Olet varmasti törmännyt jollain tutulla verkkosivustolla viagramainoksiin, goatsekuviin tai muihin hakkereiden aikaansaannoksiin. Miten tällaiset hakkeroinnit vaikuttavat yrityksen brändiin? Kuinka hakkeroinneilta vältytään ja miten verkkosivuston tietoturvasta pidetään huolta?
Keskustelemme säännöllisesti asiakkaidemme kanssa sivustojen tietoturvasta ja niihin liittyvistä ylläpitopalveluista. Suurin osa asiakkaista ei koe tietoturvaa ja ylläpitopalveluita tarpeellisena, vaikka kyse on parhaimmillaan kuukausitasolla vain kymmenistä euroista. Ylläpitopalveluiden merkitystä laiminlyödään verkkosivustojen ominaisuutena, koska ne eivät tuo lisäarvoa (lue: näkyvää muutosta) verkkosivustolle. Lauseessa on viisauden siemen, koska ylläpitopalveluiden pääasiallinen tarkoitus on pitää järjestelmät ajan tasalla säännöllisillä päivityksillä ja sen avulla estää esimerkiksi ulkopuoliset hyökkäykset sivustolle. Palveluiden lopullinen idea on siis pyrkiä pitämään sivusto muuttumattomana – niin hassulta kuin se kuulostaakin
Automaattiset WordPress-päivitykset
Monet ovat varmasti huomanneet miten WordPressistä löytyneistä tietoturva-aukoista uutisoidaan ja kuinka suuria peikkoja niistä kasvatetaan. Tietoturva-aukkoja löydetään aika ajoin, mutta ne korjataan nopeilla tietoturvapäivityksillä ennen kuin hakkerit pääsevät niitä hyödyntämään. Mikäli sivuston ylläpitäjä on laiminlyönyt päivityksiä ja ydinkoodi on vanhaa, silloin myöskään kaikkia tietoturvapäivityksiä ei ajeta automaattisesti. Tällöin sivusto on todellisessa vaarassa ulkopuolisille hyökkäyksille. Myöskään sivustoilla käytettäviä lisäosia ei päivitetä aina automaattisesti, vaan siihen pätee samat säännöt kuin WordPressin ydinkoodin päivitykseen – isommat päivitykset on tehtävä manuaalisesti.
Onko verkkosivuston järjestelmää tarvetta päivittää säännöllisesti?
Nyrkkisääntönä voidaan pitää, että mitä arvokkaampi asiakkaan sivusto ja brändi on, sitä tärkeämpää on investoida digitaalisten palveluiden käyttäjäkokemukseen ja turvallisuuteen. Mikäli käyttäjä kokee sivuston käytettävyyden huonoksi tai selain varoittaa tietoturvaongelmista, voi sivustolla vierailu hyvin todennäköisesti jäädä viimeiseksi. Käyttäjätietojen kerääminen sivustolla (esimerkiksi yhteystietolomakkeet) ja niiden mahdollinen vuotaminen ulkopuolisille tahoille edustaa jäävuoren huippua tässä keskustelussa.
Teknologiasta tietämättömille käyttäjille mikä tahansa selaimen ylimääräinen varoitus on iso punainen lakana
Internetin käyttö Googlen ja muiden suurten toimijoiden ajamana suuntautuu jatkuvasti turvallisempaan verkon käyttöön. Hyvänä esimerkkinä on suojattujen sivustojen (https) ja mobiilioptimoitujen sivustojen suosiminen Googlen hakutuloksissa. Myös modernit selaimet varoittavat sivustoista, joilla on kirjautumislomakkeita ilman SSL-sertifikaattia (https; vihreä lukko osoitepalkissa). Teknologiasta tietämättömille käyttäjille mikä tahansa selaimen ylimääräinen varoitus on iso punainen lakana sivuston käytön suhteen. Mikä tahansa merkki sivuston vaarallisuudesta saa suurimman osan käyttäjistä siirtymään pois sivustolta seuraavaan Googlen hakutulokseen, joka on todennäköisesti juuri se yrityksen pahin kilpailija markkinoilla.
