Yleistä
1. SSL:n käyttöönottoIlmaisen Lets Encrypt SSL-salauksen saat päälle (ellei ole jo automaattisesti!) Cpanelin kautta kohdasta SSL/TLS Status. Klikkaa Exclude from AutoSSL -linkkiä niiden osoitteiden osalta, jotka eivät ole käytössä tai eivät edellytä suojausta. Klikkaa sen jälkeen Run AutoSSL -painiketta. Prosessi voi kestää joitakin minuutteja, odota rauhassa.
Kun SSL on asennettu, saat pakotettua www-liikenteen https:ään lisäämällä seuraavat rivit sivustosi .htaccess tiedostoon, esim.:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.omadomain.com/$1 [R,L]
Huom. varmista omalle sivustollesi sopiva ohjausmuoto esim. sivustosi ohjelmiston valmistajan tukifoorumilta tai sivustosi toteuttajalta.
WordPressin tapauksessa ohjeistus kuuluu yksinkertaistettuna näin:
1. Lisää wp-config.php:hen rivin define('WP_DEBUG', false); jälkeen rivi
define('FORCE_SSL_ADMIN', true);
2. Kirjaudu admin puolelle.
3. Valitse Asetukset + Yleinen
4. Muuta WordPressin osoite ja Sivuston osoite muotoon: https://...
2. Salasanat ja tunnukset
Käyttäkää salasanoina riittävän monimutkaisia kirjain-, numero- ja merkkiyhdistelmiä. Huom. esim. seuraava salasana on erittäin huono, sillä hakkerit kyllä tietävät että mm. a:n paikalla käytetään yleisesti @-merkkiä: s@l@s@n@
Erittäin huono salasana on myös esim. webbinen2012 tms.
Hyvä salasana on esimerkiksi: Z-%0rBq?9P_z
Älkää luovuttako salasanoja tuntemattomille kolmansille osapuolille tai täyttäkö niitä netin epämääräisille lomakkeille. Me emme koskaan kysy salasanoja.
Vaihtakaa myös salasanat säännöllisesti, vähintään vuosittain.
Etenkin Joomla ja WordPress käyttäjille
1. PäivityksetMikäli asennatte palvelintilaanne jonkin kolmannen osapuolen ohjelmiston niin on ehdottoman tärkeää että se päivitetään säännöllisesti ohjelmiston valmistajan sivustolta tuoreimpaan versioon. Suosittelemme liittymään ohjelmiston valmistajan postituslistalle kriittisten päivitystietojen vastaanottamiseksi. Myös mahdolliset lisäosat kannattaa päivittää aina tuoreimpiin versioihin.
2. .htaccess
On ehdottoman tärkeää että mm. WordPress ja Joomla -ohjelmistoihin tehdään vähintään valmistajan suosittelemat tietoturva-asetukset (mm. .htaccess:iin ja .user.ini:iin) asianmukaisesti, sillä suojaamaton sivusto on erittäin suuri tietoturvariski. Ko. ohjelmistojen oletussuojaukset ovat täysin riittämättömät ja suosittelemme tutustumaan vahvempiin suojausmenetelmiin. Mm. monet ko. ohjelmistojen tietoturvapluginit luovat varsin päteviä suojauksia automaattisesti.
3. Salasanat ja tunnukset
Vaihtakaa mm. ohjelmiston admin -osion salasanat riittävän usein. Älkää käyttäkö admin osioiden tunnuksina "admin" sanaa tms., sillä se on myös tietoturvariski. Käyttäkää itse keksimäänne uniikkia tunnusta. Käyttäkää salasanoina riittävän monimutkaisia kirjain-, numero- ja merkkiyhdistelmiä.
Älkää luovuttako salasanoja tuntemattomille kolmansille osapuolille.
Me emme koskaan kysy salasanoja.
4. Suojatkaa admin osiot
Hallintasivujen kirjautumissivuille voi kohdistua ns. Brute Force Attack (palvelunesto) tai Dictionary Attack (sanakirja) -hyökkäyksiä, jossa admin osioon kohdistuu tuhansittain kirjautumisyrityksiä lyhyessä ajassa. WordPressiin löytyy mm. plugin WordFence. Kirjautumissivun korvaavaksi 404-virhesivuksi kannattaa määrittää jokin hyvin pieni tekstitiedosto, jotta suojauksen virhesivu ei itsessään aiheuttaisi kuormitusta. Esim. Wordpressin tapauksessa 404.php niminen tiedosto löytyy käytettävän ulkoasuteeman hakemistosta. 404.php tiedostosta kannattaa poistaa kaikki koodi ja lisätä esim. vain teksti "page not found".
5. Tietokantataulujen prefixit
Vaihtakaa tietokantataulujen etuliitteet (prefix). Esim. WordPressin tapauksessa wp_ -etuliite on yksi tietoturvaa merkittävästi heikentävä tekijä.
