Tältä sivulta löydät usein kysyttyjä kysymyksiä liittyen tietoturvaan Seravon WP-palvelussa.
Luulen löytäneeni tietoturvahaavoittuvuuden. Kenelle voin kertoa siitä?
Voit ilmoittaa löydöksistä sähköpostitse osoitteeseen security@seravo.com (PGP-avain saatavilla). Olemme toisinaan maksaneet löytöjen perusteella myös pieniä palkkioita, mikäli löytö on osoittautunut hyvin merkittäväksi.
Voiko Seravon WP-palvelussa olevalle sivustolle tehdä tietoturvaskannauksen tai -auditoinnin?
Kyllä, mutta skannausta tai auditointia varten tarvitaan aina lupa etukäteen. Valvomme jatkuvasti järjestelmiämme ja tutkimme haitalliseksi epäiltyä toimintaa infrastruktuurissamme. Jotta et olisi korvausvelvollinen palveluun kohdistuvasta skannauksesta tai auditoinnista mahdollisesti koituvan haitan vuoksi, ilmoitathan aikeistasi hyvissä ajoin etukäteen sähköpostitse, security@seravo.com allekirjoittaaksesi tarvittavan sopimuksen.
Ennen tietoturva-auditointia tai -skannausta
Kun lupa skannausta varten on saatu, kannattaa sivustolla miettiä jo etukäteen, halutaanko sen tietoturvaa parantaa jo ennen skannausta.
Vaikka Seravon WP-palvelussa olevilla sivustoilla on käytössä monia tietoturvaa parantavia ominaisuuksia, voidaan sivustolla ottaa käyttöön lisäominaisuuksia, jotka parantavat sivuston tietoturvaa entisestään. Mikäli suunnittelet auditointia tai tietoturvaskannausta, harkitse myös sivuston tietoturvaa parantavien lisäominaisuuksien käyttöönottoa sivustokehittäjän avustuksella, kuten esimerkiksi HSTS-, CSP- tai muut otsaketiedot (header) määrittelemällä. Näitä emme voi oletuksena kaikille asiakkaillemme tarjota, sillä niiden käyttöönotolla voi olla sivustojen toiminnan kannalta ei-toivottuja vaikutuksia.
Seravo tarjoaa myös työkaluja oman WordPress-sivuston turvallisuuden seurantaan. Esimerkiksi komennolla wp-check-passwords voit skannata sivustosi käyttäjätilit heikkojen salasanojen varalta. Ominaisuus on saatavilla myös Seravo Pluginissa.
Miksi tietoturvaskannaus ei onnistu?
Turvallisuussyistä Seravon WP-palvelussa on käytössä rajoituksia, jotka on suunniteltu niin, että ne eivät koskaan häiritse minkään WordPress-sivuston tavanomaista käyttöä, vaan rajoittavat haitallisten toimijoiden pääsyä sivustoille (kuten esim. palvelunestohyökkäykset). Joissakin harvinaisissa tapauksissa sivustoa skannaavat työkalut voivat kuitenkin törmätä Seravon turvallisuusrajoituksiin, mikäli ne skannaavat sivustoa liian nopeasti ja muistuttavat palvelunestohyökkäystä. Näitä suojauksia emme voi kytkeä pois päältä.
Miksi tietoturvaskannauksen raportti ilmoittaa avoinna olevista SSH-porteista?
Kyseessä ovat SSH-portit, jotka ohjaavat muihin samassa palvelinklusterissa sijaitseviin sivustoihin. Jokaisella sivustolla on käytössään yksi SSH-portti, eikä muiden porttien kautta voi päästä sivustolle. Porttien näkyvillä oleminen ei vaikuta sivuston tietoturvaan, vaikka ne automaattisten skannaustyökalujen raporteissa näkyvätkin. Seravolla SSH-tunnuksilla on aina vahva salasana pakotettuna.
Voiko Seravo parantaa sivustoni tietoturvaa?
Kun sivustosi on Seravon WP-palvelussa, voit olla varma siitä, että sivustosi tietoturvasta huolehditaan mm. ympärivuorokautisella valvonnalla (aiheesta lisää tällä sivulla kohdassa ”Miten sivustoja valvotaan?”). Lisäksi WP-palvelussa käytössäsi on työkaluja ja ominaisuuksia, joilla parannat sivustosi tietoturvaa entisestään.
Seravo tarjoaa tietoturvaan liittyviä parannuksia myös asiantuntijapalveluna – otathan asiakaspalveluumme yhteyttä tilataksesi lisäpalveluita.
