Tutustu vinkkeihin, joiden avulla voit parantaa tietoturvaa verkkopalveluissa ja siten pitää huolta tietosuojasta. Tiesitkö muuten, että tämän artikkelin julkaisupäivä 28. tammikuuta on kansainvälinen tietosuojapäivä? 🔒

Kaksivaiheinen tunnistautuminen

Artikkelin vinkit painottuvat etenkin WordPress-pohjaisten sivujen tietoturvan parantamiseen. 

Ennakoi ja varaudu varmuuskopioilla

Vaikka varmuuskopiot eivät suoranaisesti paranna tietoturvaa, niin ne mahdollistavat sivuston palautuksen siltä varalta, että jonain päivänä kaikki ei toimikaan niin kuin pitäisi. 

Vinkit varmuuskopiointiin:

  • Automatisoi varmuuskopiot hoidettavaksi esim. päivittäin tai viikottain.
  • Muista tallentaa tiedostojen lisäksi varmuuskopio tietokannasta. 
  • Huolehdi, että varmuuskopioita on palautettavissa useita eri versioita. 
  • Tallenna varmuuskopiot myös ulkopuoliselle palvelimelle. 

Asiakkailta kuultuja tietoturvaongelmia

”Meidän sivuille on tullut jotain viagra-tekstejä, miten ne saisi pois?”

”Kun yrittää mennä meidän sivuille, niin ne ohjaavatkin johonkin ’Olet voittanut!’ -sivulle.”

”Sivustolla on joku virus! Sivujen tekijä sanoo, että jos ajan päivitykset, niin sitten heidän räätälöimänsä koodi ei välttämättä enää toimi.”

Ongelmien mahdolliset seuraamukset

  • Sivustolla olevat henkilötiedot vuotavat ulkopuolisille.
  • Kävijät ohjautuvat väärälle sivustolle ja/tai näkevät mainoksia.
  • Sivusto levittää haittaohjelmia ja roskapostia.

Viisi yleisvinkkiä tietoturvan parantamiseksi

1. Hoida päivitykset ajan tasalle

Päivitä sivustosi ylläpitojärjestelmä, lisäosat ja teemat säännöllisesti ajan tasalle. WordPress-sivujen päivitykset kannattaa ajaa testiksi ensin kehitysympäristössä, joka on kopio pääsivustasi. Huolehdi myös laitteiden käyttöjärjestelmän, selainten ja muiden sovellusten päivityksistä.

Hoida päivitykset ajan tasalle

2. Poista vanhentuneet ja turhat tiedot

Onko uutiskirjepalvelussa tallessa vanha sähköpostilista, jota et enää tarvitse? Jäikö verkkosivuja kehittäessä palvelimelle vanha sivusto talteen? Onko sivustosi ylläpitäjien joukossa henkilöitä, joiden kanssa et enää tee yhteistyötä? Tarkista ja poista kaikki tarpeeton tieto.

Poista vanhentuneet ja turhat tiedot

3. Muista yksilölliset ja vahvat salasanat

Käytä jokaiseen palveluun yksilöllistä ja vahvaa salasanaa, joka on vähintään 12 merkkiä pitkä, sisältää isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä. Voit käyttää apuna esim. LastPass-, 1Password tai KeePass-ohjelmia salasanojen tallentamiseen.

Muista yksilölliset ja vahvat salasanat

4. Hyödynnä kaksivaiheista tunnistautumista

Suojaa käyttäjätilisi kaksivaiheisella tunnistautumisella, jolloin sinun pitää vahvistaa sisäänkirjautuminen puhelimitse tai sähköpostitse saapuvalla koodilla. Katso esim. WPWoofi.com-sivustolta ohje kaksivaiheisen tunnistautumisen käyttöönottoon WordPress-sivustoille.

Kaksivaiheinen tunnistautuminen

5. Testaa tietoturvaongelmat

Tarkista laitteesi vakoilu- ja haittaohjelmien varalta. Google Search Console -palvelusta löydät raportteja sivustosi mahdollisista tietoturvaongelmista. Katso lisävinkkejä alempaa Testaa tietoturvaa -osiosta.

Miten parantaa WordPress-sivujen tietoturvaa?

Kun yllä olevat tietoturvavinkit ovat osa rutiinia, voit harkita WordPress-sivujesi tietoturvan vahvistamista.

  • Valitse käyttäjätunnukseksi jokin muu kuin admin tai administrator.
  • Luo ylläpitotunnuksia eri käyttöoikeuksilla.
  • Asenna ohjelmistoja ja päivityksiä vain luotetuista lähteistä.
  • Poista kaikki ei-aktiiviset lisäosat ja ylimääräiset teemat.
  • Rajoita kirjautumisyrityksiä asettaen jäähylle vaikka viiden yrityskerran jälkeen.
  • Hyödynnä lomakkeissa Honeypot- ja/tai Captcha-palvelua.

Panosta laadukkaaseen webhotellipalveluun

Käytä laadukasta webhotellipalvelua, jossa on käytössä ajan tasalla olevat php- ja tietokantaversiot. Varmista, että sivustollasi on käytössä SSL-suojattu yhteys. Joissakin webhotellipalveluissa on tarjolla valmiita paketteja, joissa hoidetaan automaattisesti WordPress-sivustojen päivitykset. Jotkut palveluntarjoajat lähettävät automaattisesti sähköpostia, mikäli heidän järjestelmänsä havaitsevat haavoittuvuuksia.

Poistithan vanhat sivut?

