Usein kysyttyä tietoturvasta

Tältä sivulta löydät usein kysyttyjä kysymyksiä liittyen tietoturvaan Seravon hostingpalvelussa.

Luulen löytäneeni palvelustanne tietoturvahaavoittuvuuden! Mitä teen?

Voit ilmoittaa löydöksistä sähköpostitse osoitteeseen security@seravo.com (PGP-avain saatavilla). Olemme toisinaan maksaneet löytöjen perusteella myös pieniä palkkioita, mikäli löytö on osoittautunut hyvin merkittäväksi.

Voiko Seravolla olevalle sivustolle tehdä tietoturvaskannauksen tai -auditoinnin?

Kyllä, mutta skannausta tai auditointia varten tarvitaan aina lupa etukäteen. Valvomme jatkuvasti järjestelmiämme ja tutkimme haitalliseksi epäiltyä toimintaa infrastruktuurissamme. Jotta et olisi korvausvelvollinen palveluun kohdistuvasta skannauksesta tai auditoinnista mahdollisesti koituvan haitan vuoksi, ilmoitathan aikeistasi hyvissä ajoin etukäteen sähköpostitse, security@seravo.com allekirjoittaaksesi tarvittavan sopimuksen.

Ennen auditointia tai skannausta

Kun lupa skannausta varten on saatu, kannattaa sivustolla miettiä jo etukäteen, halutaanko sen tietoturvaa parantaa jo ennen skannausta.

Vaikka Seravon palvelussa olevilla sivustoilla on käytössä monia tietoturvaa parantavia ominaisuuksia, voidaan sivustolla ottaa käyttöön lisäominaisuuksia, jotka parantavat sivuston tietoturvaa entisestään. Mikäli suunnittelet auditointia tai tietoturvaskannausta, harkitse myös sivuston tietoturvaa parantavien lisäominaisuuksien käyttöönottoa sivustokehittäjän avustuksella, kuten esimerkiksi HSTS-, CSP- tai muut otsaketiedot (header) määrittelemällä. Näitä emme voi oletuksena kaikille asiakkaillemme tarjota, sillä niiden käyttöönotolla voi olla sivustojen toiminnan kannalta ei-toivottuja vaikutuksia.

Seravo tarjoaa myös työkaluja oman WordPress-sivuston turvallisuuden seurantaan. Esimerkiksi komennolla wp-check-passwords voit skannata sivustosi käyttäjätilit heikkojen salasanojen varalta. Ominaisuus on saatavilla myös Seravo Pluginissa.

Miksi tietoturvaskannaus ei onnistu?

Turvallisuussyistä Seravolla on käytössä rajoituksia, jotka on suunniteltu niin, että ne eivät koskaan häiritse minkään WordPress-sivuston tavanomaista käyttöä, vaan rajoittavat haitallisten toimijoiden pääsyä sivustoille (kuten esim. palvelunestohyökkäykset). Joissakin harvinaisissa tapauksissa sivustoa skannaavat työkalut voivat kuitenkin törmätä Seravon turvallisuusrajoituksiin, mikäli ne skannaavat sivustoa liian nopeasti ja muistuttavat palvelunestohyökkäystä. Näitä suojauksia emme voi kytkeä pois päältä.

Miksi tietoturvaskannauksen raportti ilmoittaa avoinna olevista SSH-porteista?

Kyseessä ovat SSH-portit, jotka ohjaavat muihin samassa palvelinklusterissa sijaitseviin sivustoihin. Jokaisella sivustolla on käytössään yksi SSH-portti, eikä muiden porttien kautta voi päästä sivustolle. Porttien näkyvillä oleminen ei vaikuta sivuston tietoturvaan, vaikka ne automaattisten skannaustyökalujen raporteissa näkyvätkin. Seravolla SSH-tunnuksilla on aina vahva salasana pakotettuna.

Voiko Seravo parantaa sivustoni tietoturvaa?

Kun WordPress-sivustosi on Seravon ylläpidettävänä, voit olla varma siitä, että sivustosi tietoturvasta huolehditaan mm. ympärivuorokautisella valvonnalla. Aiheesta lisää tällä sivulla kohdassa ”Miten sivustoja valvotaan (IDS/IPS)?”. Lisäksi palvelussamme käytössäsi on työkaluja ja ominaisuuksia, joilla parannat sivustosi tietoturvaa entisestään.

