Riittääkö digitaalinen ilmastointiteippi vai olisiko täyden katsastuksen aika? Miksi teippi ei vain joskus riitä.
Useimmilla yrittäjillä on tarpeeksi tekemistä muutenkin, ja verkkosivuston tietoturva on harvemmin prioriteettilistan kärjessä. Yleensä se kuuluu kategoriaan ”varmaan ihan OK”, kunnes jotain oikeasti tapahtuu.
No, tämähän on vähän sama juttu kuin luottaisi siihen, että auto läpäisee katsastuksen, koska siinä on turvavyö. Turvavyöt ovat toki jees, mutta katsastusinssille se ei riitä – ja harvapa meistä perheensä luottaisi autoon, jonka turvallisuus on vähintäänkin epäilyttävä.
Webkehittäjänä ja verkkoturvallisuuden asiantuntijana olen nähnyt lukemattomia sivustoja, jotka ovat olleet kauan täysin avoinna hyökkäyksille ihan vain siksi, ettei kukaan ole aktiivisesti seurannut, mitä konepellin alla tapahtuu. Siksi rakensin alustan, joka on vähän kuin pakkomielteinen katsastaja, joka ei koskaan nuku.
“Osta ja unohda” -ajattelun ongelma
Jos olet hankkinut sivustosi ylläpidon jonkin suuren hosting-palvelun kautta, saatat kuvitella, että kaikki on kunnossa. Mutta totuus on, että useimmat hosting-palvelut eivät oikeasti valvo sivustollasi tapahtuvaa liikennettä. Ne pitävät kyllä palvelimen suojattuna, mutta eivät tarkista vanhentuneita lisäosia, tietovuotoja tai pieniä takaovia, joista botit voivat hiipiä sisään.
Ja nykymaailmassa se on tietysti iso riski.
Suurin osa verkkohyökkäyksistä ei ole nerokkaiden hakkereiden käsialaa, vaan bottien, jotka kiertävät verkkoa 24/7 kokeillen, kenen ovi on jäänyt raolleen. Kun ne löytävät vanhan lisäosan tai haavoittuneen kirjautumissivun, ne iskevät siihen saman tien.
Botteja voi ajatella kuin miljoonina pieninä ruostepilkkuina, jotka hiljalleen syövyttävät auton rungon, kunnes eräänä aamuna kaasutat jalkasi lattiasta läpi. Botit eivät välitä onko sivustosi pieni verkkokauppa vai suuri yritys, kaikki data kelpaa myytäväksi, ja mitä enemmän vahinkoa botti voi aiheuttaa, sen parempi.
Joka kuukausi sama juttu
Meidän asiakkaillemme WP-Ensuren alusta ei ole pelkkä hostauspalvelu, vaan täysi katsastus joka kuukausi – meillä ei paikkailla ruosteista reikää jeesusteipillä. Jokaisessa kuukausittaisessa auditissa tarkistamme sivustosi mahdolliset heikkoudet ja kerromme sinulle, miten sivustosi voi.
WP-Ensuren kuukausiraportti kattaa kolme suojaustasoa:
- Verkkotunnustaso (DNS): pysäyttää pahat botit jo ennen kuin ne saavuttavat sivustosi.
- Hosting- ja palvelintaso: varmistaa, että sivustosi on kunnossa ja suojattu.
- Sivustotaso: tarkistaa lisäosat, kirjautumiset, päivitykset ja suorituskyvyn.
Yhdistämällä nämä kolme tasoa saat kokonaiskuvan sivustosi terveydestä. Jos jokin näyttää oudolta, kerromme sinulle siitä ennen kuin ongelmia syntyy.
Joka kuukausi saatamme estää yli 15 000 bottihyökkäystä yhdellä normaalilla WordPress-sivustolla ja 25 000 hyökkäystä WooCommerce-sivustolla. Aika paljon uhkaa, joka ilman aktiivista valvontaa ja torjuntaa saattaa iskeä suoraan liiketoimintaasi.