Seravon Tietoturvakovennus
Seravo tarjoaa erillistä Tietoturvakovennus-palvelua, joka suoritetaan lisämaksullisena asiantuntijatyönä. Palvelu sisältää sivustokohtaisen tarkistuksen, selvittäen sivuston toteutuksesta löytyvät parannuskohteet, juuri WordPress-ympäristön soveltuvat parhaat käytännöt huomioon ottaen. Tarkistuksesta toimitetaan kirjallinen yhteenveto ja luettelo toimenpide-ehdotuksista.
Myös asiakaskohtaiset ratkaisut ovat mahdollisia ja tilattavissa asiantuntijatyönä lisämaksusta. Ota yhteyttä asiakaspalveluumme, mikäli olet kiinnostunut tilaamaan lisäpalveluita.
Miten palvelunestohyökkäyksiä torjutaan?
Kaikilla Seravon palvelimilla on käytössä vähintään verkko- ja HTTP-tason suojaus palvelunestohyökkäyksiä vastaan. Suojaus sisältää sekä täysin automaattisia ratkaisuja että ylläpidossa erikseen käyttöön otettavia suojauksia.
Tarvittaessa palveluun voidaan määrittää nk. whitelist-sääntöjä, jotka ohittavat osan suojauksista, mikäli tiedossa on merkittävästi verkkoliikennettä tuottavia lähdeosoitteita.
Miten kuormantasaus on toteutettu?
Mahdolliset poikkeustilanteet on otettu huomioon Seravon WP-palvelun arkkitehtuurissa. Palvelu on siis lähtökohtaisesti rakennettu siten, että se olisi mahdollisimman vikasietoinen. Kuormantasauksesta huolehdistaan usealla eri tasolla.
- Nimipalvelut: Asiakkaiden sivustojen verkkoliikenne ohjataan usealle eri palvelimelle (nk. DNS round robin)
- WWW-palvelimet: Saapuva liikenne hajautetaan palvelinklusterissa usealle eri WWW-palvelimelle
- Sisällönjakeluverkko: Infrastruktuurin toteutus vastaa tällä hetkellä yleisesti sisällönjakeluverkkoja (CDN), lukuunottamatta maantieteellistä hajautusta
Halutessaan Seravon WP-palvelun yhteydessä voi käyttää kolmannen osapuolen palveluita, kuten erillistä CDN-palvelua.
Miten sivustoja valvotaan (IDS/IPS)?
Kaikkiin palvelupaketteihin kuuluu 24/7-valvonta, jonka avulla tunnistetaan ja torjutaan haitallista verkkoliikennettä. Kaikilla sivustoilla suoritetaan vähintään kerran vuorokaudessa täydellinen tarkistus haittaohjelmien varalta.
Tarpeen mukaan palvelussa voi myös itse määrittää WWW-palvelimella sääntöjä liikenteen rajoittamiseen, esimerkiksi maantieteellisesti tai lähdeosoitteiden perusteella. Tarkempia ohjeita löydät Seravon kehittäjädokumentaatiosta, seravo.com/docs.
Mitä tapahtuu, jos sivustolla havaitaan tietoturvapoikkeama?
Vahingollinen toiminta estetään sivustolla, ja sivuston senhetkinen tila tallennetaan tutkimusta ja mahdollisten lisävahinkojen estämistä varten. Seravo ilmoittaa sivuston tekniselle yhteyshenkilölle häiriöstä, ja tutkinta aloitetaan tietoturvatutkinnan SLA:n puitteissa.
Kun tutkinta on valmis, sivusto puhdistetaan haittakoodista. Samalla tehdään tarvittavat toimenpiteet tulevien murtojen estämiseksi. Toimenpiteet riippuvat tutkinnassa ilmenneestä murtotavasta. Siivouksen valmistuttua sivusto avataan ja löydökset raportoidaan asiakkaalle.
Mikä on Seravon tietoturvatakuu?
Seravo siivoaa ja palauttaa asiakkaan sivuston toimintaan ilmaiseksi, mikäli sivusto Seravon WP-palvelun ylläpidossa ollessaan murretaan suojauksista ja säännöllisestä päivittämisestä huolimatta. Asiakkaan vastuulla on normaali palvelun huolellinen käyttö sekä hyvästä salasanahygieniasta huolehtiminen.