Seravo tarjoaa tietoturvaan liittyviä parannuksia myös asiantuntijapalveluna, kuten esimerkiksi Tietoturvakovennuksen – otathan asiakaspalveluumme yhteyttä tilataksesi lisäpalveluita.

WordPress-sivuston tietoturvan parantaminen

Seravo tarjoaa sivustojen tietoturva-asetusten läpikäymistä lisämaksullisena asiantuntijatyönä. Palvelu sisältää sivustokohtaisen tarkistuksen, selvittäen sivuston toteutuksesta löytyvät parannuskohteet, juuri WordPress-ympäristön soveltuvat parhaat käytännöt huomioon ottaen. Tarkistuksesta toimitetaan kirjallinen yhteenveto ja luettelo toimenpide-ehdotuksista.

Myös asiakaskohtaiset ratkaisut ovat mahdollisia ja tilattavissa asiantuntijatyönä lisämaksusta. Ota yhteyttä asiakaspalveluumme, mikäli olet kiinnostunut tilaamaan lisäpalveluita.

Miten palvelunestohyökkäyksiä torjutaan?

Kaikilla Seravon palvelimilla on käytössä vähintään verkko- ja HTTP-tason suojaus palvelunestohyökkäyksiä vastaan. Suojaus sisältää sekä täysin automaattisia ratkaisuja että ylläpidossa erikseen käyttöön otettavia suojauksia.

Tarvittaessa palveluun voidaan määrittää nk. whitelist-sääntöjä, jotka ohittavat osan suojauksista, mikäli tiedossa on merkittävästi verkkoliikennettä tuottavia lähdeosoitteita.

XML-RPC

XML-RPC on rajapinta WordPressin ja ulkoisten järjestelmien välille. Vaikka xml-rpc.php löytyy edelleen tiedostona WordPress-asennuksista, oletuksena XML-RPC on Seravon palvelussa estetty, sillä se on tietoturvariski: XML-RPC:tä voidaan käyttää mm. palvelunestohyökkäyksien toteuttamiseen. Ota yhteys asiakaspalveluun, jos sivustosi tarvitsee XML-RPC:tä.

Nykyisin XML-RPC:n on korvannut uudempi, nykyaikaisempi ja turvallisempi WordPress REST API.

Onko Seravolla käytössä sovelluspalomuuria (WAF)?

Kyllä. Sovelluspalomuuria (WAF, Web Application Firewall) käytetään verkkosivuston verkkoliikenteen tarkastelemiseen. Sen avulla pystytään valvomaan, suodattamaan ja estämään ei-toivottuja yhteyksiä sekä ehkäisemään hyökkäyksiä, jotka voivat vahingoittaa sivustoa. Seravolla kaikkien asiakkaiden WordPress-sivustot on suojattu yleisiä uhkia vastaan.

Lue lisää sovelluspalomuurin asetuksista Seravon tietopankissa.

Miten kuormantasaus on toteutettu Seravolla?

Mahdolliset poikkeustilanteet on otettu huomioon Seravon hostingpalvelun arkkitehtuurissa. Palvelu on siis lähtökohtaisesti rakennettu siten, että se olisi mahdollisimman vikasietoinen. Kuormantasauksesta huolehdistaan usealla eri tasolla.

  • Nimipalvelut: Asiakkaiden sivustojen verkkoliikenne ohjataan usealle eri palvelimelle (nk. DNS round robin)
  • WWW-palvelimet:  Saapuva liikenne hajautetaan palvelinklusterissa usealle eri WWW-palvelimelle
  • Sisällönjakeluverkko: Infrastruktuurin toteutus vastaa tällä hetkellä yleisesti sisällönjakeluverkkoja (CDN), lukuunottamatta maantieteellistä hajautusta

Halutessaan Seravon WordPress-hostingpalvelun yhteydessä voi käyttää kolmannen osapuolen palveluita, kuten vaikkapa erillistä CDN-palvelua.

Miten sivustoja valvotaan (IDS/IPS)?

Kaikkiin palvelupaketteihin kuuluu 24/7-valvonta, jonka avulla tunnistetaan ja torjutaan haitallista verkkoliikennettä. Kaikilla sivustoilla suoritetaan vähintään kerran vuorokaudessa täydellinen tarkistus haittaohjelmien varalta.

