivustosi tietoturvapoikkeamien varalta ja ilmoitamme asiasta. Seravon tietoturvatakuu puolestaan takaa, että palautamme sivuston toimintaan tutkinnan päätteeksi ja siivoamme sen haitallisesta koodista, veloituksetta. Tietoturvatakuusta voit lukea lisää “Usein kysyttä tietoturvasta” -sivulta. Ota meihin yhteys aina, jos epäilet sivustosi joutuneen tietomurron kohteeksi, niin selvitämme asian!

Nopea ja turvallinen palvelin WordPress-sivustolle

Seravon WP-palvelu huolehtii, että sivustosi pysyy päivitettynä, nopeana ja turvallisena. Emme myy pelkästään palvelinkapasiteettia – haluamme että sivustosi toimii hyvin ja pysyy turvassa, oli kyseessä tavanomainen WordPress-sivusto, verkkokauppa tai multisite. Neuvomme mielellämme kaikissa WordPressiin ja sen tietoturvaan liittyvissä kysymyksissä!