”Kukaan ei usko olevansa seuraava – mutta kuka tahansa voi olla.”
Tietoturvaguru Mikko Hyppönen
Mielenkiintoisia löydöksiä (ja muutama ikävä yllätys)
Aktiivisten auditointien ansiosta löydämme säännöllisesti haavoittuvuuksia, joita asiakkaat eivät edes tienneet olevan olemassa. Yksi yleisimmistä on ladattavien tiedostojen kansio, jossa on päällä hakemistolistaus täynnä käyttäjätietoja. Tämä tarkoittaa, että kuka tahansa, myös botit, voivat nähdä sisällön ja varastaa datan. Tämä on yllättävän tavallista ja tietenkin valtava tietoturvariski sekä henkilötietojen suojausongelma.
Meidän kuukausittaiset raporttimme kertovat myös, mistä hyökkäykset tulevat. Usein ne tulevat VPN-yhteyksien tai välityspalvelimien kautta, joten alkuperämaa vaihtelee: yhtenä kuukautena kaikki hyökkäykset voivat tulla Alankomaista, seuraavana Puolasta. Näistä tiedoista saamme vihjeitä suojauksen kehittämiseen.
Tietoturva muuttuu totta kai jatkuvasti. Se, mikä oli turvallista viime vuonna, voi olla pahempi juttu tänään. Pienten ja keskisuurten yritysten on lähes mahdotonta pysyä tietoturvauhkien perässä. Siksi WP-Ensure automatisoi tarkastukset ja tarjoaa yritystason suojan ilman yritystason hintaa. Koska myös sinä ansaitset nukkua yösi rauhassa.
Tietoturvan inhimillinen puoli
Tietoturva ei ole pelkkää teknologiaa, vaan peremmiltään kyse on luottamuksesta. Jos ihmiset luovuttavat henkilötietojaan yrityksellesi, sinulla on sekä laillinen että eettinen vastuu pitää niistä huolta.
Jokaisen yhteydenottolomakkeen ja verkkokaupan tilauksen takana on oikea ihminen, joka luottaa siihen, että hänen tietonsa pysyvät turvassa. Siksi tietoturva ei ole vain velvollisuus, se myös osoittaa, että oikeasi välität asiakkaistasi.
Aikamoisen vastuullista hommaa ja siksipä juuri WP-Ensuren alusta on rakennettu helpottamaan elämääsi, ei hankaloittamaan sitä. Raporttimme ovat selkeitä, visuaalisia ja aika kivoja lukea, vaikka itse sanonkin. Niistä näet tarkalleen mitä toimia sivustosi turvaamiseksi on tehty ja mitä uhkia siihen on kohdistunut.
Me hoidamme homman puolestasi
Sinun ei tietysti tarvitse olla kyberturva-asiantuntija, me hoidamme homman puolestasi samalla tavalla kuin katsastusinssi tietää, mitä autosi tarvitsee. (Nämä katsastusasiat ovat olleet mielessäni jonkunkin kerran vanhemman matkailuautoleidin tarpeita fiksaillessa.)
Pidämme siis sivustosi turvassa ilman meteliä, jatkuvasti ja taitavasti, ripauksella suomalaista täsmällisyyttä ja skotlantilaista sisua (vai oliko se toisinpäin?).
Jos et tiedä, onko verkkokauppasi tai sivustosi oikeasti turvassa, se luultavasti ei ole. Nyt on hyvä hetki antaa meidän hoitaa puolestasi huoleton katsastus ja täyden palvelun huolto, koska ennakointi on aina halvempaa (ja vähemmän stressaavaa) kuin kyberkaaoksen siivoaminen jälkikäteen.
Ja jos sivustollesi ei ole koskaan tehty kunnollisesta auditointia, ei hätää, aina on hyvä aika aloittaa. Digitaaliset ovet kun on aina parempi lukita ennen kuin botit ryntäävät porukalla sisään.
Otapa yhteyttä, jos haluat jutella lisää!