6. Levytilan siivous
Poistakaa public_html kansiosta kaikki tarpeettomat, vanhentuneet ja käyttämättömät tiedostot, pluginit sekä ulkoasuteemat. Monesti vanha sivustoversio saatetaan jättää varmuuden vuoksi talteen julkiseen alikansioon, mikä sekin on erittäin suuri tietoturvariski.
7. WordPressin xmlrpc.php PingBack -haavoittuvuus
XML RPC mahdollistaa sivuston kommunikoinnin muiden sivustojen kanssa. Valitettavasti tästä WordPressin komponentista löytyy kuitenkin vakava tietoturva-aukko, jota hakkerit käyttävät yhä useammin hyväkseen mm. hyökätessään toisille sivustoille. Joissakin WordPressin versioissa komponentin voi kytkeä hallintasivuston kautta pois päältä. Niissä versioissa joissa se ei ole mahdollista suosittelemme lisäämään sivuston .htaccess tiedostoon seuraavat rivit:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
8. wp-config.php
WordPress sivuston koko ydin on wp-config.php tiedosto. Sen oikeuksiksi kannattaa määrittää 0400 eli lukuoikeus on vain sivustolla itsellään.
9. Poistakaa kommentointi käytöstä tai sallikaa se vain kirjautuneille käyttäjille
Sivuston artikkelit voivat kerätä tuhansittain roskaviestejä hyvin lyhyessäkin ajassa. Usein hakkerit onnistuvat kohdistamaan kommentoinnin sivuston sellaiseen artikkeliin, joka on vähän vanhempi ja "piilossa". Tällöin sivuston ylläpitäjä ei välttämättä huomaa että sivustolle on tullut järjetön määrä roskaa. Sivuston hallinnan asetuksista kommentoinnin saa pois päältä artikkelikohtaisesti, mutta ylivoimaisesti helpoiten työ onnistuu SQL-kyselynä phpMyAdminin avulla. Ensinnäkin kannattaa poistaa jo kaikki sivustolle kertyneet roskat, se onnistuu näin:
DELETE FROM wp_comments WHERE comment_approved = 'spam';
spam tilalla voidaan tarvita myös 0. Katso muutamien roskaviestien status ja toimi sen mukaisesti. Poista sen jälkeen kommentointi käytöstä, joko poistamalla kokonaan:
UPDATE wp_posts SET comment_status = 'closed';
Tai sallimalla kommentointi vain rekisteröityneille käyttäjille:
UPDATE wp_posts SET comment_status = 'registered_only';
Huomioithan että kyselyissä tietokantataulun etuliite on yleensä jokin muu kuin wp_. Muuta kyselyssä etuliite omaa tauluasi vastaavaksi, esim. xyz134_posts
10. PHP:n version valinta
Palvelimillamme on valittavissa useampia PHP:n versioita. Kannattaa tarkistaa aina sivuston päivitysten yhteydessä mikä on käytössänne oleva PHP:n versio. Version vaihto onnistuu tarvittaessa Cpanelin kautta kohdasta MultiPHP Manager tai Select PHP Version (eri paneeleissa kuvake voi löytyä eri nimillä). Huom. Emme voi pitää palvelimen oletusversiota tuoreimmassa versiossa, sillä useat (päivittämättömät) sivustot lakkaisivat toimimasta. Palvelimen oletusversio saattaa siis olla vaikkapa 8.0. kun sivustollesi parhaiten sopiva versio voisi olla 8.2.
Lisätietoa em. ohjelmistojen suojauksista on mm. seuraavissa osoitteissa:
WordPress:
WordPress.org | Hardening_WordPress -sivu
TOP 10 lisäpluginit WordPress sivustoille
Joomla:
https://docs.joomla.org/Joomla!_Administrators_Security_Checklist
https://extensions.joomla.org/extension/jhackguard (jHackGuard tietoturvaplugin)
Huom. Palvelimillamme on käytössä suPHP ja FTP Enforcer -FTP-suojaustoiminto.
Mitä jos suojauksista huolimatta sivustollenne murtaudutaan?
Hakkerit ovat yleensä useamman pykälän sivustojen kehittäjiä edellä ja myös uusimmat sivustoversiot sisältävät tietoturva-aukkoja.
1. Ilmoittakaa tietomurrosta meille välittömästi, mahdollisimman tarkoin tiedoin
2. Päivittäkää sivusto tuoreimpaan versioon
3. Vaihtakaa webhotellin pääkäyttäjän salasana, admin -osion ja tietokantakäyttäjien salasanat sekä tietokantataulujen prefixit
4. Piilottakaa/suojatkaa admin osiot ulkopuolisilta
5. Poistakaa public_html kansiosta kaikki tarpeettomat tiedostot, pluginit, ulkoasuteemat, vanhat sivustoversiot jne.
6. Luokaa sivustolle vahvemmat suojaukset em. ohjeiden pohjalta
Kauttamme on saatavissa WordPressille Päivitys ja Tietoturvapaketti. Siitä tarkemmin sivulla https://www.webbinen.net/wordpress