24.06.2025 Tietoturva

Sivuston voi palauttaa muutamalla klikkauksella, mainetta ei – tietoturva suojaa sinua molemmilta

Usein tietoturvaan havahdutaan vasta, kun jotain on jo tapahtunut. Silti verkkosivusto on monelle yritykselle tärkein asiakaspalvelija, näkyvin markkinointikanava ja joskus ainoa yhteys asiakkaaseen. Mutta juuri siksi se on myös houkutteleva kohde hyökkäyksille.

Arvioiden mukaan yli 30 000 verkkosivustoa hakkeroidaan päivittäin. Eikä kyse ole pelkästään isoista tai tunnetuista sivuista – itse asiassa suurin osa hyökkäyksistä kohdistuu pieniin ja keskisuuriin sivustoihin, jotka eivät odota mitään tapahtuvaksi.

Eikä siksi, että niillä olisi jotain erityisen arvokasta – vaan koska ne on helppo murtaa.

Jos tietoturva on jäänyt ”sitten joskus” -listalle, riski kasvaa nopeasti.

Mitä hyökkäyksissä oikeasti tapahtuu

Hakkerointi ei useinkaan näytä niin dramaattiselta kuin tv-sarjoissa ja elokuvissa. Sivustoa ei välttämättä kaapata kokonaan, eikä käyttäjä huomaa heti mitään erikoista. Usein kyse on hitaasta mutta järjestelmällisestä tunkeutumisesta, jossa sivuston hallinta, liikenne tai data otetaan käyttöön muuhun kuin siihen, mihin se on tarkoitettu. Se voi tarkoittaa maineen menetystä, tietovuotoa tai teknistä kaaosta – ja pahimmillaan kaikkea tätä yhtä aikaa.

Olemme keränneet juttuun viisi yleisintä tietoturvauhkaa, tietoturvakehittäjien hyvin tuntemia tosielämän esimerkkejä hyökkäyksistä ja keinoja varautumiseen.

1. Lisäosien haavoittuvuudet – ovet auki, vaikka et tietäisi siitä

WordPress-sivusto rakentuu ydinohjelmistosta ja usein useista lisäosista. Jokainen lisäosa on kolmannen osapuolen kehittämä ohjelmakomponentti, jota tulee ylläpitää aivan kuten itse WordPressiäkin. Uusia haavoittuvuuksia löytyy viikoittain, ja ne päätyvät nopeasti julkisiksi tietoturvatietokantoihin (esim. CVE-tietokanta), jolloin hyökkääjät voivat automatisoida niiden hyväksikäytön.

Esimerkki: Vuonna 2023 suosittu Elementor Pro -lisäosa sisälsi kriittisen haavoittuvuuden, jonka kautta sai luotua ylläpitäjätason käyttäjiä sivustolle. Hyökkäys kesti vain sekunteja.

Miten suojaudut: Käyttämällä vain tarpeellisia ja aktiivisesti ylläpidettyjä lisäosia, seuraamalla haavoittuvuustietokantoja ja tekemällä päivitykset heti niiden julkaisun jälkeen. Bojacon hosting-asiakkaana nämä toimet tehdään puolestasi, jatkuvasti ja automaattisesti. *

*Bojaco on J&Co Digitalin tytäryhtiö, joka tarjoaa korkeatasoista ja vastuullista hosting-palvelua WordPress-sivustoille.

2. Brute force -hyökkäykset – murtautuminen arvailun kautta

Brute force -hyökkäys tarkoittaa järjestelmällistä yritystä arvata kirjautumistietoja. Nämä hyökkäykset kohdistuvat erityisesti wp-login.php-sivuun, jota WordPressissä käytetään oletuksena. Hyökkäyksissä käytetään laajoja salasanalistoja ja bottiverkkoja, joiden avulla voidaan testata satojatuhansia kirjautumisyrityksiä päivässä.

Esimerkki: Pienelle organisaatiolle rakennettu verkkosivusto sai 24 tunnin aikana yli 12 000 kirjautumisyritystä eri IP-osoitteista. Salasanat olivat tyypillisiä: “admin123”, “yritys2023”, “passw0rd”.

Miten suojaudut: Käyttämällä satunnaistettuja käyttäjätunnuksia ja vahvoja salasanoja sekä ottamalla käyttöön kirjautumisrajoituksia (esim. lukitus kolmen virheellisen yrityksen jälkeen). Suosittelemme lisäksi kaksivaiheista tunnistautumista, jonka voimme asentaa tarvittaessa osaksi sivuston suojausta.

3. Haittakoodi ja tietojenkalastelu – näkymätön kaappaaja

Haittakoodi voidaan istuttaa sivustollesi useilla tavoilla: vanhentuneen lisäosan kautta, palvelintason heikkouksia hyödyntämällä tai jopa sähköpostiliitteiden kautta, jos sähköpostipalvelu on yhteydessä verkkopalvelimeen. Haittakoodi voi tehdä mitä tahansa: ohjata kävijät huijaussivuille, käynnistää automaattisia latauksia tai asentaa haittaohjelmia käyttäjän koneelle.

Esimerkki: Asiakassivusto ohjasi huomaamatta kävijät sivulle, joka muistutti Google-kirjautumista. Tietojenkalastelun kohteeksi joutui useita käyttäjiä ennen kuin uudelleenohjaus havaittiin.