Tarpeen mukaan palvelussa voi myös itse määrittää WWW-palvelimella sääntöjä liikenteen rajoittamiseen, esimerkiksi maantieteellisesti tai lähdeosoitteiden perusteella. Tarkempia ohjeita löydät Seravon kehittäjädokumentaatiosta.

Mitä tapahtuu, jos sivustolla havaitaan tietoturvapoikkeama?

Vahingollinen toiminta estetään sivustolla, ja sivuston senhetkinen tila tallennetaan tutkimusta ja mahdollisten lisävahinkojen estämistä varten. Seravo ilmoittaa sivuston tekniselle yhteyshenkilölle häiriöstä, ja tutkinta aloitetaan tietoturvatutkinnan SLA:n puitteissa.

Kun tutkinta on valmis, sivusto puhdistetaan haittakoodista. Samalla tehdään tarvittavat toimenpiteet tulevien murtojen estämiseksi. Toimenpiteet riippuvat tutkinnassa ilmenneestä murtotavasta. Siivouksen valmistuttua sivusto avataan ja löydökset raportoidaan asiakkaalle.

Mikä on Seravon Tietoturvatakuu?

Seravon palveluun kuuluu uniikki Tietoturvatakuu. Seravo siivoaa ja palauttaa asiakkaan sivuston toimintaan ilmaiseksi, mikäli WordPress-sivusto Seravon ylläpidossa ollessaan murretaan suojauksista ja säännöllisestä päivittämisestä huolimatta. Asiakkaan vastuulla on normaali palvelun huolellinen käyttö sekä hyvästä salasanahygieniasta huolehtiminen.

Seravo ei ole vastuussa, mikäli sivuston tietoturvaongelma johtuu käyttäjän vuotaneesta salasanasta tai itse asennetusta haittaohjelmasta. Seravon kuukausimaksuun ei myöskään sisälly vahingonkorvausvastuuta rikollisen toimista, vaan erillisen tietoturvavakuutuksen voi hankkia vakuutusyhtiöltä niin halutessaan.

Lue lisää Seravon Tietoturvatakuusta.

Miten Seravo käsittelee sisällönpoistopyyntöjä?

Seravo tarjoaa ylläpitopalvelua WordPress-sivustoille. Palvelun tuottamiseksi käsittelemme kolmansilta osapuolilta tulevia sisällönpoistopyyntöjä.

Pyynnön kohteena oleva sisältö voi olla esimerkiksi:

  • Tekijänoikeudella suojattua materiaalia (esim. DMCA-ilmoitukset)
  • Haitallista sisältöä (esim. haittaohjelmat tai kalastelusivustot)
  • Muuta arkaluonteista, säänneltyä tai luvatonta dataa

Arvioimme jokaisen pyynnön oikeellisuuden ja reagoimme niihin viipymättä. Tietyt pyynnöt, kuten Suomen viranomaisten ilmoitukset haitallisesta sisällöstä, voivat johtaa välittömiin toimenpiteisiin.

Vaikka Seravo toimii yhteyspisteenä poistopyynnön esittäjän ja sivuston omistajan välillä, sivuston omistaja on viime kädessä vastuussa sisällön poistamisesta. Mikäli sivuston omistaja ei vastaa yhteydenottoon tai jos rikkomus on ilmeinen, Seravo pidättää oikeuden estää pääsyn sisältöön ja ilmoittaa tästä sivuston omistajalle välittömästi.

Miten tulkita turvaskannauksen tuloksia?

Miten tietoturvaskannauksen tuloksia tulisi tulkita? Suoritettaessa automaattisia tietoturva-auditointeja on yleistä, että haavoittuvuusskannerit (kuten Tenable Nessus, Qualys tai Rapid7) antavat varoituksia tietyistä konfiguraatioista. Vaikka nämä työkalut ovat välttämättömiä todellisten riskien tunnistamisessa, ne tuottavat usein ”vääriä positiivisia” tai matalan prioriteetin varoituksia, jotka eivät tarkoita, että kyse olisi tietoturvaongelmasta Seravon alustalla.

Alla on katsaus yleisimpiin skannaustuloksiin ja niiden syihin.

Tiedon paljastus palvelimen otsaketiedoissa

Skanneri havaitsee Seravon verkkopalvelimen tyypin (Nginx) HTTP-vastauksen otsakkeesta (headers).

