Näillä sivuilla käsitellään perusperiaatteita ja hyviä käytäntöjä webpalveluiden tietoturvan kannalta. Sivuilla ilmoitetaan erityisesti palveluissamme olevien sivustojen kannalta oleellisia tietoturvatrendejä ja huomioitavia asioita palveluiden tietoturvaan liittyen.
Ajankohtaista
Tällä hetkellä liikenteessä on normaalia vakuuttavampi sähköpostihuijaus.
Sähköposti naamioidaan siten kuin, että se olisi lähetetty vastaanottajan sähköpostista. Sähköpostiviestissä väitetään, että vastaanottajan sähköpostitili olisi hakkeroitu ja sitä kautta olisi päästy käsiksi käyttäjän tietoihin, laitteisiin tai muuhun vastaavaan. Viestissä voi olla lisäksi mainittuna käyttäjän jokin vanha salasana, joka on saatu selville jonkin muun palvelun hakkeroinnin yhteydessä. Tällä yritetään kasvattaa viestin uskottavuutta. Viestissä vaaditaan rahaa muodossa tai toisessa.
Salasanat eivät ole tallennettu palautettavassa muodossa palvelimillamme, joten niitä ei voi saada selville palveluidemme kautta. Ei edes esimerkiksi sähköpostitilin tai päätilin hakkeroinnilla.
Sähköpostiviestin lähettäjäksi voi helposti naamioida minkä tahansa sähköpostiosoitteen. Viesti ei siis välttämättä tarkoita, että sähköpostitiliä olisi hakkeroitu. Mikäli viesti sisältää vanhan salasanan, niin tarkistakaa, että missään käyttämässänne palvelussa ei ole edelleen sama salasana käytössä. Salasanat on syytä vaihtaa säännöllisesti eikä samaa salasanaa saisi käyttää useassa eri palvelussa. Sähköpostiviestin todellinen lähettäjä selviää vain tarkemmin tutkimalla viestin otsaketietoja. Mikäli toimitatte viestin kaikilla otsakkeilla meille, niin voimme puolestanne tarkistaa mistä viesti on todellisuudessa lähetetty.
Kaikissa tietoomme tulleissa tapauksissa on kyse puhtaasta huijauksesta eikä sähköpostia tai laitteita ole todellisuudessa hakkeroitu. Varmuuden vuoksi on kuitenkin aina syytä vaihtaa salasanat säännöllisesti ja tarkistaa käytetyt laitteet haittaohjelmien varalta.
Lisää tietoa osoitteesta:
Tietoturva
WordPress-tietoturva
- Secure Custom Fields 12.10.2024
- WP Engine Reprieve 27.9.2024
- WP Engine is banned from WordPress.org 25.9.2024
Yleisiä tietoturvaohjeita
Pidä sivustollasi olevat websovellukset aina ajan tasalla
Eri websovelluksista (esim. WordPress, Joomla!, Drupal jne) löytyy erilaisia tietoturva-aukkoja säännöllisesti. Erilaisia tietoturva-aukkoja hyväksikäytetään laajasti ja usein koneellisesti, joten myös pienet sivustot voivat joutua hyökkäyksen kohteeksi. Websovelluksien päivityksiä tulisi seurata vähintään kuukauden välein ja ne tulisi asentaa mahdollisimman pian. Mikäli sivustoa ei ylläpidetä syystä tai toisesta pitkään aikaan, tulisi koko sivusto sulkea tai sen käyttö estää, jotta sivuston websovellus ei joutuisi vanhentuessaan hyökkäyksen kohteeksi. Esimerkiksi Joomla! 1.5 tai WordPress 3.5 ovat jo pahasti vanhentuneet.
Käytä turvallisia kirjautumismenetelmiä
Käytä kaksinkertaista todennusta tärkeissä kirjautumisissa. Hallintapaneelimme tukevat kaksinkertaista todennusta ja suosittelemme sen aktivoimista käyttöön hallintapaneelista. Tiedostojen hallinta on turvallista tehdä SSH/SFTP-yhteyksillä käyttäen salasanalla suojattua SSH-avainta. SSH-avaimen voitte lisätä hallintapaneelista. Sähköposteihin tulee kirjautua ainoastaan salatun yhteyden kautta (SSL).
Päivitä kaikki palvelun salasanat mahdollisimman usein
Haitantekijät voivat saada palvelussa käytetyt tunnukset haltuunsa esimerkiksi eri haittaohjelmien kautta. Haltuun saatuja tunnuksia ei kuitenkaan useinkaan heti käytetä hyväksi vaan ne julkistetaan haitantekijöiden kesken jonkin ajan kuluttua niiden haltuun saannista. Usein jo kuukauden välein vaihdettava salasana estää haltuun saadun salasanan käytön laajamittaisesti. Lisäksi aina on syytä vaihtaa kaikki palvelun salasanat, kun on syytä epäillä, että haittaohjelmia on ollut tietokoneella, jossa palvelun tunnuksia on käytetty. Voitte luoda helposti ja turvallisesti uusia salasanoja esimerkiksi https://suncomet.fi/salasana/ osoitteessa.
Tarkista tiedostojen ja hakemistojen oikeudet
Tiedostojen ja hakemistojen oikeudet tulee olla mahdollisimman vähän sallivat. Yleisesti toimivat oikeudet ovat 755 (rwxr-xr-x) hakemistoille ja tiedostoille. Tiedostoilla ja hakemistoilla voi käyttää turvallisesti jopa 777 (rwxrwxrwx) oikeuksia koska jokainen tili on suljettu omaan tiedostojärjestelmäänsä, mutta suosittelemme silti yllä olevia rajoittavampia oikeuksia. Oikeuksia voi muuttaa hallintapaneelin tiedostojen hallinnalla, FTP- tai SSH-yhteydellä (chmod).
