Yleistä

1. SSL:n käyttöönotto
Ilmaisen Lets Encrypt SSL-salauksen saat päälle (ellei ole jo automaattisesti!) Cpanelin kautta kohdasta SSL/TLS Status. Klikkaa Exclude from AutoSSL -linkkiä niiden osoitteiden osalta, jotka eivät ole käytössä tai eivät edellytä suojausta. Klikkaa sen jälkeen Run AutoSSL -painiketta. Prosessi voi kestää joitakin minuutteja, odota rauhassa.
Kun SSL on asennettu, saat pakotettua www-liikenteen https:ään lisäämällä seuraavat rivit sivustosi .htaccess tiedostoon, esim.:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.omadomain.com/$1 [R,L]

Huom. varmista omalle sivustollesi sopiva ohjausmuoto esim. sivustosi ohjelmiston valmistajan tukifoorumilta tai sivustosi toteuttajalta.
WordPressin
tapauksessa ohjeistus kuuluu yksinkertaistettuna näin:
1. Lisää wp-config.php:hen rivin define('WP_DEBUG', false); jälkeen rivi
define('FORCE_SSL_ADMIN', true);
2. Kirjaudu admin puolelle.
3. Valitse Asetukset + Yleinen
4. Muuta WordPressin osoite ja Sivuston osoite muotoon: https://...

Huom! Kaupallinen OV (Organization validated) tai EV (Extended validated) sertifikaatit sopivat edelleen paremmin suurille sivustoille ja mm. verkkokaupoille. Kysy näistä asiakaspalvelustamme.


2. Salasanat ja tunnukset
Käyttäkää salasanoina riittävän monimutkaisia kirjain-, numero- ja merkkiyhdistelmiä. Huom. esim. seuraava salasana on erittäin huono, sillä hakkerit kyllä tietävät että mm. a:n paikalla käytetään yleisesti @-merkkiä: s@l@s@n@
Erittäin huono salasana on myös esim. webbinen2012 tms.
Hyvä salasana on esimerkiksi: Z-%0rBq?9P_z 
Älkää luovuttako salasanoja tuntemattomille kolmansille osapuolille tai täyttäkö niitä netin epämääräisille lomakkeille. Me emme koskaan kysy salasanoja.
Vaihtakaa myös salasanat säännöllisesti, vähintään vuosittain.



Etenkin Joomla ja WordPress käyttäjille

1. Päivitykset
Mikäli asennatte palvelintilaanne jonkin kolmannen osapuolen ohjelmiston niin on ehdottoman tärkeää että se päivitetään säännöllisesti ohjelmiston valmistajan sivustolta tuoreimpaan versioon. Suosittelemme liittymään ohjelmiston valmistajan postituslistalle kriittisten päivitystietojen vastaanottamiseksi. Myös mahdolliset lisäosat kannattaa päivittää aina tuoreimpiin versioihin.

2. .htaccess
On ehdottoman tärkeää että mm. WordPress ja Joomla -ohjelmistoihin tehdään vähintään valmistajan suosittelemat tietoturva-asetukset (mm. .htaccess:iin ja php.ini:iin) asianmukaisesti, sillä suojaamaton sivusto on erittäin suuri tietoturvariski. Ko. ohjelmistojen .htaccess oletussuojaukset ovat täysin riittämättömät ja suosittelemme tutustumaan vahvempiin suojausmenetelmiin. Mm. monet ko. ohjelmistojen pluginit luovat varsin päteviä .htaccess -tiedostoja automaattisesti.

3. php.ini / .user.ini
Suosittelemme tutustumaan ohjelmistojen valmistajien suosituksiin käyttäjäkohtaisen php.ini tiedoston luomisesta. Voit siis luoda public_html -kansioon tyhjän php.ini tai .user.ini tiedoston ja lisätä sinne vain tarvittavat rivit. Esim. Joomlan, WordPressin ja monen muun CMS järjestelmän tapauksessa .user.ini :n olisi hyvä sisältää rivi:
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, eval, base64_decode

Voit lisätä listaan myös muita haluamiasi funktioita. Huomioithan lisäksi että jonkin sivuston jokin komponentti voi käyttää vaikkapa eval-funktiota, jolloin se on poistettava listalta.

4. Salasanat ja tunnukset
Vaihtakaa mm. ohjelmiston admin -osion salasanat riittävän usein. Älkää käyttäkö admin osioiden tunnuksina "admin" sanaa tms., sillä se on myös tietoturvariski. Käyttäkää itse keksimäänne uniikkia tunnusta. Käyttäkää salasanoina riittävän monimutkaisia kirjain-, numero- ja merkkiyhdistelmiä.
Älkää luovuttako salasanoja tuntemattomille kolmansille osapuolille.
Me emme koskaan kysy salasanoja.

5. Suojatkaa admin osiot
Hallintasivujen kirjautumissivuille voi kohdistua ns. Brute Force Attack -hyökkäyksiä, jossa admin osioon kohdistuu tuhansittain kirjautumisyrityksiä lyhyessä ajassa. WordPressiin löytyy mm. plugin WordFence. Joomlaan puolestaan mm. Brute Force Stop -plugin. Kirjautumissivun korvaavaksi 404-virhesivuksi kannattaa määrittää jokin hyvin pieni tekstitiedosto, jotta suojauksen virhesivu ei itsessään aiheuttaisi kuormitusta. Esim. Wordpressin tapauksessa 404.php niminen tiedosto löytyy käytettävän ulkoasuteeman hakemistosta. 404.php tiedostosta kannattaa poistaa kaikki koodi ja lisätä esim. vain teksti "page not found".

