Olen törmännyt viime vuosina yhä useammin tilanteisiin, joissa yrityksen tai yhdistyksen nettisivut on hackattu. Ei ole mukavaa herätä aamuun, jossa oma kotisivu näyttää venäläistä kasinoklikkailua tai pahimmassa tapauksessa koko sivusto on kokonaan alhaalla. Tietoturva ei ole pelkästään isojen verkkokauppojen ongelma – pienetkin kotisivut ovat hyökkääjien mielestä kiinnostavia kohteita, sillä niitä voidaan käyttää esimerkiksi roskapostin lähettämiseen tai osana laajempaa hyökkäystä.
Hyvä uutinen on, että suurin osa hakkeroinnista on estettävissä ihan perusjärkevillä toimilla. Ei tarvitse olla tietoturva-asiantuntija, mutta muutama keskeinen asia kannattaa hoitaa kuntoon heti alusta alkaen.
Miksi juuri sinun sivusi olisi kiinnostava kohde?
Monet ajattelevat, että ”minun pienellä sivustollani ei ole mitään arvokasta”. Tämä on yksi suurimmista väärinkäsityksistä tietoturvassa. Hakkerit eivät useinkaan etsi nimenomaan sinun tietojasi – he etsivät heikkoja kohteita, joita voidaan käyttää hyväksi. Yksikin haavoittuvainen sivusto voi olla portti laajempaan palvelimeen tai väline bottiverkon rakentamiseen.
Lisäksi vaikka sivuillasi ei olisi arkaluontoista asiakastietoa, hakkerit voivat käyttää sivustoasi roskapostin lähettämiseen, haittaohjelmien levittämiseen tai SEO-huijausten tekemiseen. Kun Google huomaa tämän, sivustosi voi päätyä mustalle listalle – ja luottamuksen palauttaminen vie viikkoja tai kuukausia.
Salasanat: älä tee tätä virhettä
Ihan ensimmäisenä: vahvat, uniikit salasanat. Tämä kuulostaa itsestäänselvyydeltä, mutta uskomatonta kyllä, ”salasana123” tai ”admin” ovat edelleen käytössä järkyttävän monella sivustolla. Muutama vuosi sitten auttaessani erästä asiakasta sivuston palautuksessa selvisi, että heidän WordPress-ylläpitäjän salasana oli ollut yrityksen nimi + ”2019”. Brutaaliset salasanayritykset (brute force) löysivät sen päivässä.
Käytä vähintään 12-merkkisiä salasanoja, jotka sisältävät isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Vielä parempi: ota käyttöön salasananhallintaohjelma kuten Bitwarden, 1Password tai LastPass. Ne generoivat ja tallentavat vahvat salasanat puolestasi.
Kaksivaiheinen tunnistautuminen on pakollinen
Jos sivustosi hallintapaneelissa ei ole kaksivaiheista tunnistautumista (2FA) käytössä, ota se käyttöön tänään. Tämä tarkoittaa, että pelkän salasanan lisäksi tarvitset vielä koodin esimerkiksi puhelimestasi kirjautuaksesi sisään. Vaikka salasanasi vuotaisi, hyökkääjä ei pääse sisään ilman tuota toista tekijää.
Useimmat alustat ja sisällönhallintajärjestelmät (WordPress, Joomla, Drupal) tukevat 2FA:ta joko suoraan tai lisäosan kautta. Asennukseen menee muutama minuutti, mutta se nostaa turvallisuustasoa merkittävästi.
Päivitykset: tylsää mutta välttämätöntä
Kun sivustollesi ilmestyy ilmoitus päivityksistä, älä sivuuta sitä. Päivitykset sisältävät usein tietoturvakorjauksia tunnettuihin haavoittuvuuksiin. Hyökkääjät skannaavat aktiivisesti nettiä etsien sivustoja, joissa on vanhoja, tunnettuja aukkoja.
Varmista että seuraavat pysyvät ajan tasalla:
– Itse sisällönhallintajärjestelmä (esim. WordPress-ydin)
– Kaikki lisäosat ja laajennukset
– Teema tai sivupohja
– PHP-versio ja palvelinohjelmistot
Automatisointi helpottaa: ota käyttöön automaattiset päivitykset ainakin tietoturvakorjauksille. WordPressissä tämä onnistuu helposti, ja useimmat webhotellit tarjoavat työkaluja tähän.
