Yleistä

1. Salasanat ja tunnukset
Käyttäkää salasanoina riittävän monimutkaisia kirjain-, numero- ja merkkiyhdistelmiä. Huom. esim. seuraava salasana on erittäin huono, sillä hakkerit kyllä tietävät että mm. a:n paikalla käytetään yleisesti @-merkkiä: s@l@s@n@
Erittäin huono salasana on myös esim. webbinen2012 tms.
Hyvä salasana on esimerkiksi: Z-%0rBq?9P_z 
Älkää luovuttako salasanoja tuntemattomille kolmansille osapuolille tai täyttäkö niitä netin epämääräisille lomakkeille. Me emme koskaan kysy salasanoja.
Vaihtakaa myös salasanat säännöllisesti, vähintään vuosittain.



Etenkin Joomla ja WordPress käyttäjille

1. Päivitykset
Mikäli asennatte palvelintilaanne jonkin kolmannen osapuolen ohjelmiston niin on ehdottoman tärkeää että se päivitetään säännöllisesti ohjelmiston valmistajan sivustolta tuoreimpaan versioon. Suosittelemme liittymään ohjelmiston valmistajan postituslistalle kriittisten päivitystietojen vastaanottamiseksi. Myös mahdolliset lisäosat kannattaa päivittää aina tuoreimpiin versioihin.

2. .htaccess
On ehdottoman tärkeää että mm. WordPress ja Joomla -ohjelmistoihin tehdään vähintään valmistajan suosittelemat tietoturva-asetukset (mm. .htaccess:iin ja php.ini:iin) asianmukaisesti, sillä suojaamaton sivusto on erittäin suuri tietoturvariski. Ko. ohjelmistojen .htaccess oletussuojaukset ovat täysin riittämättömät ja suosittelemme tutustumaan vahvempiin suojausmenetelmiin. Mm. monet ko. ohjelmistojen pluginit luovat varsin päteviä .htaccess -tiedostoja.

3. php.ini / .user.ini
Suosittelemme tutustumaan ohjelmistojen valmistajien suosituksiin käyttäjäkohtaisen php.ini tiedoston luomisesta. Voit siis luoda public_html -kansioon tyhjän php.ini tai .user.ini tiedoston ja lisätä sinne vain tarvittavat rivit. Esim. Joomlan, WordPressin ja monen muun CMS järjestelmän tapauksessa .user.ini :n olisi hyvä sisältää rivi:
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, eval, base64_decode

Voit lisätä listaan myös muita haluamiasi funktioita. Huomioithan lisäksi että jonkin sivuston jokin komponentti voi käyttää vaikkapa eval-funktiota, jolloin se on poistettava listalta.

4. Salasanat ja tunnukset
Vaihtakaa mm. ohjelmiston admin -osion salasanat riittävän usein. Älkää käyttäkö admin osioiden tunnuksina "admin" sanaa tms., sillä se on myös tietoturvariski. Käyttäkää itse keksimäänne uniikkia tunnusta. Käyttäkää salasanoina riittävän monimutkaisia kirjain-, numero- ja merkkiyhdistelmiä.
Älkää luovuttako salasanoja tuntemattomille kolmansille osapuolille.
Me emme koskaan kysy salasanoja.

5. Piilottakaa admin osiot
Hallintasivujen kirjautumissivuille voi kohdistua ns. Brute Force Attack -hyökkäyksiä, jossa admin osioon kohdistuu tuhansittain kirjautumisyrityksiä lyhyessä ajassa. WordPressiin löytyy mm. plugin Rename wp-login.php. Joomlaan puolestaan mm. Brute Force Stop -plugin. Kirjautumissivun korvaavaksi 404-virhesivuksi kannattaa määrittää jokin hyvin pieni tekstitiedosto, jotta suojauksen virhesivu ei itsessään aiheuttaisi kuormitusta. Esim. Wordpressin tapauksessa 404.php niminen tiedosto löytyy käytettävän ulkoasuteeman hakemistosta. 404.php tiedostosta kannattaa poistaa kaikki koodi ja lisätä esim. vain teksti "page not found".

