Tietoturva

WordPress on maailman suosituin julkaisujärjestelmä pääasiassa sen helppokäyttöisyyden ja monipuolisten mahdollisuuksien vuoksi, mutta sen haasteita ovat aina olleet tietoturva ja nopeus. Tietoturva kärsii erityisesti, jos sivustoa ei ylläpidetä tai päivitetä aktiivisesti. Päivitysten tulee kattaa sekä WordPressin ydin että lisäosat ja ulkoasuteemat. Tietoturvaongelmat saavat tyypillisesti alkunsa vanhentuneista lisäosista.

Ei ole olemassa turvatonta WordPress-sivustoa, on vain huonosti ylläpidettyjä WordPress-sivustoja.

Seravo tarjoaa parasta mahdollista WordPress-ylläpitoa, ja siksi tietoturvakin on meillä huippuluokkaa. Tällä sivulla kerromme tarkemmin toimenpiteistä ja tekniikoista, joilla varmistamme WordPress-sivustojen turvallisuuden WP-palvelussamme.

Valvonta 24/7

Kaikkien asiakkaidemme sivustot ovat valvonnassa vuorokauden ympäri, 24/7. Mikäli yksikin sivusto hälyttää häiriön merkiksi, tarkistaa päivystäjämme häiriön syyn. Olemme jatkuvassa valmiudessa reagoimaan asiakkaidemme sivustojen poikkeamiin.

Seuraamme myös toimialamme tapahtumia aktiivisesti, ja olemme mukana useiden avoimen lähdekoodin ohjelmistojen suljetuissa tietoturvatiedoteryhmissä. Suljetun lähdekoodin ohjelmistoja meillä ei ole lainkaan muun muassa tietoturvasyistä.

Skannasimme läpi kaikki asiakkaidemme sivustot ja varmistimme, ettei saastuneita PEAR-paketteja ollut asennettuna. https://t.co/Yo21fDCgGX
— Seravo 🇫🇮 (@SeravoFi) January 22, 2019

HTTPS-suojaus vakiona ilman lisämaksuja

Seravon WP-palvelussa kaikilla asiakkaiden sivustoilla SSL-varmenne eli HTTPS-suojaus on ilmainen vakio-ominaisuus. Myös muut palvelinyhteydet (SSH/SFTP) ovat aina salattuja. Panostamme myös siihen, että HTTPS-suojaus on varmasti asennettu oikein, eikä murrettavissa vanhentuneiden algoritmien tai muun vastaavan syyn takia.

HTTPS-suojaus on entistäkin ajankohtaisempi, sillä se parantaa tietoturvan lisäksi myös sivuston nopeutta ja hakukonenäkyvyyttä. Lue lisää HTTPS-suojauksesta blogiartikkeleistamme.

Tietoturvalisäosat tarpeettomia

Ylläpitämiemme WordPress-sivustojen nopeusoptimointi on tehty tekniikoilla, joiden ansiosta sinun tarvitse tehdä mitään erityistä WordPressissä esimerkiksi välimuistista hyötyäksesi. Samalla periaatteella olemme toteuttaneet myös tietoturvasuojaukset. Voit halutessasi asentaa WordPressiin esimerkiksi tietoturvalisäosan, mutta yleensä siitä ei ole hyötyä – se voi jopa hidastaa sivustoa. Jotkut lisäosat voivat suorastaan häiritä sivuston toimintaa, joten emme suosittele tietoturvalisäosien asennusta WP-palvelun asiakkaille.

Säännölliset päivitykset

Aivan kaikkia WordPress-sivustoja koskeva keskeisin tietoturvauhka ovat verkon automatisoidut hyökkäykset, jotka perustuvat yleisesti tiedossa olevien aukkojen hyödyntämiseen. Paras tapa suojautua niiltä on lisäosien säännöllinen päivittäminen. WP-palvelussa huolehdimme, että kriittiset tietoturvapäivitykset asennetaan nopeasti.

