Verkkosivustot & muu digi|

Miten parantaa sivuston tietoturvaa?

Sivuston hyvä tietoturva on tärkeää niin yrityksen, kuin sen asiakkaidenkin takia. Yrityksen kannalta on tärkeää, että sivusto toimii ja on aina asiakkaiden saatavilla. Asiakkaiden ja yrityksen henkilöstön kannalta on tärkeää, että henkilötiedot ja muut arkaluontoiset tiedot pysyvät salassa.

Viime aikoina uutisissa korostunut termi kyberhyökkäys on herättänyt yhä enemmän mielenkiintoa tietoturva-asioihin. Sivustojen osalta hakkeroinnin uhka on toki todellinen, ja on ollut niin kauan kuin www-sivuja on ollut olemassa. Mitä sivuston ylläpitäjän tulisi huomioida parantaakseen sivustonsa tietoturvaa?

1. SSL-suojaus

Sivuston suojaaminen SSL-sertifikaatilla tuo turvaa sivuston käyttäjille. SSL-salaus suojaa tietoliikenteen palvelimen ja käyttäjän selaimen välillä, mikä estää ulkopuolisia lukemasta tai muokkaamasta palvelimen ja käyttäjän välillä siirrettävää tietoa.

SSL-suojauksen tunnistaa siitä, että selaimen osoiterivin alussa lukee https:// pelkän http:// sijaan. Useimmat selaimet nykyään myös varoittavat käyttäjää suojaamattomista sivustoista.

Suojauksen lisäksi on huolehdittava, että sivuston osoite ohjaa aina suojattuun osoitteeseen, eikä käyttäjä vahingossa päädy suojaamattomaan http-osoitteeseen.

2. Versiopäivitykset

Kaikki sivustoon liittyvät järjestelmät on hyvä pitää ajan tasalla. Näitä ovat esimerkiksi palvelimen PHP-versio sekä sivuston julkaisujärjestelmä ja sen lisäosat.

Uudet versiot sisältävät usein tietoturvakorjauksia, jotka korjaavat tiedossa olevat haavoittuvuudet. Esimerkiksi vanhentunut lisäosa saattaa sisältää tietoturva-aukon, joka tarjoaa hyökkääjille väylän päästä murtautumaan sivustolle.

3. Luotettava palvelin

Hyvän palvelimen valintaan kannattaa panostaa tietoturvankin takia. Luotettavan palvelimen tarjoajan tunnistaa mm. näistä ominaisuuksista:

  • palvelimella on tuki SSL-suojaukselle
  • palvelimen järjestelmät ovat ajan tasalla ja niihin tehdään säännöllisesti päivityksiä
  • palvelimella on automaattinen varmuuskopiointi
  • asiakaspalveluun saa helposti yhteyden

4. Vahvat salasanat

Kaikkiin sivustoon liittyviin järjestelmiin on tärkeää luoda vahvat salasanat, jotta murtautujan olisi mahdollisimman vaikeaa arvata niitä. Unohdetaan siis heti “password1234”.

Salasanaan kannattaa yhdistellä isoja kirjaimia, numeroita ja erikoismerkkejä. Mahdollisimman pitkän ja muistettavan salasanasta saa yhdistelemällä siihen monta sanaa erikoismerkkien kera. Hyvä apu ovat myös salasanageneraattorit, kuten F-Securen Vahva salasanageneraattori.

Jokaiseen palveluun tulisi lisäksi luoda täysin eri salasana. Kymmenien tai satojen monimutkaisten salasanojen tallettaminen onkin ihan oma juttunsa. Tähän hyvä apu ovat salasanaohjelmat (esimerkiksi Enpass), joihin salasanat saa helposti talteen.

5. Automaattinen varmuuskopiointi

Jos pahin kuitenkin tapahtuu, yksi tapa selvitä hakkeroidusta sivustosta on poistaa se ja palauttaa viimeisimmästä varmuuskopiosta sivusto alkuperäiseen tilaansa. Päivittäinen varmuuskopiointi on siis hyvä keino varautua mahdollisiin sivustoon kohdistuviin hyökkäyksiin.

Tärkeää on myös selvittää mistä hyökkääjä alun perin pääsi läpi ja estää jatkohyökkäykset korjaamalla haavoittuvuus ennen kuin sivusto palautetaan verkkoon.

6. Turvallinen koodaaminen

Sivuston kehittäjän vastuulla on koodin toteuttaminen niin, että se ei aiheuta arkaluontoisten tietojen vuotoa tai muita tietoturva-aukkoja.

Kehittäjän tulee huomioida käytännöt, joilla estetään yleiset tiedossa olevat tietoturva-aukot verkkopalveluissa. Näitä aukkoja ovat esimerkiksi Cross-site scripting (XSS), SQL injektio ja Cross-site request forgery (CSRF).

Huomioitava on myös, että koodissa mahdollisesti käytettävät API-avaimet ja muut salassa pidettävät tiedot eivät päädy esimerkiksi julkiseen versionhallintaan tai selaimessa luettavissa olevaan HTML- tai JavaScript-koodiin.

Ekstraturvaa lisänikseillä

On olemassa myös paljon muita niksejä, joilla hyökkääjän suunnitelmia tai haitallisen botin automaattista etenemistä voi vaikeuttaa entisestään.

  • Sivuston kirjautumisyrityksien määrän rajoittaminen pysäyttää onnenonkijoiden ja bottien salasanatestailut. Esimerkiksi viiden yrityskerran käyttäjän IP-osoite estetään, jos tunnus ja salasana eivät täsmää.
  • Julkaisujärjestelmän kirjautumissivun pääsyn voi rajata esimerkiksi tiettyyn IP-osoitteeseen tai suojata kirjautumissivun erillisellä salasanalla.
  • Julkaisujärjestelmissä on yleensä yksi ns. superkäyttäjä, jolla on eniten oikeuksia kaikista. Usein tämä käyttäjä luodaan nimellä admin. Käyttäjänimen vaihtamalla joksikin muuksi, murtautuja joutuu arvuuttelemaan salasanan lisäksi käyttäjänimeä.
  • Julkaisujärjestelmän tietojen piilottaminen HTML-rakenteesta tekee hyökkääjälle vaikeammaksi tunnistaa, mistä järjestelmästä on kyse.
  • Sivuston lomakkeiden ja kommenttikenttien suojaaminen spämmipostilta esim. Googlen reCaptcha-palvelun avulla estää botteja lähettämästä viestejä. Pahimmillaan roskapostit saattavat sisältää vaarallisia linkkejä.
  • Sivustoa voi lisäksi seurata ja skannata erilaisilla työkaluilla, jotta mahdollinen hakkerointi tai hakkerointiyritys huomataan ajoissa.


Lue myös nämä