Seravo ei ole vastuussa, mikäli sivuston tietoturvaongelma johtuu käyttäjän vuotaneesta salasanasta tai itse asennetusta haittaohjelmasta. Seravon kuukausimaksuun ei myöskään sisälly vahingonkorvausvastuuta rikollisen toimista, vaan erillisen tietoturvavakuutuksen voi hankkia vakuutusyhtiöltä niin halutessaan.
Lue lisää tietoturvasta Seravon WP-palvelussa.
Miten tulkita turvaskannauksen tuloksia
Miten tietoturvaskannauksen tuloksia tulkitaan? Nessus on yksi maailman suosituimmista skannereista tietoturvahaavoittuvuuksien tunnistamiseen. Tiedossamme ei tällä hetkellä ole tietoturvahaavoittuvuuksia palvelussamme, jotka olisivat Nessus-skannauksen löydettävissä. Skannaus voi kuitenkin antaa vääriä positiivisia tuloksia.
Esimerkkinä tiedossa olevat Nessus-raporttien varoitukset ja niiden vastineet:
- Strict Transport Security Not Enforced: Tiukempaa HSTS:ää ei voida ottaa käyttöön jokaisella WP-palvelun sivustolla oletuksena, sillä se voi aiheuttaa ongelmia joidenkin sivustojen toimintaan. Oletusarvoisesti WP-palvelusta löytyy HSTS-otsaketieto, ja tätä otsaketta voi halutessaan muokata ja sääntöä tiukentaa. Katso lisätiedot Seravon tietopankista tai kehittäjädokumentaatosta (englanniksi).
- WordPress Administrative Interface Exposed: WordPressiin on mahdollista kirjautua /wp-login.php -tiedoston kautta, ja implikoitu korjaus on uudelleennimetä tiedosto tai /wp-admin -polku. Tämä olisi kuitenkin piilotteluun perustuvaa tietoturvaa, eikä näinollen hyvä tapa ratkaista ongelma, emmekä siksi suosittele niiden uudelleennimeämistä. Seravolla kirjauutumissivun tietoturvasta huolehditaan mm. kirjautumislokien, väsytyshyökkäyssuojauksen (brute force) ja vahvojen salasanakäytäntöjen muodossa. Kirjautumissivun turvallisuutta voi huomattavasti parantaa ottamalla käyttöön reCaptcha-lisäosan ja/tai käyttää kaksivaiheista kirjautumista (2FA).
- WordPress Username Enumeration: Käyttäjänimien tietäminen ei itsessään ole tietoturvariski, vaan salasanojen. Koska Seravon WP-palvelun arkkitehtuurissa väsytyshyökkäyksiä rajoitetaan, käyttäjänimien tietäminen ei helpota hyökkääjien toimintaa. Suosittelemme käyttäjänimien piilottelun sijaan huolehtimaan hyvästä salasanahygieniasta.
- Outdated Component: jQuery: Ilmoitus tarkoittaa, että JavaScript-kirjasto (tässä esimerkissä jQuery 1.x) ei ole viimeisimmässä versiossaan (3.x). Tämä ei välttämättä tarkoita, että kaikissa aiemmissa kirjastoissa olisi tietoturva-aukkoja, ja että vain uusin kirjasto olisi turvallinen. Tällainen haavoittuvuus liittyy sivustovierailijan selaimeen, eikä näin muodosta uhkaa itse sivustoa kohtaan. Ilmoitus johtuu siitä, että WordPressin ydin sisältää jQuery-version joka on tarkoituksella vanhempaa 1.x-sarjaa, sillä vain vanha versio on taaksepäin yhteensopiva tiettyjen vanhojen selainten kanssa, joiden kanssa WordPress haluaa pysyä yhteensopivana. Huomaathan, että kaikilla Seravon ylläpitämillä sivustoilla on oletuksena Access-Control-Allow-Orgin-otsaketiedot, jotka estävät tämän hyökkäystavan.
- Web Server HTTP Header Information Disclosure: Seravo käyttää Nginx-palvelinohjelmistoa! Tieto ei ole salaisuus, eikä myöskään hyödytä hyökkääjää millään tavoin.
- PHP mb_send_mail() Function Parameter Security Bypass: PHP-versiot 4.4.2 ja 5.1.2 sekä aiemmat sisältävät haavoittuvuuden, jotka voivat saada hyökkääjän ohittamaan safe_mode ja open_basedir -rajoitukset. Seravon WP-palvelussa ei ole koskaan ollut käytössä aiempaa versiota kuin PHP 5.6, joten kyseinen ilmoitus ei ole WP-palvelun kannalta relevantti. Tiedot saatavilla olevista PHP-versioista löydät Seravon tietopankista.