WordPressistä on puhuttu viimepäivinä ihan valtakunnan lehdistössäkin. Uutiset eivät ole olleet täysin positiivisia, totta varmaankin mutta myös hyvin suppeasti kirjoitettuja. Asiaa paremmin tuntemattomalle näistä uutisista on voinut syntyä vaikutelma, että vika olisi WordPressissä ja ettei se olisi turvallinen. Tehdäänpä nyt heti ensimmäiseksi selväksi yksi asia.
Jokainen verkossa oleva tietojärjestelmä on altis murroille eikä täysin murtamatonta järjestelmää ole olemassakaan!
Järjestelmän tietoturva on aina jollain tasolla avoimen ja vaikeasti murrettavan välillä. Turvalliseksi ja aukottomaksikin mainostetut ovat sitä vain kunnes jokin uusi turva-aukko löydetään ja julkaistaan. Päivittämisen ja järjestelmän hyvän ylläpidon tarkoituksena on pitää järjestelmä aina niin turvallisena kuin se sen hetkisillä tiedoilla ja versioilla on mahdollista. Mikä tahansa järjestelmä muuttuu turvattomaksi ellei sitä pidetä ajantasaisena.
WordPressin kehittäjäyhteisö ja organisaatio reagoi hyvin nopeasti ilmenneisiin tietoturva-aukkoihin. Tämä on tärkeää sillä yleisenä ja paljonkäytettynä järjestelmänä WordPress on myös suosittu murtoyritysten kohde. Tarjolla onkin automatisoituja skriptihyökkäyksiä, jotka kokeilevat tunnettuja tietoturva-aukkoja löytämistään WordPress-sivustoista. Tällaiset skriptit tulevat aina hieman löydettyjen turva-aukkojen jäljessä, joten oma sivusto on syytä päivittää ennen kuin turva-aukko tulee riittävän yleiseen tietoon. Todellisten krakkereiden hyökkäyksien torjunta onkin sitten lähes mahdotonta. Esimerkkinä se, että taatusti tietoturvaan vakavasti suhtautuvien organisaatioiden palvelimille on päästy murtautumaan. Tällaisia ovat useat pankit, suuryritykset, NASA ja NSA. Näihin kohdistuneihin iskuihin on luonnollisesti eri syyt kuin murtautua yksityisen ihmisen blogiin tai tavallisille yrityssivustoille. Siten myös tietoturvan taso mitataan eri skaalassa. Vaikka jokainen järjestelmä on murrettavissa kannattaa se tehdä niin hankalaksi kuin se kohtuudella voidaan tehdä.
Mitä kuuluu hyvää WordPress hallinnointiin?
WordPressin turvallisuus alkaa asennuksesta. Mainostettu 5 minuutin oletusasennus on helppo ja nopea. Eikä siinä sinänsä ole mitään väärää mutta oletusarvoihin jättäytyminen jättää sivuston turvan sille ”minimitasolle” joka oletuksena tulee. Asennuksen tekeminen oikeaoppisesti tuo lisäturvaa ja helpottaa myöhempää hallinnointia. Varmistusten ottaminen ja jopa sivuston uuden version asentaminen on helpompaa kun asennus on alunperin suunniteltu ja tehty oikein.
Asennuksen jälkeen on tehtävissä useitakin lisäoperaatioita, joilla voidaan parantaa järjestelmän turvallisuutta. Tällaisilla toimilla voidaan rajoittaa tiedostojen käyttöoikeuksia ja esimerkiksi minimoida vahinkoja mahdollisen murtoyrityksen onnistuessa.
WordPress on järjestelmänä kokonaisuus joka muodostuu WordPressin tarjoamasta alustasta ja siihen asennetuista lisäosista ja teemoista. Turvallisuuden kannalta on ratkaisevaa se miten tämä kokonaisuus toimii. Lisäosien valinta ja asentaminen tulee tehdä vain turvallisiksi tunnetuista lähteistä. Lisäksi on huolehdittava aktivoitujen lisäosien päivittämisestä. Järjestelmän turvallisuuteen vaikuttaa myös käyttäjähallinta, kirjautumismenetelmät ja käyttäjille annetut roolit.
Näinä aikoina on turha syyttää järjestelmää ellei itse käytä sitä oikein.
Varmuuskopiointi
Sivustosta on syytä ottaa säännöllisesti varmuuskopiot. Vaikka sivustolle ei murtauduttaisikaan antaa se suojaa myös käyttäjävirheille tai väärin toimivia lisäosia vastaan. On aina helpompaa palauttaa sivusto ajantsaiselta varmuuskopiolta kuin lähteä käsin parsimaan kokoon rikkoutunutta sivustoa. Varmuuskopioiden ottaminen voidaa tehdä manuaalisesti tai se voidaan automatisoida. Varmistukset voidaan ohjata haluttuun tallennustilaan, myös pilvitallennustilaan. Kaikki tämä on syytä suunnitella ja dokumentoida sivuston tulevan ylläpidon helpottamiseksi.
Miten Corellia voi auttaa?
Corellia on lisännyt kurssitarjontaansa WordPressin asennukseen ja hallinnointiin keskittyvän yksipäiväisen koulutuksen – WordPress asennus ja hallinta.
Kurssi on tekninen mutta asiat käsitellään tavalla, jolla ne ovat omaksuttavissa vaikka ei olisikaan verkkoasiantuntija. Kurssilla käsitellään WordPressin oikeaoppinen asentaminen, asennuksen jälkeiset turvaamistoimet, järjestelmän ylläpito ja päivitykset sekä sivuston toiminnan tehostamista.
Corellia voi myös auttaa katselmoimalla asiakkaan sivuston ja antamalla ohjeistuksen suositelluista tietoturvatoimista, joilla sivuston turvallisuutta ja toimintaa voidaan parantaa. Koska Corellia ei pelkästään kouluta vaan myös toteuttaa, voimme auttaa käytännön tasolla; asennuksissa, ylläpidon suunnittelussa ja jopa murretun sivuston korjaamisessa. Tarvittaessa vastaan suoriin sähköpostitiedusteluihin osoitteessa kari@corellia.fi. Voit myös käyttää yhteydenottolomakettamme – Yhteydenotto.