WordPress-tietoturvapäivitys 5.5.2 julkaistiin eilen. Olemme suorittaneet minor-päivityksen kaikkien asiakkaiden osalta valmiiksi. #wpfi #wordpress #tietoturva

Lisätietoja Seravon WP-palvelun tietoturvasta: https://t.co/GS1iY43voI
— Seravo 🇫🇮 (@SeravoFi) October 30, 2020

Seravon tietoturvatiimi löysi tänään nollapäivähaavoittuvuuden WP File Manager -ohjelmistosta. Jos käytät sitä, päivitä heti versioon 6.9.
Jos olet Seravon asiakas, sinun ei tarvitse tehdä mitään, asia on jo hoidettu puolestasi.#wpfi #wordpress #tietoturva @CERTFI
— Seravo 🇫🇮 (@SeravoFi) September 1, 2020

Reagoimme nopeasti myös lisäosien päivityksiin. Teemme päivitykset WP-CLI-työkalulla, ja päivitämme kaiken, mikä sen kautta on mahdollista päivittää. Päivitämme myös ne asiakkaan maksulliset lisäosat, joiden lisenssiavaimet on asetettu oikein, ja joiden päivitys toimii wp plugin update-komennolla. Usein lisäosapäivityksillä estetään vakavat haavoittuvuudet ja tietoturvamurrot.

Tietoturvatakuu

Seravon WP-palvelu ei tarjoa pelkkää palvelintilaa, vaan ensisijaisesti WordPress-sivustojen ylläpitoa. Tietoturvasta huolehtiminen on keskeinen osa ylläpitoa, ja kehitämme tietoturva-asioita jatkuvasti. Joissakin tilanteissa jopa rajoitamme asiakkaiden toimintaa heidän oman tietoturvansa suojaamiseksi.

Paras osoitus siitä, että huolehdimme tietoturvasta on kuitenkin se, että lupaamme siivota ja palauttaa asiakkaan sivuston toimintaan ilmaiseksi, mikäli se WP-palvelun ylläpidossa ollessaan murretaan suojauksista ja säännöllisestä päivittämisestä huolimatta.

Asiakkaan vastuulla on normaali palvelun huolellinen käyttö sekä hyvästä salasanahygieniasta huolehtiminen. Seravo ei ole vastuussa, mikäli sivuston tietoturvaongelma johtuu käyttäjän vuotaneesta salasanasta tai itse asennetusta haittaohjelmasta. Seravon kuukausimaksuun ei myöskään sisälly vahingonkorvausvastuuta rikollisen toimista, vaan erillisen tietoturvavakuutuksen voi hankkia vakuutusyhtiöltä niin halutessaan.

Tietosuoja

Suomalaisten asiakkaiden sivustot sijaitsevat pääasiassa Suomessa jossakin kolmesta konesalistamme (Tampereella ja Helsingissä). Kaikki Seravon käyttämät palvelinsalit täyttävät Traficomin teletiloille asettamat vaatimukset. Asiakkaamme voivat saada erikseen pyytämällä tietoturvapolitiikkamme, josta käy ilmi lisää yksityiskohtia. Tutustu myös GDPR-infosivuumme.

Lisätietoja tietosuojavastaavalta ja tietoturvavastaavalta

Seravossa on nimetty sekä tietosuojavastaava että tietoturvavastaava. Kaikissa tietosuojaan ja tietoturvaan liittyvissä asioissa voi ottaa yhteyttä tietoturvatiimiimme osoitteessa security@seravo.com, tai asiakaspalveluumme osoitteessa help@seravo.com.

Lisätietoja WordPress-tietoturvasta

Tutustu Usein kysyttyä tietoturvasta -sivuun. Lisätietoja tietoturvasta löydät Seravon blogista. Alta löydät lisäksi perustajamme Otto Kekäläisen esityksiä WordPressin tietoturvaan liittyen.

Usein kysyttyä tietoturvasta

WordPress-tietoturvan perusteet from Otto Kekäläinen

Perusasiat tietoturvasta, jotka jokaisen WordPress-sivuston omistajan tulisi tietää.

Esitys Stuttgartin WordCampista v. 2019.