6. Tietokantataulujen prefixit
Vaihtakaa tietokantataulujen etuliitteet (prefix). Esim. WordPressin tapauksessa wp_ ja Joomlan tapauksessa jos_ -etuliiteet ovat yksi tietoturvaa merkittävästi heikentävä tekijä.

7. Levytilan siivous
Poistakaa public_html kansiosta kaikki tarpeettomat, vanhentuneet ja käyttämättömät tiedostot, pluginit sekä ulkoasuteemat
. Monesti vanha sivustoversio saatetaan jättää varmuuden vuoksi talteen julkiseen alikansioon, mikä sekin on erittäin suuri tietoturvariski.
 
8. WordPressin xmlrpc.php PingBack -haavoittuvuus
XML RPC mahdollistaa sivuston kommunikoinnin muiden sivustojen kanssa. Valitettavasti tästä WordPressin komponentista löytyy kuitenkin vakava tietoturva-aukko, jota hakkerit käyttävät yhä useammin hyväkseen mm. hyökätessään toisille sivustoille. Joissakin WordPressin versioissa komponentin voi kytkeä hallintasivuston kautta pois päältä. Niissä versioissa joissa se ei ole mahdollista suosittelemme lisäämään sivuston .htaccess tiedostoon seuraavat rivit:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>


9. wp-config.php
WordPress sivuston koko ydin on wp-config.php tiedosto. Sen oikeuksiksi kannattaa määrittää 0400 eli lukuoikeus on vain sivustolla itsellään.

10. Poistakaa kommentointi käytöstä tai sallikaa se vain kirjautuneille käyttäjille
Sivuston artikkelit voivat kerätä tuhansittain roskaviestejä hyvin lyhyessäkin ajassa. Usein hakkerit onnistuvat kohdistamaan kommentoinnin sivuston sellaiseen artikkeliin, joka on vähän vanhempi ja "piilossa". Tällöin sivuston ylläpitäjä ei välttämättä huomaa että sivustolle on tullut järjetön määrä roskaa. Sivuston hallinnan asetuksista kommentoinnin saa pois päältä artikkelikohtaisesti, mutta ylivoimaisesti helpoiten työ onnistuu SQL-kyselynä phpMyAdminin avulla. Ensinnäkin kannattaa poistaa jo kaikki sivustolle kertyneet roskat, se onnistuu näin:
DELETE FROM wp_comments WHERE comment_approved = 'spam';
spam tilalla voidaan tarvita myös 0. Katso muutamien roskaviestien status ja toimi sen mukaisesti. Poista sen jälkeen kommentointi käytöstä, joko poistamalla kokonaan:
UPDATE wp_posts SET comment_status = 'closed';
Tai sallimalla kommentointi vain rekisteröityneille käyttäjille:
UPDATE wp_posts SET comment_status = 'registered_only';
Huomioithan että kyselyissä tietokantataulun etuliite on yleensä jokin muu kuin wp_. Muuta kyselyssä etuliite omaa tauluasi vastaavaksi, esim. xyz134_posts


Lisätietoa em. ohjelmistojen suojauksista on mm. seuraavissa osoitteissa:

WordPress:
WordPress.org | Hardening_WordPress -sivu
TOP 10 lisäpluginit WordPress sivustoille

Joomla:
http://docs.joomla.org/Joomla!_Administrators_Security_Checklist
https://extensions.joomla.org/extension/jhackguard (jHackGuard tietoturvaplugin)

Huom. Palvelimillamme on käytössä suPHP ja FTP Enforcer -FTP-suojaustoiminto.



Mitä jos suojauksista huolimatta sivustollenne murtaudutaan?
Hakkerit ovat yleensä useamman pykälän sivustojen kehittäjiä edellä ja myös uusimmat sivustoversiot sisältävät tietoturva-aukkoja.
1. Ilmoittakaa tietomurrosta meille välittömästi, mahdollisimman tarkoin tiedoin
2. Päivittäkää sivusto tuoreimpaan versioon
3. Vaihtakaa webhotellin pääkäyttäjän salasana, admin -osion ja tietokantakäyttäjien salasanat sekä tietokantataulujen prefixit
4. Piilottakaa/suojatkaa admin osiot ulkopuolisilta
5. Poistakaa public_html kansiosta kaikki tarpeettomat tiedostot, pluginit, ulkoasuteemat, vanhat sivustoversiot jne.
6. Luokaa sivustolle vahvemmat suojaukset em. ohjeiden pohjalta

Asiakaspalvelu

-

ASIAKASPALVELU
-

Yhteydenotot ensisijaisesti sähköpostina. Saat nopeasti vastauksen. Sähköposteista meille jää selkeä arkisto, mistä eri henkilöiden on helppo palauttaa asioita mieleen. Lisäksi pystymme priorisoimaan sähköpostien käsittelyjärjestyksen. Säilytäthän koko viestiketjun vastatessasi.
Puhelin: +358 40 5959563
Aktiiviset puhelinpäivystysajat arkisin
klo 9-10, 12-16 ja 20-21. Muina aikoina tilanteen mukaan. Myös tekstiviestit.
 
Follow us in TwitterSeuraa meitä Twitterissä
Tiedotamme tärkeistä päivityksistä sähköpostitse, etusivullamme sekä Twitterissä.
 
POSTIOSOITE
Webbinen.net
Soikallionkatu 7
21110 NAANTALI

https://www.webbinen.net
Y-tunnus: 1902771-3

 
 
 
 
Palveluiden käyttöönotto
| Cpanel | Sähköposti | FTP | MySQL | Muut                                        Webbinen.net

Copyright © 2018 Webbinen.net