Est. 2007
Turenki | FI
60°55’51.0”N
24°38’26.9”E

Turvalliset
nettisivut

Turvalliset nettisivut toimivat ongelmitta, herättävät luottamusta käyttäjässä ja viestivät siitä, että sinne uskaltaa jättää henkilökohtaisia tietoja tai tehdä ostoksia. Hyvät varmuuskopiot takaavat, että ongelmien sattuessa päästään nopeasti takaisin jaloilleen.


Käytännössä kaikki nettisivustot ovat hyökkäysten kohteena, myös pienet sivustot. Tämä johtuu siitä, että haittaohjelmat toimivat automaattisesti. Ne etsivät tunnettuja haavoittuvuuksia vanhentuneista ohjelmistoista ja käyttävät niitä hyödyksi tunkeutuessaan sivuille.

Hakkeroidut sivut eivät välttämättä näy päällepäin mitenkään. Sivuilta voidaan varastaa käyttäjien syöttämiä tietoja tai palvelinta voidaan käyttää vääriin tarkoituksiin. Saastuneet sivut saattavat joutuva hakukoneiden mustalle listalle ja pudota merkittävästi hakutuloksissa.

Muutamista perusasioista huolehtimalla päästään jo hyvin alkuun ja poistetaan suurimmat turvallisuuden uhat. Nettisivujen turvallisuus ja suojaus ovat asioita, joita tulee miettiä jo sivuja rakentaessa, mutta pitää myös mielessä koko sivujen elinkaaren ajan.

SSL

Nettisivujen liikenne käyttäjän ja palvelimen välillä tulee olla salattua. Tämä on erityisen tärkeää, jos sivujen käyttäjä joutuu syöttämään tietoa sivuille, kuten henkilötietoja, käyttäjätunnuksia tai luottokorttitietoja.

Suojattu yhteys saadaan hankkimalla sivuille SSL-sertifikaatti. Suojatun yhteyden merkkinä sivuilla kävijälle on osoitteen edessä on lukon kuva. Samoin suojatun yhteyden osoite alkaa HTTPS:llä, ei HTTP:llä.

Myös Google on ilmoittanut, että suojatun yhteyden käyttäminen vaikuttaa positiivisesti hakutuloksiin. Suojaamattoman yhteyden vaikutus tuloksiin on päinvastainen.

Päivitetty ohjelmisto

Vanhentunut ohjelmisto on yksi nettisivujen suurimmista turvallisuusriskeistä. Hyökkäykset sivustoja kohtaan ovat automaattisia ja niissä pyritään etsimään tunnettuja aukkoja ohjelmistoissa.

Ohjelmistojen päivityksistä tulee huolehtia säännöllisesti niin nettisivuilla kuin palvelimillakin. Ajantasaiset ohjelmistopäivitykset paikkaavat pahimmat aukot ja pienentävät merkittävästi haavoittuvuutta.

WordPress on suosituin sisällönhallintaohjelma, joka on yleensä turvallinen niin kauan kuin ohjelmisto pidetään ajantasalla. Tämä koskee myös WordPressiin asennettuja lisäosia. Näiden kohdalla tuleekin noudattaa erityistä varovaisuutta, jotta käytetään vain laadukkaita ja turvallisia lisäosia.

Vahvat salasanat

Vahvat salasanat ovat turvallisuuden perusasioita, mutta yleisimmin laiminlyöty asia. Tavallisin virhe on käyttää helposti arvattavaa salasanaa useissa eri palveluissa. Kun yksi palvelu vuotaa tunnukset, on hakkereilla helppoa kokeilla samoja tunnuksia toisiin palveluihin.

Hyvä salasana on niin pitkä ja monimutkianen, että sitä on vaikea muistaa ulkoa. Salasanat tulisi myös vaihtaa säännöllisesti.

Salasanojen hallintaan suunnitellut ohjelmat tekevät vahvan ja yksilöllisen salasanan luonnista helppoa. Hyviä ohjelmia ovat mm. 1Password, Last Pass tai vaikka Applen Keychain. Nämä ohjelmat osaavat myös varoittaa vuotaineista tunnuksista automaattisesti.

Vahvojen salasanojen lisäksi tulisi käyttää kaksi vaiheista todennusta (2FA). Salasanan lisäksi kysytään siis jotain muuta tietoa, jolla käyttäjä vahvistetaan. Tällainen tieto voi olla autentikointiohjelman luoma koodi, joka vaihtuu 30 sekunnin välein. Myös käyttäjän puhelinnumeroon lähetettyä koodia käytetään paljon, mutta menetelmää ei pidetä kovin turvallisena.

Käyttöoikeudet

Suurin osa nettisivujen ongelmista on ihmisten omien virheiden aiheuttamia. Tämän takia on tärkeää hallita käyttöoikeuksia sivujen palvelimille ja sisällönhallintaan.

Varsinkin suuremmilla sivustoilla on tärkeä miettiä, kenellä on pääsy sivujen hallintaan ja millä oikeuksilla. Työntekijä liian suurilla valtuuksilla voi tietämättään heikentää turvallisuutta tai aiheuttaa sivustolla vahinkoa. Esimerkiksi sisällön tuottajan ei tarvitse päästä käsiksi sivuston koodiin ja asetuksiin.

Työntekijöille tulisi pyrkiä antamaan minimaaliset käyttöoikeudet, joilla tehtävä saadaan suoritettua. Tunnukset voidaan myöntää määräajaksi ja turhat käyttäjät tulee poistaa. Sama pätee niin yrityksen omiin työntekijöihin kuin ulkopuolisiin konsultteihinkin.

Kaikilla käyttäjillä tulisi olla henkilökohtaiset tunnukset. Yleistunnuksia on erittäin vaikea valvoa ja käyttöoikeuksia ei voida määritellä tarkasti.

Varmuuskopiot

Hyvät varmuuskopiot tuovat mielenrauhaa ja takaavat, että sivut saadaan nopeasti toimimaan sivujen kaatumisen tai saastumisen seurauksena.

Varmuuskopiot tulevat myös tarpeeseen kun sivustolta poistetaan jotain tietoa epähuomiossa tai asennetaan haitallinen lisäosa. Hyvien varmuuskopioiden avulla sivusto voidaan palauttaa nopeasti edelliseen toimivaan versioon.

Samalla palvelimella sijaitsevat varmuuskopiot eivät ole varmuuskopioita. Saastuneet sivut voivat vioittaa muitakin sivuja samalla palvelimella, joten varmuuskopion tulee sijaita aina fyysisesti eri paikassa.

Varmuuskopioiden tulee tapahtua automaattisesti. Kopiointiaikataulu määritellään sivuston päivitystiheyden mukaan. Mitä aktiivisemmin sivustoa päivitetään, sitä tiheämpi on varmuuskopioinnin aikataulu.

Varmuuskopioiden toimivuus tulisi testata säännöllisesti. Kriisitilanteessa on liian myöhäistä todeta, että varmuuskopiot eivät palaudukaan ongelmitta.