Verkkosivujen tietoturva ei ole vain IT:n asia, se on myös brändin turva
Verkkosivujen turvallisuus on olennainen osa yrityksen mainetta, asiakaskokemusta ja brändin uskottavuutta.
Kirjoittaja
Eeva Ristkari
Content & Marketing Lead, Partner
Verkkosivut ovat monelle yritykselle se näkyvin ja tärkein kanava asiakkaiden suuntaan. Niiden turvallisuus ei kuitenkaan ole vain tekninen yksityiskohta vaan olennainen osa yrityksen mainetta, asiakaskokemusta ja brändin uskottavuutta.
Jos tietoturva vuotaa, sen seuraukset eivät välttämättä rajoitu IT-osastolle. Se näkyy myös hakukonenäkyvyydessä, asiakastyytyväisyydessä – ja pahimmillaan uutisotsikoissa. Siksi tietoturva ei voi olla vain nörttien asia, vaan kuuluu myös markkinoinnin vastuulle.
Tietoturva alkaa jo sivuston rakenteesta
Markkinointiosasto voi tilata näyttävän ulkoasun ja vahvan viestin, mutta jos sivuston tekninen toteutus ei ole kunnossa, riskit ovat suuret. Esimerkiksi WordPress voi olla erinomainen alusta myös vaativiin tarpeisiin, kunhan se toteutetaan hallitusti ja turvallisesti.
Tämä tarkoittaa muun muassa sitä, että sivustoa ei rakenneta suoraan verkossa, vaan eri vaiheissa:
- ensin kehitysympäristössä (localhost),
- sitten suojatulla palvelimella (development)
- lopuksi testiympäristössä (staging).
Näin vältetään tilanteet, joissa keskeneräinen tai suojaamaton koodi päätyy julkiseksi.
Mitä tekninen toteutus voi sisältää, ja miksi sillä on väliä?
Sivustojen tietoturva ei rakennu vain salasanan pituudesta. Tarvitaan useita kerroksia suojaa, jotka sulkevat ulkopuoliset pois ja pitävät sisällön turvassa. Täältä voit lukea vinkkejä WordPress-sivuston tietoturvan parantamiseen.
Muutamia esimerkkejä suojakerroksista:
- IP-rajaukset: vain tietyistä IP-osoitteista voi kirjautua järjestelmän hallintapaneeliin.
- SSO-kirjautuminen (Single Sign-On):
- käyttäjät tunnistetaan keskitetyn järjestelmän kautta esimerkiksi Microsoftin tai Googlen keskitetyn käyttäjähallinnan kautta.
- 2FA-tunnistautuminen (kaksiosainen todentamismenetelmä):
- käyttäjät tunnistetaan 2FA-tunnistautumisen kautta, jossa salasanan lisäksi tarvitaan toinen tunnistustapa – esimerkiksi kertakäyttökoodi puhelimesta tai autentikointisovelluksesta (esim. Google Authenticator tai Microsoft Authenticator).
- SRI-hashit (Subresource Integrity): kolmansien osapuolten (esim. analytiikka- tai karttapalvelut) koodia ei ajeta suoraan ilman lähteen tarkistusta. Tämä estää koodin muokkauksen matkalla.
- CSP (Content Security Policy) ja HSTS (HTTP Strict Transport Security): määritellään tarkkaan, mitä ulkoisia sisältöjä sivusto saa käyttää ja että kaikki liikenne tapahtuu salattuna.
Käytännössä ne tarkoittavat sitä, että sivuston koodi ja sisältö eivät ole vapaata riistaa hyökkääjille. Samalla käyttäjäkokemus on turvallinen alusta loppuun.
Miten tämä kaikki liittyy brändiin?
Kun asiakas saapuu verkkosivuille, hän ei näe taustalla pyöriviä suojausratkaisuja, eikä hänen tarvitsekaan. Mutta jos sivusto latautuu hitaasti, antaa virheilmoituksia tai – pahimmillaan – näyttää merkkejä murrosta, luottamus on nopeasti menetetty.
Tietoturva vaikuttaa myös siihen, mitä markkinointi voi ylipäätään tehdä: voiko sivustolle tuoda lomakkeita, personoitua sisältöä tai kolmannen osapuolen työkaluja ja miten niiden käyttö vaikuttaa riskeihin?
Kun tietoturva on kunnossa, markkinointi voi keskittyä sisältöön, eikä tarvitse pelätä, että uusin kampanja jää hyökkäyksen jalkoihin.
– Meillä verkkosivujen tietoturva ei ole lisäpalikka, joka klikataan päälle julkaisun jälkeen. Lähtökohtaisesti kaikki rakentamamme sivustot ovat tietoturvallisia. Tietoturva kulkee sivuston toteuttamisessa koko matkan ajan keskiössä, ja se rakennetaan mukaan jo suunnittelupöydällä, verkkokehittäjä Teemu Lahtinen sanoo.
Räätälöityä WordPress-kehitystä vaativaan käyttöön
Yksi vaativimmista verkkosivuhankkeista, joita olemme Kuukissa toteuttaneet, sisälsi kaksi keskeistä osa-aluetta: täysin räätälöidyn WordPress-teeman ja poikkeuksellisen tiukan tietoturvakovennuksen (hardening). Rakensimme modernin verkkosivun alusta asti turvallisuus edellä, ilman kompromisseja.
Teemaa varten suunniteltiin ja rakennettiin useita kustomoituja ratkaisuja. Lisäksi projektiin sisältyi integraatiot CRM-järjestelmiin, jotka vaativat huolellista suunnittelua sekä tietoturvallista rajapintojen hallintaa.
Näin toteutetaan sivusto, joka ei perustu oletuksiin
Teknisessä toteutuksessa ei lähdetty oletuspoluilla. Työnkulku rakennettiin kerroksittain: ensin kehitys omassa ympäristössä (localhost), sen jälkeen siirrot suojatulle palvelimelle, testaus ja review -vaiheita varten ja lopuksi staging-ympäristöön eli tuotantoympäristöä vastaavaan testiympäristöön, jossa kaikki vaiheet testattiin ennen julkaisua. Kaikki sisältö – mukaan lukien aikaisemmat julkaisut – siirrettiin hallitusti ja ilman katkoksia uuteen järjestelmään.
– Projektissa ei rakennettu pelkkää verkkosivua. Rakensimme teknisesti ja tietoturvallisesti vaativan alustan, joka kestää tarkastelun myös tietoturva-ammattilaisten silmissä, Lahtinen tiivistää.
Tällainen toteutus vaatii paitsi teknistä osaamista myös kykyä hallita kokonaisuuksia ja yhteistyötä useiden eri tiimien ja kumppanien välillä. Mutta juuri tällaisia toimeksiantoja varten me Kuukissa olemme olemassa!
Blogitekstin kirjoittamisessa on käytetty tekoälyä.
Kirjoittaja
Eeva Ristkari
Content & Marketing Lead, Partner
Ota yhteyttä
Autamme kartoittamaan projektin lähtökohdat, tarpeet ja tavoitteet tarjouksen taustatiedoksi.
Tomi Kaitarinne
Director – Business & Technology, Founding Partner
+358 50 345 3874
tomi.kaitarinne@kuuki.fi
Teemu Parkkinen
Chief Technology Officer
+358 440 783 783
teemu.parkkinen@kuuki.fi