Verkkopalvelinohjelmiston tunteminen on vakio-osa internetin tiedonsiirtoa. Tämä tieto itsessään ei tarjoa hyökkääjälle sisäänpääsyä järjestelmään. Seravo pitää ohjelmistot päivitettyinä, ja kriittisistä tietoturvapäivityksistä huolehditaan aina. Turvallisen ja ajan tasalla olevan palvelimen nimen piilottaminen ei tuo mitattavaa hyötyä tietoturvaan. Lisätietoja Nginx-verkkopalvelimesta löytyy tietopankistamme.

Vanhojen PHP-versioiden haavoittuvuudet

Skannerit saattavat liputtaa mahdollisia haavoittuvuuksia PHP-funktioissa, kuten mb_send_mail() tai mail().

Nämä erityiset haavoittuvuudet koskevat yleensä erittäin vanhentuneita PHP-versioita ja vaativat toimiakseen ylläpitämätöntä koodia. Yleisten skannereiden liputtamat vanhat PHP-haavoittuvuudet eivät koske hallinnoituja WordPress-ympäristöjämme. Seravo käyttää vain nykyaikaisia, tuettuja PHP-versioita, jotka on lueteltu tietopankissamme.

Vanhentuneet tai perityt komponentit

Skannerit voivat liputtaa esimerkiksi JavaScript-kirjastojen vanhempia versioita (kuten jQuery 1.x) vanhentuneiksi olettaen, että mikä tahansa versio ”nykyisen” vakaan julkaisun takana on haavoittuva.

Monissa sisällonhallintajärjestelmissä (CMS) tiettyjä vanhempia versioita ylläpidetään yhteensopivuuden varmistamiseksi selaimille ja lisäosille. Seravo lieventää asiakaspuolen skripteihin liittyviä riskejä palvelinpuolen tietoturvalla. Esimerkiksi Access-Control-Allow-Origin -otsakkeiden käyttö auttaa estämään sivustojen välisiä hyökkäysvektoreita, joista skannerit ovat huolissaan liputtaessaan näitä vanhoja versioita.

WordPressin kirjautumissivu on julkinen

Skannerit havaitsevat, että WordPressin kirjautumissivu on saatavilla oletusosoitteessa (wp-login.php) ja ratkaisuksi ehdotetaan sivun obfuskointia (osoitteen muuttamista).

Kirjautumissivun URL-osoitteen muokkaaminen on käytäntö, joka tunnetaan nimellä security by obscurity (piilotteluun perustuva turvallisuus). Se ei pysäytä hyökkääjää, vaan voi luoda väärän turvallisuuden tunteen. Osoitteen muuttaminen ei tarjoa todellista suojaa ja saattaa häiritä Seravon 24/7-valvontaa. Seravo suojaa kirjautumissivua paremmilla tavoilla:

  • Pyyntöjen rajoittaminen (rate limiting) ja brute-force-suojaus.
  • WordPress-kirjautumisyritysten lokitus.
  • Tuki kaksivaiheiselle tunnistautumiselle (2FA) ja CAPTCHA:lle.

WordPress-käyttäjänimien luettelointi

Skanneri raportoi, että se pystyy selvittämään voimassa olevia WordPress-käyttäjänimiä, esimerkiksi arkistosivujen tai rajapintojen (API) kautta.

Nykyaikaisessa verkkoturvallisuudessa käyttäjänimeä ei pidetä salaisuutena, vaan salasana on salaisuus. WordPressissä käyttäjänimet näkyvät usein julkisesti esimerkiksi blogikirjoitusten tekijätiedoissa tai metadatassa tarkoituksella. Seravo keskittää resurssit salasanahygieniaan ja suojaa sivustosi brute-force-hyökkäyksiltä. Vaikka hyökkääjä tietäisi käyttäjänimen, alustamme automaattinen toistuvien epäonnistuneiden kirjautumisyritysten esto tekee tästä tiedosta hyödyttömän. Seravolla voit estää WordPress-käyttäjänimien luetteloinnin Seravo Pluginin turva-asetuksista.

Lisää Tietoturvasta

Haluatko tietää, mitä kaikkea palveluun kuuluu tietoturvan näkökulmasta, ja miten huolehdimme WordPress-sivustosi tietoturvasta? Lue lisää tietoturvasta Seravon ylläpidossa tai tutustu tietopankkimme ohjeisiin.