Vastuullinen kotisivujen suunnittelu sekä toteutus

Sisällönhallintajärjestelmä (Content Management System, CMS) – Wikipedia

Suosituimpia CMS-järjestelmiä ovat mm. WordPress, Drupal ja Joomla. WordPress-järjestelmää käytetään alustana miljoonissa eri sivustoissa. Näihin lukeutuu myös lukuisa joukko kansainvälisten uutistoimistojen ja suurten konsernien sivustoja.

CMS-järjestelmät ovat kehittäjän kannalta erittäin käteviä ja aikaa säästäviä verrattuna staattisiin, koodattuihin html-sivustoihin. Esimerkiksi WordPress ja Joomla perustuvat avoimeen lähdekoodiin, ja niihin on saatavilla tuhansia lisäosia, mm. verkkokauppoja, kuvagallerioita ja keskustelupalstoja.

CMS-järjestelmissä on hyvä pohja, johon kehittäjät voivat rakentaa omia lisäosia. Käyttäjähallinta on helppoa ja vaivatonta. Sivustoista saadaan myös näyttävän näköiset vähällä vaivalla. CMS-järjestelmissä on kuitenkin yksi haittapuoli, jota harvat www-kehittäjät ja ylläpitäjät ottavat huomioon: heikko tietoturva.

Yleinen trendi on, että mainostoimisto tekee asiakkaalleen kotisivut, ja yleensä alustana on WordPress. Sivustoista tulee näyttävät ja ne toimivat hienosti, ja toimisto kerää rahat asiakkaalta ja sanoo näkemiin. Kuukauden kuluttua tulee julki, että tietyssä moduulissa tai koko järjestelmässä on ilmennyt ”haavoittuvuus”. Sivuston tilannut asiakas, jolle on ehkäpä annettu myös sivujen päivityskoulutusta, on asiasta täysin tietämätön. Yleisesti saatetaan ajatella, että levytilan ja palvelun tarjoava hosting-yritys hoitaa nämä asiat. Väärin. Sivuston tekijä eli tässä tapauksessa mainostoimisto on varmastikin tietoinen WordPressin jatkuvista tietoturvapäivityksistä, ja käytännössä se on vastuussa päivityksistä, jos asiasta on ennalta sovittu. Mutta jos kyseinen toimisto ei ole informoinut asiakastaan mahdollisista uhista, se toimii moraalisesti ja eettisesti väärin.

Haavoittuvuuden vakavuus voi vaihdella, mutta pahimmassa tapauksessa haavoittuva sivusto saatetaan hakkeroida tuntien tai jopa muutamien minuuttien kuluessa haavoittuvuuden julkistamisesta. Sivuston tilannut yritys on nyt täysin sekaisin, sillä etusivulla näkyy jihadistijärjestön propagandaa! Se pyytää hosting-yritystä palauttamaan varmuuskopioista alkuperäisen sivuston, mutta muutaman tunnin kuluttua jihadistit ovat taas vauhdissa! Miksi niitä kiinnostaa suomalainen yrityssivusto, jossa esitellään hitsaustaitoja?

Totuus on, että eihän se niitä kiinnostakaan. Lukemattomat palvelimet tekevät jatkuvasti automaattisia haavoittuvuusskannauksia netissä etsien sivustoista tiettyä CMS-järjestelmää. Kun sellainen sivusto löytyy, seuraava askel on etsiä haavoittuvia ja päivittämättömiä moduuleita tai kenties koko järjestelmiä. Yleensä noin 24 tunnin kuluessa haavoittuvuuden julkistamisesta se löytyy jo sekä ilmaiseksi että kaupallisesti saatavista hyökkäystyökaluista.

Jotta saadaan käsitys siitä, miten paljon CMS-järjestelmät aiheuttavat tietoturva-aukkoja, seuraavassa on muutamia lukuja: (8.5.2015)

  • Joomla-haavoittuvuuksia noin 1 200 kpl
  • WordPress-haavoittuvuuksia noin 800 kpl
  • Drupal-haavoittuvuuksia noin 300 kpl.

Luvut on kerätty cvedetails.com- ja exploit-db.com-sivustoilta. Luvuissa ovat mukana sekä CMS-järjestelmiä että niiden lisäosia koskevat ongelmat.

Ammattimainen www-kehittäjä – on se sitten iso mainostoimisto tai pöytälaatikkofirma – huolehtii aina siitä, että asiakkaan sivustot on suojattu myös tulevaisuudessa. Tämä perustuu joko palvelusopimukseen, jossa kehittäjä maksua vastaan lupaa pitää tietoturvasta huolen, tai koulutussopimukseen tms., jossa asiakkaan henkilöstölle annetaan myös sivuston tietoturvakoulutusta.

Kukaan ei ole nykyisin turvassa – tämä koskee yhtä lailla hitsaustöitä tekevää pienyrittäjää kuin suurta CNN-uutistoimistoa Yhdysvalloista. Mikään ei ole nolompaa yrityksen kannalta kuin se, että sivusto hakkeroidaan ja etusivu korvataan esimerkiksi jonkin äärijärjestön propagandalla. Puhumattakaan verkkokaupasta, joka menettää downtime-ajan vuoksi asiakkaita.

Kaikenkokoisten yritysten verkkosivujen turvallisuus on äärimmäisen tärkeää. Vuosimaksun maksaminen sivuston tietoturvasta huolehtivalle taholle on korvaamatonta yrityksen brändin kannalta. Koska internetissä tilanteet muuttuvat erittäin nopeasti, on palveluntarjoajalle ilmoitettava heti alusta pitäen, että tietoturvan on oltava kunnossa. Tämä koskee etenkin yrityksiä, joilla on nettikauppa. Jos palvelu on äärimmäisen bisneskriittinen, kannattaa pyytää kolmatta tahoa auditoimaan sivuston turvallisuus.

Jos yrityksenne siis tilaa sivustojen toteutuksen mainostoimistolta, kannattaa selvittää, mikä järjestelmä on kyseessä. Varmistakaa, että jokin taho valvoo jatkuvasti sivustoanne ja tekee tietoturvapäivitykset. Siihen ei kannata koskaan luottaa, että ”ei teitä kukaan hakkeroi eikä ketään kiinnosta tällainen yritys jossain kaukana Suomessa”. Kaikki ovat haavoittuvaisia, kun etsitään haavoittuvia sivuja internetin valtavassa maailmassa.

Tässä artikkelissa huomion keskipisteenä olivat WordPress ja Joomla. Samat asiat pätevät myös muihin CMS-järjestelmiin ja yleisesti ottaen sivustoihin, jotka käsittelevät dynaamista sisältöä. Suomessa on lisäksi monia toimijoita, jotka tarjoavat itse kehittämiään CMS-järjestelmiä. Nämä ovat myös haavoittuvia, mutta yleisesti ottaen niiden turvallisuus on parempi. Yleensä tällaiseen räätälöityyn alustaan kuuluvat kuitenkin automaattiset tietoturvapäivitykset.

V-Tek toimii vastuullisesti, ja pidämme aina huolen siitä, että asiakkaallamme on turvallisesti toteutetut sivut. Niiden toimintaa tarkastellaan päivittäin ja tietoturvauhkiin suhtaudutaan aina vakavasti.