6. Tietokantataulujen prefixit
Vaihtakaa tietokantataulujen etuliitteet (prefix). Esim. WordPressin tapauksessa wp_ ja Joomlan tapauksessa jos_ -etuliiteet ovat yksi tietoturvaa merkittävästi heikentävä tekijä.

7. Levytilan siivous
Poistakaa public_html kansiosta kaikki tarpeettomat, vanhentuneet ja käyttämättömät tiedostot, pluginit sekä ulkoasuteemat
. Monesti vanha sivustoversio saatetaan jättää varmuuden vuoksi talteen julkiseen alikansioon, mikä sekin on erittäin suuri tietoturvariski.
 
8. WordPressin xmlrpc.php PingBack -haavoittuvuus
XML RPC mahdollistaa sivuston kommunikoinnin muiden sivustojen kanssa. Valitettavasti tästä WordPressin komponentista löytyy kuitenkin vakava tietoturva-aukko, jota hakkerit käyttävät yhä useammin hyväkseen mm. hyökätessään toisille sivustoille. Joissakin WordPressin versioissa komponentin voi kytkeä hallintasivuston kautta pois päältä. Niissä versioissa joissa se ei ole mahdollista suosittelemme lisäämään sivuston .htaccess tiedostoon seuraavat rivit:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>



Lisätietoa em. ohjelmistojen suojauksista on mm. seuraavissa osoitteissa:
WordPress:
http://codex.wordpress.org/Hardening_WordPress
http://wordpress.org/extend/plugins/bulletproof-security/ (BulletProof tietoturvaplugin)
http://wordpress.org/plugins/rename-wp-login/ (wp-login.php tiedoston piilotus)
Joomla:
http://docs.joomla.org/Joomla!_Administrators_Security_Checklist
https://extensions.joomla.org/extension/jhackguard (jHackGuard tietoturvaplugin)

Huom. Palvelimillamme on käytössä suPHP ja FTP Enforcer -FTP-suojaustoiminto.



Mitä jos suojauksista huolimatta sivustollenne murtaudutaan?
Hakkerit ovat yleensä useamman pykälän sivustojen kehittäjiä edellä ja myös uusimmat sivustoversiot sisältävät tietoturva-aukkoja.
1. Ilmoittakaa tietomurrosta meille välittömästi, mahdollisimman tarkoin tiedoin
2. Päivittäkää sivusto tuoreimpaan versioon
3. Vaihtakaa webhotellin pääkäyttäjän salasana, admin -osion ja tietokantakäyttäjien salasanat sekä tietokantataulujen prefixit
4. Piilottakaa/suojatkaa admin osiot ulkopuolisilta
5. Poistakaa public_html kansiosta kaikki tarpeettomat tiedostot, pluginit, ulkoasuteemat, vanhat sivustoversiot jne.
6. Luokaa sivustolle vahvemmat suojaukset em. ohjeiden pohjalta

Asiakaspalvelu

-

ASIAKASPALVELU
-

Yhteydenotot ensisijaisesti sähköpostina. Saat nopeasti vastauksen. Sähköposteista meille jää selkeä arkisto, mistä eri henkilöiden on helppo palauttaa asioita mieleen. Lisäksi pystymme priorisoimaan sähköpostien käsittelyjärjestyksen. Säilytäthän koko viestiketjun vastatessasi.
Puhelin: +358 40 5959563
Aktiiviset puhelinpäivystysajat arkisin
klo 9-10, 12-16 ja 20-21. Muina aikoina tilanteen mukaan. Myös tekstiviestit.
 
Follow us in TwitterSeuraa meitä Twitterissä
Tiedotamme tärkeistä päivityksistä sähköpostitse, etusivullamme sekä Twitterissä.
 
POSTIOSOITE
Webbinen.net
Soikallionkatu 7
21110 NAANTALI

https://www.webbinen.net
Y-tunnus: 1902771-3

 
 
 
 
Palveluiden käyttöönotto
| Cpanel | Sähköposti | FTP | MySQL | Muut                                        Webbinen.net

Copyright © 2017 Webbinen.net