Miten suojaudut: Käyttämällä palomuureja, automaattisia tiedostovalvontoja, haittakoodin skannereita ja säännöllisiä auditointeja. Bojacolla seuranta tapahtuu jatkuvasti, ja poikkeamat otetaan käsittelyyn heti.

4. Botit, spämmi ja resurssien kuormitus – sivustoa ylikuormitetaan kaikessa hiljaisuudessa

Botit voivat aiheuttaa merkittävää haittaa. Ne voivat täyttää yhteydenottolomakkeita, yrittää luoda käyttäjätilejä tai käyttää rajattomasti palvelinresursseja, jolloin palvelut hidastuvat tai syntyy vikatiloja.

Esimerkki: Verkkosivun palautelomake sai yhden yön aikana yli 3000 bottiviestiä, mikä tuki bottien käyttämiä linkkejä hakukonenäkyvyyden parantamiseksi. Sähköpostijärjestelmä tukkeutui, ja oikeat viestit menivät ohi.

Miten suojaudut: Käyttämällä tehokasta Captcha-suojausta, IP-estolistoja ja lomakkeiden validointia. Bojacolla nämä ovat vakiona – ja lisäksi bottikäyttäytymistä seurataan koneoppimisen avulla.

5. Tietovuodot – yksityiset tiedot julkiseksi

Jos verkkosivusi kerää nimiä, sähköposteja, lomakevastauksia tai tarjouspyyntöjä, vastaat samalla asiakkaidesi luottamuksesta. Yleisin virhe on olettaa, että tiedot pysyvät turvassa itsestään. Tietovuoto voi johtua yksinkertaisesti siitä, että yhteyslomake lähettää viestin suojaamattomana tai tallentaa sen palvelimelle ilman riittävää suojausta. Tällöin esimerkiksi lomakevastaukset voivat päätyä hakkerin haltuun, tai tulla jopa hakukoneiden löydettäviksi, jos asetukset ovat pielessä.

Tietovuodon vaikutukset eivät rajoitu vain teknisiin vaurioihin. Tapaus voi vaikuttaa maineeseen, asiakassuhteisiin ja tuoda mukanaan myös GDPR-seuraamuksia, etenkin jos tiedoista ei ole ilmoitettu asianmukaisesti.

Esimerkki:
Yritys X käytti verkkosivullaan ilmaista lomakelaajennusta, jonka päivitykset olivat unohtuneet. Haavoittuvuuden vuoksi hakkeri sai pääsyn lomakkeiden kautta tallennettuihin yhteydenottotietoihin, ja yli 700 asiakkaan tiedot päätyivät vääriin käsiin. Tapauksen seurauksena yritys joutui ilmoittamaan tietovuodosta viranomaisille ja menetti useita asiakkaita. Tämän olisi voinut estää pelkästään pitämällä lisäosat ajan tasalla ja siirtämällä tiedot turvallisempaan lomakejärjestelmään – juuri kuten me Bojacolla teemme vakiona.

Miten suojaudut:
Varmistamalla salattu tiedonsiirto (HTTPS/SSL-sertifikaatti), suojaamalla lomakkeet teknisesti ja säilyttämällä tallentuvat tiedot salasanoin suojatuissa tietokannoissa, joiden käyttöoikeudet on rajattu. Bojacon hosting-asiakkaana sinun ei tarvitse arvailla, miten nämä on hoidettu – kaikki paketit sisältävät oletuksena SSL-suojauksen, säännölliset tarkastukset, lomakkeiden suojauksen sekä automaattiset varmuuskopiot. Lisäksi seuraamme jatkuvasti, että käytössä olevat lisäosat tai lomakeratkaisut eivät sisällä tunnettuja haavoittuvuuksia.

Mitä me teemme, jotta voit hosting-asiakkaanamme olla huoleti

Tietoturvasta huolehtiminen suojelee yrityksesi mainetta, asiakastietoja ja liiketoiminnan jatkuvuutta. Meille se on perusta, jonka päälle rakennetaan kaikki muu.

Me huolehdimme puolestasi, että

Lisäosat ja WordPress pysyvät ajan tasalla. Automaattiset tietoturvapäivitykset hoituvat ilman katkoksia.
Haavoittuvuudet tunnistetaan ja reagoidaan heti. Seuraamme tietoturvauhkia aktiivisesti ja päivitämme käytäntöjä säännöllisesti.
Sivustoasi suojaa palomuuri ja jatkuva valvonta. Epäilyttävä liikenne pysäytetään ennen kuin se ehtii tehdä vahinkoa.
Varmuuskopiot otetaan automaattisesti. Jos jotain sattuu, palautus onnistuu nopeasti ja luotettavasti.
Tietoturvatiimi kokoontuu säännöllisesti. Meillä tämä ei ole yhden henkilön sivutoimi, vaan yhteinen vastuu.
Saat apua ihmiseltä, et bottijonosta. Kun tarvitset tukea, saat sen tikettiviidakon sijaan suoraan tutulta asiantuntijalta.

Tietoturva on parhaimmillaan näkymätön, mutta sen vaikutus tuntuu heti, jos se puuttuu. Me huolehdimme siitä, että sinä voit keskittyä rauhassa omaan työhösi. Bojaco-asiakkaana sivustosi on suojassa.

Haluatteko varmistaa, että organisaatiosi sisäiset tietoturva-asiat ovat kunnossa? jQuest™-tietoturvapeli auttaa tunnistamaan ja ennaltaehkäisemään tietoturvariskejä.