Mikäli olet luonut demosivuston eri palvelimelle tai toiseen kansioon, niin muista poistaa se palvelimelta uuden sivuston julkaisun yhteydessä. Testisivuston päivittäminen voi unohtua helposti, mikä voi mahdollistaa ulkopuolisten pääsyn palvelimelle, vaikka pääsivusto olisikin kunnossa. Poista myös kaikki muu ylimääräinen sisältö palvelimelta.

Laita palvelimen asetukset kuntoon

Joissakin webhotellipalvelimissa voit varmistaa, että tiedostoilla ja kansioilla on WordPressin suosittelemat käyttöoikeudet. Yhdelläkään tiedostolla tai kansiolla ei pitäisi olla täysiä 777-oikeuksia.

WordPress tarjoaa ohjeistuksessaan erilaisia vaihtoehtoja, kuten esim. seuraavat määritykset:

  • Kansiot: 755 tai 750
  • Tiedostot: 644 tai 640
  • wp-config.php: 600, 400 tai 440.
  • .htaccess: 644 tai 604

Huomio, että yllä olevat WordPressin ohjeistukset voivat poiketa eri webhotellipalveluntarjoajien palvelinmäärityksistä, joten kannattaa aina tarkistaa heidän ohjeistukset.

Hyödynnä tietoturvalisäosia harkiten

WordPressin tietoturvaan liittyvät lisäosat voivat auttaa mm.

  • palomuurin asennuksessa,
  • sisäänkirjautumisosoitteen muuttamisessa,
  • tietoturva-aukkojen etsinnässä,
  • väsytyshyökkäysten torjunnassa,
  • käyttäjien estolistojen käytössä,
  • sisäänkirjautumisyritysten rajoituksessa.

Esimerkkejä tietoturvalisäosista ovat mm. WordFence, Sucuri ja Malcare. Huomio, että tietoturvalisäosat voivat olla palvelimelle raskaita hidastaen sivustoa. Myös ne saattavat päivittämättöminä sisältää tietoturva-aukkoja. Jos epäilet, että sivustollasi on haavoittuvuuksia, voi tietoturvalisäosista olla apua niiden paikantamiseen.

Sisällönjakeluverkot avuksi hyökkästen torjuntaan

Sisällönjakeluverkot (Content delivery network, CDN) hajauttavat verkkosivuston ympäri maailmaa eri välityspalvelimille. Niitä käyttäessä verkkosivun ladattava sisältö ei tulekaan yhdeltä tietyltä palvelimelta, vaan mahdollisesti useasta eri lähteestä. Sisällönjakopalvelun ohella esim. Cloudflare tarjoaa turvaa palvelunestohyökkäyksiltä.

Testaa sivustosi tietoturvaa

Testaa verkkosivusi tietoturvaa säännöllisesti, jotta voit löytää ja korjata mahdolliset ongelmat nopeasti. Googlen toteuttama Lighthouse-työkalu antaa mahdollisuuden Chrome-selaimessa havaita esim. sivuston vanhentuneet Javascript-kirjastot.

Google Search Consolesta löytyy osio ”Tietoturva ja manuaaliset toimenpiteet” ja sen alta ”Tietoturvaongelmat”. Jos sivustollasi on haavoittuvuuksia, niin Google ilmoittaa asiasta hakutuloksissa ja voi pudottaa sivusi näkyvistä, mikäli ongelmaa ei korjata. Katso esimerkkejä Google Search Centralin julkaisemasta koulutusvideosta YouTubessa: ”Security issues report in Search Console – Google Search Console Training”.

Useiden WordPress-sivujen hallinnointityökalu ManageWP tarjoaa myös tietoturvan tarkastusta. HTTP-otsikoiden (HTTP Headers) riittävän tietoturvan tarkistukseen sopivat esim. Securityheaders.com ja Mozillan Observatory.

Muita testejä

Yhteenveto tietoturvavinkeistä

  • Teetä varmuuskopiot säännöllisesti.
  • Aseta kaikille vahvat salasanat ja ylläpitäjäoikeudet vain harvoille.
  • Hoida päivitykset säännöllisesti: käyttöjärjestelmät, ohjelmistot, WordPress, lisäosat ja teemat.
  • Asenna ohjelmistot vain tunnetuilta ja luotetuilta sivustoilta.
  • Poista käyttämättömät lisäosat ja teemat.
  • Valitse laadukas webhotellipalvelu ja SSL-suojaus.
  • Ota käyttöön Cloudflare-sisällönjakeluverkko.
  • Hyödynnä kaksivaiheinen tunnistautuminen ja Captcha/Honeypot-tarkistus.
  • Tarkista tiedostojen ja kansioiden käyttöoikeudet.
  • Lisää tarvittaessa tietoturva-asetuksia .htaccess ja wp-config.php-tiedostoihin.
  • Tee palautumissuunnitelma ongelmatilanteiden varalle.
  • Selvitä kuka voi auttaa, jos oma osaaminen ei riitä.
  • Testaa ja seuraa sivustoasi, niin havaitset poikkeukset ajoissa.


Lähteiden linkit on viimeksi tarkistettu 9.9.2021 ja ovat voineet muuttua sen jälkeen.


Tykkäsitkö sisällöstä? Voit jakaa sivun eteenpäin:

Facebook Twitter LinkedIn

Tietoa kirjoittajasta

Heidi Valtonen (FM, medianomi AMK) on Vida Design Oy:n yrittäjä, joka innostuu uusien asioiden oppimisesta. Halu tehdä asioita oikein on saanut Heidin uppoutumaan niin verkkosivujen evästeiden kuin saavutettavuus­vaatimusten maailmaan. Lue lisää Heidistä.

Heidi Valtonen

Samankaltaiset artikkelit