Poista turhat tai käyttämättömät tunnukset ja websovellukset palvelusta
Turhat, vanhentuneet ja käyttämättömät tunnukset ja websovellukset ovat erityisen alttiita hyökkäyksille. Esimerkiksi turhien testitunnuksien salasanat ovat usein helppoja arvata tai niitä ei muisteta vaihtaa säännöllisesti. Myös testimielessä asennettuja websovelluksia ei muisteta useinkaan päivittää ja vaikka ne eivät olisi käytössä, niin mahdolliset hyökkääjät kuitenkin löytävät ne varsin helposti.
Pidä kaikki palvelun tunnuksia käyttävät tietokoneet tietoturvalta ajan tasalla
Palvelun tunnuksia käyttävien tietokoneiden tietoturvaa ei saa aliarvioida. Erittäin usein sähköpostista tai sivuston kautta saatu haittaohjelma onnistuu urkkimaan palvelun tunnukset ja lähettämään ne haitantekijöille. Onkin tärkeää pitää tietokoneen käyttöjärjestelmä ajan tasalla ja ostaa luotettava sekä kattava tietoturvasovellus suojaamaan tietokonetta haittaohjelmilta.
Ota säännöllisesti varmuuskopiot ja säilytä niitä useassa eri paikassa
Vaikka palveluntarjoaja ottaakin varmuuskopioita tileistä on kuitenkin aina syytä ottaa myös itse erillisiä varmuuskopioita ja säilyttää niitä eri paikoissa. Näin selvitään yllättävistä ja poikkeuksellisistakin tilanteista. Tarjoamme myös erillistä Lisävarmuus-lisäpalvelua, jossa varmuuskopiota tilistä säilytetään useassa eri paikassa.
Miten tili tai sivusto hakkeroidaan?
Internetissä toimivat tilit ja sivustot ovat jatkuvasti alttiita pitkälti automatisoiduille hyökkäyksille. Tilien ja sivustojen tietoturvasta tulee huolehtia jatkuvasti ja huolellisesti. Vaikka palvelimet estävät suurimman osan hyökkäyksistä, niin tilin tunnuksilla tai sivuston tietoturvattomilla ominaisuuksilla tehty hyökkäys ei aina ole estettävissä, koska ne jäljittelevät tilin tai sivuston normaalia toimintaa.
Tiliin tai sivustoon ei ole pääsyä muuta kuin tilin tai sivuston kautta. Sivustot ja tilit ovat eristetty toisistaan palvelintasolla eikä niillä ole pääsyä toisiinsa riippumatta esimerkiksi tiedostojen tai hakemistojen oikeuksista. Salasanat on tallennettu palvelimelle yksisuuntaisella salauksella eikä niitä ole mahdollista selvittää palvelimen kautta. Edes pääkäyttäjä ei pysty palvelimelta selvittämään tilin salasanaa.
Tili tai sivusto hakkeroidaan jollain seuraavista tavoista :
1. Tilin tunnukset on selvitetty käyttäjän laitteilta.
Salasanat on usein tallennettu laitteiden ohjelmiin selväkielisenä tai helposti selvitettävässä muodossa. Käyttäjän laitteet tulisi tarkistaa virusten ja haittaohjelmien varalta.
2. Tilin tunnukset on selvitetty jonkin ulkopuolisen palvelun kautta tai arvaamalla.
Salasanojen tulisi olla riittävän monimutkaiset eikä ne saisi olla helposti arvattavissa. Samoja salasanoja ei tulisi käyttää eri palveluissa. Jos jokin turvaton palvelu tallentaa salasanat selväkielisenä, niin mahdollinen hakkeri voi saada salasanan tietoonsa.
3. Tiliin on päästy käsiksi tilillä olevan vanhentuneen / tietoturvattoman asennuksen kautta.
Websovelluksista (esim. WordPress, Joomla!, Drupal jne) löytyy erilaisia tietoturva-aukkoja säännöllisesti. Asennukset tulee pitää aina ajan tasalla tai poistaa käyttämättöminä. Myös lisäosat voivat sisältää haittaohjelmia, joiden kautta päästään sivustoon tai tiliin käsiksi. On myös mahdollista, että jokin skripti on lähtökohtaisesti tietoturvaton eikä edes sen päivittäminen tee siitä turvallista. On suositeltavaa käyttää vain tunnettuja sekä suosittuja skriptejä, lisäosia ja ulkoasupohjia.
Tilien ja sivustojen hakkeroinneista yli 99 % tapahtuu ylläolevilla tavoilla. Hakkeroinnit tapahtuvat pääsääntöisesti automatisoidusti haittaohjelmien toimesta. Hakkeroinnin yleisin tarkoitus on päästä lisäämään tilille haittaohjelma, jota voidaan edelleen käyttää hyväksi uusissa hakkeroinneissa. Toinen yleinen tarkoitus on käyttää tiliä tai sivustoa roskapostitukseen.
Haittaohjelmat voivat säilyä pitkiä aikoja tilillä ilman, että niitä yritetään käyttää. On mahdollista, että järjestelmä ei välttämättä havaitse haitallisia koodeja ennen kuin niitä yritetään käyttää. Tietoturvajärjestelmät päivittyvät jatkuvasti ja uusia haitallisia koodeja löydetään päivityksien jälkeen säännöllisesti, vaikka ne olisi jäänyt havaitsematta aikaisemmin.