Varmuuskopiot pelastavat kriisitilanteessa
Vaikka tekisit kaiken oikein, riski on silti olemassa. Siksi säännölliset varmuuskopiot ovat ehdottoman tärkeitä. Niiden avulla saat sivuston palautettua nopeasti, jos pahin tapahtuu.
Hyvä varmuuskopiostrategia:
– Ota varmuuskopiot automaattisesti vähintään kerran viikossa
– Tallenna kopiot erilliseen paikkaan – ei samalle palvelimelle
– Testaa palautus muutaman kuukauden välein (jotta tiedät että se toimii oikeasti)
Monet webhotellitkin tarjoavat automaattisia varmuuskopioita, mutta varmista että sinulla on pääsy niihin tarvittaessa. Itse luotan mieluummin omaan ratkaisuun, jossa kopiot menevät pilvipalveluun.
Turvalliset yhteydet ja SSL-sertifikaatti
Jos sivustosi osoite alkaa vielä ”http://” eikä ”https://”, olet myöhässä. SSL-sertifikaatti (se ”s”-kirjain lopussa) salakirjoittaa liikenteen palvelimen ja käyttäjän välillä. Ilman sitä kaikki tieto kulkee avoimena – mukaan lukien kirjautumissalasanat.
Nykyään SSL-sertifikaatit ovat lähes aina ilmaisia (Let’s Encrypt), joten tekosyitä ei ole. Google myös rankaisee hakutuloksissa sivuja, joilla ei ole HTTPS:ää.
Rajoita kirjautumisyrityksiä
Yksi yksinkertaisimmista suojatavoista on rajoittaa kirjautumisyritysten määrää. Jos joku yrittää väkisin arvata salasanaasi, antaa järjestelmä vain rajallisen määrän yrityksiä ennen kuin IP-osoite estetään väliaikaisesti.
WordPressissä tähän löytyy useita ilmaisia lisäosia (esim. Limit Login Attempts Reloaded). Tämä estää suurimman osan automatisoituja hyökkäyksiä jo lähtökohtaisesti.
Poista turhat lisäosat ja käyttäjät
Mitä enemmän koodia sivustollasi on, sitä enemmän mahdollisia haavoittuvuuksia. Käy läpi kaikki asennetut lisäosat ja teemat – jos et käytä jotain, poista se kokonaan. Sama koskee käyttäjätilejä: onko kaikilla ylläpitäjäoikeuksilla olevilla todella syy niihin?
Muistan tapauksen, jossa entinen työntekijä oli jäänyt ylläpitäjäksi WordPressiin vuosiksi sen jälkeen kun yhteistyö oli päättynyt. Onneksi mitään ei tapahtunut, mutta riski oli turhaan olemassa.
Palomuurit ja turvallisuuslisäosat
Verkkosovelluspalomuuri (WAF) toimii sivustosi ja ulkomaailman välissä suodattaen haitallista liikennettä. Se tunnistaa ja estää yleisimpiä hyökkäystyyppejä automaattisesti.
Suosittuja ratkaisuja ovat esimerkiksi Cloudflare (ilmainen perusversio), Wordfence tai Sucuri. Nämä eivät ole täysin läpäisemättömiä, mutta nostavat kynnystä merkittävästi.
Tietoturva on jatkuva prosessi
Tietoturva ei ole kertaprojekti vaan jatkuvaa ylläpitoa. Tekniikat kehittyvät, uusia haavoittuvuuksia löytyy ja hyökkääjät keksivät uusia keinoja. Tärkeintä on luoda rutiinit: tarkista päivitykset säännöllisesti, seuraa sivuston toimintaa ja pysy ajan tasalla alan uutisista.
Aloita perusasioista: vahvat salasanat, kaksivaiheinen tunnistautuminen, säännölliset päivitykset ja varmuuskopiot. Jo nämä kattavat valtaosan yleisimmistä uhista. Ja muista: parempi estää ongelma etukäteen kuin korjata sen seurauksia jälkikäteen.