Viimeaikaiset tapahtumat herättävät ymmärrettävästi kysymyksiä ja huolta liittyen hybridivaikuttamiseen ja sitä kautta myös sivustojen tietoturvaan. Tapahtumat ovat myös näkyneet lisääntyneinä kysymyksinä koskien palvelussamme sijaitsevien sivustojen tietoturvaa, saatavuutta ja tietomurtoja.
Vaikka maailmanlaajuisesti palveluhyökkäykset ovatkin arkipäivää, myös Seravon WP-palvelussa on havaittu palvelunestohyökkäysten määrän kasvaneen merkittävästi Venäjän hyökättyä Ukrainaan. Aiempi blogikirjoituksemme kertoo, mitä palvelunestohyökkäykset ovat, ja miten niiltä suojaudutaan.
WP-palvelussa tietoturvasta on huolehdittu monin eri tavoin, mutta pienillä toimilla voit WordPress-käyttäjänä myös itse vaikuttaa siihen, miten hyvin sivustosi on turvassa tietomurroilta.
Miten Seravo suojaa WordPress-sivustoja?
Seravo huolehtii kaikkien asiakkaidensa WordPress-sivustojen toimivuudesta ja tietoturvasta. Viime aikoina tekemiemme toimenpiteiden ansiosta WP-palvelu on aiempaa vikasietoisempi. Erityisesti palvelinsalioperaattoreiden suojat hajautettuja DDoS- eli palvelunestohyökkäyksiä vastaan ovat avainasemassa sivustojen saatavuuden varmistamisessa. Sivuston saatavuuden ja palvelimien tilan voit aina tarkistaa erilliseltä statussivustolta, osoitteesta status.seravo.com.
Seravon tietoturvatakuu
Seravon WP-palvelussa on myös voimassa tietoturvatakuu: jos sivusto palvelussamme ollessaan joutuu suojauksistamme huolimatta murron kohteeksi, puhdistetaan se mahdollisesta haitallisesta koodista ja palautetaan toimintaan – ilman eri maksua. Jokainen sivusto skannataan päivittäin haittakoodin ja muiden tietoturvauhkien tunnistamiseksi. Sivuston tietoturvatutkinnan palvelutaso riippuu palvelupaketin tasosta. Tasot ovat seuraavat:
- WP Pro, WP Business (ja valikoimasta poistunut WP Mini): seuraava arkipäivä
- WP Corporate ja WP Enterprise: neljä tuntia
Kaikki palvelupakettien ominaisuudet ja eroavaisuudet löytyvät hinnastostamme.
Kriittiset tietoturvapäivitykset viipymättä
WordPressin ja sen lisäosien päivitykset voivat toisinaan aiheuttaa tilanteita, joissa kaikki ei toimi odotetusti. Etenkin isot harppaukset uudempiin versioihin voivat haitata sivuston toimintaa, pahimmassa tapauksessa niin, että sivustolle ei pääse.
Automaattinen päivitysjärjestelmämme testaa päivitykset ennen niiden tekemistä WordPress-sivustollesi, jotta voidaan varmistua siitä, että sivustosi toimii ja pysyy saatavilla jatkuvasti. Poikkeuksena näihin päivityksiin ovat kriittiset tietoturvapäivitykset, jotka asennetaan Seravon WP-palvelussa sivustollesi aina viipymättä. Tietoturvapäivitykset ovat tyypillisesti pieniä mutta sitäkin tärkeämpiä päivityksiä, eikä niistä koidu haittaa sivuston muulle toiminnalle.
Sivustosi päivitysten sekä tietoturvatarkistusten tilannetta ja historiaa voit tarkastella esimerkiksi lokitietojen avulla.
Varmuuskopiot
Jokainen palvelustamme löytyvä sivusto varmuuskopioidaan automaattisesti joka päivä. Varmuuskopion avulla sivusto voidaan palauttaa nopeastikin toimintaan aiempaan tilaan, jos sivuston toiminnassa havaitaan jokin ongelma. WP-palvelussa ei siis ole vaaraa siitä, että tunkeutuja pääsisi kirjautumaan sivustolle ja poistamaan tärkeitä tietoja.
Mitä WordPress-sivuston suojaamiseksi voi tehdä itse?
Mitä omalla WordPress-sivustolla kannattaa tehdä, jotta sivuston turvallisuus ja toimintavarmuus olisi mahdollisimman korkealla tasolla? Näillä nopeilla toimilla saat parannettua sivustosi tietoturvaa!
Huolehdi salasanoista
Yleisin syy WordPress-sivustojen tietomurtoon on liian heikko tai huonosti säilytetty salasana. Tärkeintä onkin siis huolehtia, että kaikilla WordPress-käyttäjillä on käytössä tarpeeksi vahva salasana. Seravolla käytetyt SSH-salasanat ovat aina vahvoja, eikä WordPress-tunnusten yhteydessä ole mahdollista asettaa käyttöön salasanaa, joka olisi aivan liian helppo arvattavaksi. Voit lukea lisää salasanojen suojaamisesta Seravon aiemmasta blogikirjoituksesta.
Seravon WP-palvelussa käytössä olevasta Seravo Pluginista löydät toiminnon, jolla voit tarkistaa, onko yhdellekään WordPress-sivustosi käyttäjätunnukselle asetettu liian heikko salasana:
$ wp-check-passwords
Seravo Plugin – Tietoturva
Jos et halua käyttää komentoriviä, saman toiminnallisuuden – ja monta muuta sivustosi tietoturvaan liittyvää asetusta – löydät myös WordPressin ohjauspaneelista Seravo Pluginin työkaluista. Kirjaudu vain sisään sivustollesi ja etsi valikosta Työkalut > Tietoturva. Lisätietoja ja lisää käytössä olevia komentoja löydät Seravon kehittäjäohjeista, seravo.com/docs.
Lue lisää Seravo Pluginista ja tietoturva-asetuksista Seravon tietopankista.
Kaksivaiheinen kirjautuminen WordPressille
Sisäänkirjautumisen tietoturvaa voi parantaa myös käyttämällä mahdollisuuksien mukaan kaksivaiheista kirjautumista, eli sisäänkirjautuminen vahvistetaan erillisen koodin avulla. Sen käyttöönotto on verrattain helppo toimenpide, ja parantaa sivustosi tietoturvaa huomattavasti. Lue lisää ohjeistamme, miten voit ottaa kaksivaiheisen kirjautumisen käyttöön WordPress-sivustollasi!
Yleisimmät WordPressin tietoturvaa koskevat kysymykset
Olemme koostaneet erillisen sivun teknisemmistä tietoturvaa koskevista kysymyksistä, ”Usein kysyttyä tietoturvasta”. Tältä sivulta löydät lisätietoja koskien esimerkiksi WordPress-sivustojen tietoturva-auditointia, palvelinten kuormantasausta ja Seravon tietoturvatakuuta. Jos sinulla on kysyttävää sivustosi tietoturvaa tai mitä tahansa muuta koskien, tai haluat suorittaa sivustollesi ulkopuolisen tietoturvaskannauksen, otathan yhteyttä asiakaspalveluumme sähköpostitse, help@seravo.com.
Lisää ohjeita WordPress-tietoturvan parantamiseksi
Voit myös tarkistaa itse sivustosi eheyden ja parantaa sen tietoturvaa muutamalla lisätoimella. Tähänkin löydät ohjeet Seravon tietopankista!