Yrityksesi kooditehdas

Modernia full-stack Python ja Django-kehitystyötä Vue-rungolla ja allaolevalla infrastruktuurilla

Kovennettu Wordpress

Tietojärjestelmien koventaminen viittaa työhön, jonka tarkoituksena on parantaa tietoturvaa ja vähentää mahdollisuutta tietoturva-aukkojen hyödyntämiselle (nk. hyökkäyspinta-alan pienennys).

Milloin kovennusta tarvitaan?

Wordpress:n oletusasennus on toimiva, mutta ei sisällä mitään erityisiä tietoturva-asetuksia tai kovennuksia. Wordpress on suosittu hyökkäyskohde sen laajasta käytöstä ja murheellisesta tietoturvahistoriasta johtuen.

Kovennustyö suositellaan tehtäväksi kaikille internetiin päin avoimille järjestelmille, mutta erityisesti sellaisille;

  • joita ei ole mahdollista asentaa palomuurin taakse; esimerkkinä budjettipalveluntarjoajalle asennettu Wordpress
  • joissa säilytetään arkaluontoista materiaalia, kuten asiakas- tai jäsenrekisterejä tai muita henkilötietoja
  • joissa käsitellään rahaliikennettä, kuten verkkokaupat
  • joiden pitää läpäistä sertifiointi tai auditointi

Mitä kovennus kattaa?

Perusmuotoinen kovennus

Perusmuotoinen kovennus voidaan suorittaa mille tahansa Wordpress-asennukselle. Hosting-palveluntarjoajanne alusta saattaa kuitenkin asettaa rajoituksia sille, miten uuteen versioon Wordpress ja sen lisäosat voidaan päivittää.

Perusmuotoinen kovennus sisältää seuraavat Wordpress-ohjelmistoon tehtävät muutokset:

  • Ennen töiden aloittamista, järjestelmän varmuuskopiointi sekä tietokannan että tiedostojen osalta. Varmuuskopio säilytetään erillään käsiteltävästä järjestelmästä ja tuhotaan tietoturvallisesti projektin päätyttyä
  • Asennuksen kartoitus: nykyiset versiot, ympäristö, integraatiot
  • Poistetaan levyltä sellaiset liitännäiset, jotka eivät ole käytössä
  • Poistetaan levyltä sellaiset teemat (sivuston ulkoasut), jotka eivät ole käytössä
  • Wordpress-asennuksen päivitys uusimpaan versioon
  • Wordpress-liitännäisten päivitys uusimpaan versioon
  • Käytössä olevien teemojen päivitys uusimpaan versioon
  • Wordpress:n hallintanäkymän kirjautumisen suojaus sekä kaksivaiheisella tunnistuksella että kirjautumisyritysten rajoituksella
  • Wordpress:n rajapintojen (REST, XML-RPC) kovennus
  • Sivuston toiminnan testaaminen päivitysten ja kovennusten jälkeen

Wordpress:n päivittäminen saattaa muuttaa Wordpressin ominaisuuksia, esim. siirtää valikoita eri paikkaan tai muuttaa hallintanäkymän ulkonäköä. Noviaria veloittaa erikseen kulloinkin voimassaolevan tuntityöhinnastonsa mukaisesti töistä, jotka liittyvät päivityksestä johtuvien yhteensopivuusongelmien korjaamisen (esim. liitännäisten ohjelmointityöt), vianselvitykseen, käyttötukeen tai koulutukseen.

Mikäli Wordpress on asennettu Noviarian toimesta, on perusmuotoinen kovennus sisältynyt asennuksen hintaan. Mikäli sivustoa ei kuitenkaan ole ylläpidetty tai päivitetty, kannattaa kovennus teetättää sellaiseenkin sivustoon.

Hinta ja toimitusaika

Perusmuotoinen kovennus on toteutettavissa pienille, alle 20:n sivun (pl. artikkelit) yhden palvelimen Wordpress-asennuksille hintaan 549 €. Työt toteutetaan yhden arkipäivän puitteissa, jonka aikana on suositeltavaa, että Wordpress:n hallintanäkymää ei käytetä. Päivitystyöt saattavat aiheuttaa lyhyitä katkoksia sivuston toimintaan.

Suuremmille tai korkeaa tavoitettavuutta vaativille sivustoille tarjousten perusteella.

Laaja kovennus

Kaikki kuten perusmuotoisessa kovennuksessa, mutta lisäksi töitä kuten;

  • Sivuston eteen asennetaan palomuuri (WAF)
  • Sivuston ohjelmointikielen toimintoja rajoitetaan
  • Allaolevan sovelluspalvelimen toimintoja rajoitetaan
  • Allaolevan käyttöjärjestelmän toimintoja rajoitetaan
  • Tietokantapalvelimen toimintoja rajoitetaan
  • Wordpress-hallintanäkymän rajoitus yhteystunnelin taakse
  • Tiedostojärjestelmätason rajoitukset

Laaja kovennus edellyttää muutoksia myös Wordpress-sovelluksen ympärillä oleviin järjestelmiin. Koska järjestelmät voivat olla hyvinkin erilaisia vaatii laaja kovennus tästä syystä suunnittelun ja toteutuksen projektikohtaisesti.

Mikäli käytätte Noviarian toimittamia hosting-palveluita, kuuluu laaja kovennus hintaan. Muussa tapauksessa toimitamme teille mielellämme tarjouksen myös laajasta Wordpress:n kovennuksesta.

Laaja kovennus sopii kaikille verkkosivuille, mutta erityisesti tilanteisiin, joissa on esimerkiksi auditointivaatimuksia verkkosivustojen suhteeen. Laaja kovennus sopii myös erinomaisesti sivustoille joilla käsitellään arkaluontoista materiaalia, kuten asiakasrekisterejä tai rahaliikennettä, kuten esim. verkkokaupoissa yleisesti tehdään.

Vaihtoehdot kovennukselle

Mikäli Wordpress-sivustolla ei ole dynaamisesti luotuja sivuja, toisin sanoen sivuja jotka sisältävät lennosta luotua muuttuvaa tietoja, voidaan sivustosta tehdä nk. staattinen verkkosivusto. Staattinen verkkosivusto on eräänlainen kuva, joka edustaa kulloinkin Wordpress:n hallintanäkymän tilaa. Tällöin voitte käyttää Wordpress:n hallintanäkymää sivuston muokkaukseen samaan tapaan kuin ennenkin, mutta julkisesta sivustosta luodaan tuolloin automaattisesti staattinen versio. Koska tämän tyyppinen julkisesti saatavilla oleva sivusto toimii kokonaan selainpohjaisesti, ei se myöskään ole haavoittuvainen palvelinpuolen PHP-ohjelmointikielen tai Wordpress:n tietoturva-aukoille.

Jokainen verkkosivusto on erilainen, joten annamme mielellämme lisätietoja sekä tarjouksen juuri teidän tapauksellenne.