Sisällönhallintajärjestelmästä voi olla paljon hyötyä, koska tämä helpottaa monesti loppukäyttäjää sivuston hallinnoinnissa ja sisällön päivittämisessä. Julkaisujärjestelmien asentamiseen liittyy myös niiden ylläpito- ja päivittämisvastuu eli sovellustason tietoturvasta huolehtiminen, josta kerromme lisää tässä artikkelissa.
Palvelin- ja sovellustason tietoturva
Huolehdimme webhotelliympäristön ylläpidosta ja näin ollen palvelintason tietoturvasta, mutta jos teillä on ympäristössä asennettuna dynaamista sisältöä, kuten esimerkiksi PHP-koodilla toimiva sisällönhallintajärjestelmä, niin teidän tulisi huolehtia sovelluksen ylläpidosta ja päivittämisestä. Jos käytössä on oma palvelin (vuokra- tai virtuaalipalvelin), niin lisäksi tulee hoitaa säännöllinen palvelintason ylläpito tai tehdä ylläpitosopimus.
Julkaisujärjestelmien tietoturva liittyy sovellustason suojaamiseen. Esimerkiksi WordPress, Joomla ja Drupal ovat edelleen erittäin suosittuja ja monipuolisia julkaisujärjestelmiä, mistä johtuu myös näiden jatkuva murtaminen. Saamme yhä useammin yhteydenottoja asiakaspalveluun liittyen kaapattuihin sivustoihin tai haitalliseen koodin palvelimella. Olemme myös meidän suunnasta välittömästi yhteydessä asiakkaaseen, jos havaitsemme murron tai haitallista koodia ennen asiakasta. Tapaukset ovat niin asiakkaiden ja kuin meidän kannalta hyvin ikäviä, mutta näiltä ei voida välttyä ilman valveutuneisuutta.
Mitä monipuolisempia julkaisujärjestelmät ja näiden lisäosat ovat niin sitä todennäköisempää, että näistä löydetään uusia haavoittuvuuksia. Monet bottiverkot ja erinäiset tahot etsivät jatkuvasti verkosta julkaisujärjestelmiä ja lisäosia, joissa on joko vanhentunut versio ja/tai todettu jokin haavoittuvuus, jotka mahdollistavat sovelluksen murtamisen tai haittakoodin lisäämisen palvelimelle. Näistä usein seuraa muokattu sisältö, uudelleenohjaukset haitallisille sivustoille tai roskapostitus.
Julkaisujärjestelmän ylläpito ja päivittäminen
Sivustojen kaappauksilta ja haitalliselta koodilta voidaan usein välttyä päivittämällä julkaisujärjestelmä ja käytössä olevat lisäosat uusimpiin versioihin, mutta tämä ei aina välttämättä riitä. Usein suosittujen julkaisujärjestelmien tunnetut tietoturva-aukot saadaan paikattua julkaisujärjestelmän core-päivityksillä, mutta jotkin kolmannen osapuolen lisäosat tai mahdolliset kustomoinnit eivät välttämättä ole riittävän tietoturvallisia, joten näitä tulee harkita tapauskohtaisesti.
- Sivuston ulkoasun tai julkaisujärjestelmän kustomointi
Sivuston ulkoasuun ja/tai käytettävyyteen tehdyt muutokset, jotka poikkeavat alkuperäisestä asennuksesta tai konfiguraatioista voivat olla yhtä kuin mahdollinen tietoturva-aukko. - Epäluotettava lisäosa
Lisäosa on viimeksi päivitetty useitqa vuosia takaperin ja/tai tämä ei ole yleisesti tunnettujen lisäosien listalla. Hakukone voi helposti autta tunnistamaan mahdollisen uhan lisäosassa.
Julkaisujärjestelmän koventaminen
Julkaisujärjestelmän koventaminen parantaa verkkosivutilan tietoturvaa. Julkaisujärjestelmän koventaminen tulisi aina tehdä mm. sen takia, että luottamuksellista tietoa sisältävät tiedostot ovat aina suojattu suoralta lukemiselta.
Kovennusohjeet yleisimpiin julkaisujärjestelmiin löydät seuraavista linkeistä:
WordPress: https://codex.wordpress.org/Hardening_WordPress
Drupal: https://www.drupal.org/security/secure-configuration
Joomla: https://docs.joomla.org/Security_Checklist/Joomla!_Setup
Voit lukea lisää sisällönhallintajärjestelmistä ja niiden käytöstä meidän hosting-palveluissa tästä artikkelista.