Vanha koodi painolastina
Joissain tapauksissa asiakkaan web-hotellista saattaa löytyä myös ylimääräistä painolastia, esimerkiksi vanhoja kampanjoita tai käyttämättömiä järjestelmiä, jotka vaarantavat tietoturvaa entisestään. Käytännössä mitä vanhempaa koodia web-hotelli sisältää, sitä helpompi kohde se ulkopuolisille on. Näissä tapauksissa ei riitä pelkästään WordPressin päivitykset, koska pääsy tiedostojärjestelmään (ja sitä kautta myös WordPressin järjestelmään) on muualla kuin varsinaisella verkkosivustolla. Aika ajoin on hyvä varmistaa mitä sivusto on niellyt sisäänsä, tunnistaa sen kautta mahdolliset vaaran paikat ja minimoida riskit.
Minkälainen ylläpitopalvelu on hyvä juuri teille?
Ylläpitopalvelut suunnitellaan asiakaskohtaisesti jokaisen omien tarpeiden mukaisesti. Kuukausitasolla kulut voivat olla muutamia euroja ja skaalan toisessa päässä kymmeniä tai satoja euroja – riippuen sivuston ja sen toiminnallisuuksien määrästä. Joillekin asiakkaille ylläpitopalvelut ovat ehdoton valintakriteeri ja toisille vain ylimääräinen kustannuserä. Yleensä vaihtoehtona ovat joko automaattiset kuukausittaiset päivitykset järjestelmiin tai sitten päivitysten ajaminen esimerkiksi kerran kahdessa kuukaudessa – asiakkaan toiveiden ja tarpeiden mukaan.
Sivustojen suorituskykyä sekä päivityksiä laiminlyödään todella pahasti.
Web-hotellin tai palvelimen palveluntarjoajan valinnasta on tullut viimeisen vuoden aikana ehkä kriittisin osa-alue järjestelmien säännöllisten päivitysten kannalta. Osa suomalaisista palveluntarjoajista on jäänyt teknologisesta kehityksestä jälkeen ja sivustojen suorituskykyä sekä päivityksiä laiminlyödään todella pahasti. Systemaattisesti olemme pyrkineet siirtämään asiakkaiden järjestelmiä sellaisten yhteistyökumppaneidemme palvelimille, jotka olemme todenneet pitkän yhteistyön tuloksena erittäin kannattaviksi. Sivustonne ylläpitopalveluiden laajuus ja sisältö riippuu siis paljolti myös nykyisestä palveluntarjoajastanne.
Vanhojen järjestelmien siirto palveluntarjoajalta toiselle
“Ei oo tarvetta siirtää sivustoa, ollaan tyytyväisiä nykyiseen ratkaisuun” tai “On tää ennenki toiminu” ovat yleisiä vastauksia kysyttäessä asiakkaalta järjestelmien siirrosta palveluntarjoajalta toiselle. Riskienhallinnan kannalta verkkosivuston siirto tehokkaampaan ja turvallisempaan palvelinympäristöön on monesti kuitenkin suositeltavaa. Järjestelmien siirto tuo aina ylimääräistä päänvaivaa asiakkaalle, varsinkin jos toimenpide sisältää myös sähköpostilaatikkojen siirron, mutta kokonaiskuvan parantamiseksi se on usein silti kannattavaa ja suositeltavaa. Kun asiakas ymmärtää toimenpiteen hyödyt ja siirto on tehty, loppukommentit ovat pitkässä juoksussa vain positiivisia. Palveluntarjoajan vaihtaminen laadukkaampaan edistää sivuston käyttökokemusta parantuneen suorituskyvyn ja automaattisten päivitysten ansiosta.
Tietoturvan ylläpito – 3 kultaista sääntöä:
Tämän tietoturvavalistuksen voimme summata kolmeen kultaiseen sääntöön. Pidä huoli näistä, ja verkkosivustosi tietoturva-asiat ovat jo hyvällä mallilla: