Lisäpalvelu: Tietoturvakovennus

Palvelukuvaus

Tietoturvakovennus on Seravon tarjoama lisäpalvelu, joka parantaa WordPress-sivuston tietoturvaa. Vaikka tietoturva kuuluu Seravolla jokaiseen palvelupakettiin ydinominaisuutena, voidaan sivuston tietoturvaa tarvittaessa tiukentaa.

Seravolla tietoturvasta huolehditaan aktiivisesti mm. päivitysten ja tietoturvatarkistusten avulla. Tämän lisäksi sivustoilla voidaan ottaa käyttöön lisäominaisuuksia ja tarkastella määrityksiä, joilla sivuston tietoturvaa parannetaan entisestään. Tietoturvakovennuksessa selvitetään sivuston tietoturvan taso ja annetaan suosituksia toimenpiteille, joiden myötä sivuston tietomurrot ovat entistä epätodennäköisempiä. Lisäpalveluna Tietoturvakovennus soveltuu suoritettavaksi missä vaiheessa sivuston kehityskaarta tahansa – niin uusille kuin jo pidempään olemassa olleille sivustoille.

Tietoturvakovennus-lisäpalvelu auttaa kartoittamaan sivuston senhetkisen tietoturvan tilanteen. Tietoturvakovennus voi olla tarpeen silloin, kun sivuston tai verkkokaupan tietojen vuotaminen olisi erityisen haitallista esimerkiksi yrityksen liiketoiminnan kannalta, tai jos sivusto on ollut aiemmin tietomurron kohteena aiemmalla palveluntarjoajalla.

Tietoturvakovennuksessa sivusto käydään tietoturva-asiantuntijan toimesta läpi tietoturvauhkien tunnistamiseksi ja tietomurtojen ehkäisemiseksi. Sivuston tietoturvaan vaikuttavat asetukset tarkistetaan ja tuloksista raportoidaan asiakkaalle. Tietoturvakovennus sisältää myös varmistuksen, että kaikkein yksinkertaisimmat tietoturva-asetukset ovat voimassa ja asetettu toimimaan oikein. Raportti sisältää suosituksia jatkotoimenpiteille ja valinnaisille tietoturva-asetuksille.

Palvelun sisältö

Tietoturvakovennus voi sisältää esimerkiksi seuraavat tarkistukset:

  • Sivuston eheys (PHP- ja JavaScript-virheet, mixed content, yms.)
  • Välimuistin toiminta
  • Lokitiedostojen läpikäynti (mm. murtoyritykset, bottiliikenne, virhetilanteet)
  • Lisäosien ja teemojen tietoturva
  • Päivitysten toiminta
  • Käyttäjien ja käyttäjäroolien tarkistus
  • Pääsyrajoitusten tarkistus

Tietoturvakovennuksen päätteeksi toimitetaan raportti havaituista puutteista. Raportti sisältää ohjeistuksen siitä, kuinka havaitut puutteet voidaan korjata. Joissakin tapauksissa havaittu puute voidaan korjata Seravon toimesta, ja raportti sisältää tiedon myös Seravon mahdollisesti tekemistä toimenpiteistä.

Tietoturvakovennukset ovat aina sivustokohtaisia, ja tarkka sisältö riippuu sivuston sisällöistä ja teknisestä toteutuksesta. Tietoturvakovennus voi pitää sisällään esimerkiksi tarkistuksen käyttäjärajapinnan osalta, Seravo Pluginin kautta saatavilla olevien tietoturva-asetusten tarkistamisen, sekä löydöksille perustuvat ohjeistukset sivuston tietoturvan parantamiseksi.

Sivusto tarkistamalla voidaan minimoida hyökkäyspinta-alaa mahdollisten tietomurtoyritysten varalta: esimerkiksi WordPress-sivustolla käytössä olevat lisäosat päivittämällä voidaan mitigoida haavoittuvuuksia.

Mahdolliset korjaavat ja ylimääräiset toimet ovat puolestaan erikoisasiantuntijatyötä. Näitä voivat olla esimerkiksi selvitys lisäosan korvaamisesta toisella. Ylimääräisistä toimista ja laskutettavasta työstä sovitaan aina erikseen asiakkaan kanssa, ja ne tehdään vain asiakkaan luvalla.

Rajaukset

Tietoturvakovennus ei takaa, ettei sivustoa voi murtaa, eikä se sovellu vakuutukseksi sivuston tietoturvallisuudesta. Tietoturvakovennuksen myötä ei voi saada lisäkorvauksia, jos sivusto kaikista toimista huolimatta joutuu tietomurron kohteeksi.

Tietoturvakovennusta ei myöskään ole tarkoitettu jokapäiväisiin tietoturvatarkistuksiin. Kaikki Seravon ylläpidossa olevat sivustot skannataan päivittäin haitallisen koodin varalta. Kaikkiin palvelupaketteihin kuuluva Seravon Tietoturvatakuu puolestaan lupaa, että sivusto putsataan haitallisesta koodista, jos sivusto murretaan sinä aikana, kun se on Seravon ylläpitopalvelussa.

Tietoturvakovennus ei myöskään sovellu sivuston tietoturva-auditoinniksi, mutta voidaan suorittaa esimerkiksi auditointia tukevana toimenpiteenä.

Tietoturvakovennusta ei suoriteta muissa palveluissa tai muilla palvelimilla sijaitsevilla sivustoilla, eli se voidaan tilata ainoastaan WordPress-sivustolle, joka on Seravon ylläpidettävänä. Tietoturvakovennus-lisäpalvelun voi tilata heti, kun sivusto on siirretty Seravon palvelimille. Huomioi kuitenkin Seravon Tietoturvatakuun voimassaolo.

Tietoturvakovennus on tilattava sivustolle aina etukäteen, mieluiten hyvissä ajoin ennakkoon, mutta vähintään viikkoa ennen mahdollista aikarajaa.

Lisämaksulliset palvelut

Tietoturvakovennus-lisäpalvelu ei sisällä sivustokehitystä, eikä siinä tehdä kooditason muutoksia itse WordPressiin, teemoihin, lisäosiin tai sivuston räätälöityjen toiminnallisuuksien jatkokehittämiseen. Lisäpalvelun avulla ei siis voida tehdä muutoksia vanhentuneeseen tai turvattomaan koodiin, vaan tällaiset muutokset kuuluvat aina sivuston kehittäjätaholle.