Hakukoneoptimointi miettiessä ei ehkä aivan ensimmäiseksi tule miettineeksi sivuston ja palvelimen tietoturvaa, mutta jos olet kuten minä, eli käytät WordPressiä ja sen lisäosia, on syytä muistaa myös käyttämiesi lisäosien tietoturva.

Phishing, eli tietojen kalastelu on tapa hankkia erilaisia tietoja ja phishingiin käytetään aina vain useammin pahaa aavistamattomien sivustojen alle kätkettyjä sivuja, siis minunsaitti.fi/tuhma-alasivu.html ja koska tuo alasivu ei ole linkkinä mistään muualta sivuiltasi, voit olla taivaallisen tietämätön, että sivustosi on kaapattu ja siten joutunut tiedonkalastlijoiden apuvälineeksi heidän phishing-hommissaan.

Wordfence-lisäosan blogissa oli hiljattain hyvä ohje, miten voit huolehtia käyttämiesi lisäosien turvallisuudesta, ainakin siinä määrin, kuin nyt luontevasti voi olettaa. Blogiartikkelissa suositellaan tekemään nämä asiat:

  • Älä käytä useampia lisäosia kuin on todella tarpeen sivustosi toiminnallisuuden kannalta
  • Lataa lisäosia mieluiten vain repositorysta tai ainakin vain luotettavilta sivustoilta
  • Käytä luotettuja ja hyvän maineen omaavia lisäosia
  • Poista lisäosat välittömästi, jos lopetat niiden käytön
  • Päivitä lisäosasi
  • Korvaa repositoryssa hylätyt lisäosat toisilla
  • Asenna WordPressiin palomuurilisäosa

Oma lisäykseni tuohon listaan on vieläkin tärkeämpi, eli WordPressin pitäminen tuoreena. Helpoin tapa tehdä tämä on lisätä WP:n wp-config.php -tiedostoon seuraava lyhyt rivi:
define( 'WP_AUTO_UPDATE_CORE', true );
Voit lisätä tuon mihin tahansa ja sen ansiosta WordPressin ydin päivittyy aina, kun uusi versio tulee repositoryyn saataville. Ottaen huomioon, että viime aikoina on tullut viljalti nimenomaan tietoturvaan pohjautuvia päivityksiä, olisi sulaa hulluutta olla päivittämättä corea, kun sen voi automatisoida.

Miten tuo edellä kerrottu oikein liittyy hakukoneoptimointiin? Hyvä kysymys ja vastaus on seuraava.

Troy Hunt kirjoittaa aiheesta lisää, mutta logiikka toimii näin.

  • Sivusto kaapataan jonkin haavoittuvuuden avulla
  • Jollekin alasivulle asennetaan Microsoftia tai muuta suurta toimijaa imitoiva logiikka, joka näyttää uskottavalta ja saa siksi ihmiset paljastamaan tietonsa
  • Tämä sivusto on kaapattu ja on phishingin käytössä

  • Kun phishing on jatkunut jonkin aikaa, Chrome, F-Secure, Microsoft ja muut turvaa tarjoavat yritykset ja ohjelmat merkitsevät phishingissä mukana olleen sivuston kieltolistalleen ja siinä vaiheessa peli on menetetty
  • Phishingin kohteeksi joutunut sivusto on Chromen kieltolistalla

No, ei kokonaan menetetty, mutta hakukoneoptimointi ei todellakaan ole tässä vaiheessa enää relevantti ongelma ja Googlen etusivulle ei näillä eväin päästä. Kun webmasterina törmäät tällaiseen tilanteeseen alkaa tilanteen purkaminen Webmaster Toolsin varoitukset läpi käymällä ja oman sivuston karsiminen kaikesta itsellesi tuntemattomasta.

Olen itse yhdessä monikansallisessa sivustossa yksi monesta webmasterista ja noin kuukausis sitten sivustomme kaapattiin ja index-sivuun sijoitettiin 301-redirect jollekin feikkirolexsivustolle. Valitettavasti tuo kv-sivustomme on vielä http-yhteyden takana ja siten ftp-yhteydetkin ovat suojaamattomia. Omat sivustonsa kannattaa AINA laittaa ssl:n taakse, jos suinkin vain mahdollista.

Lisävihje: Jos käytät target=”_blank” ankkuritägin ohjeena avata linkki uuteen ikkunaan, on hyvä pitää mielessä, että tuo uusi ikkuna on asemassa, jossa se voi hallinnoida lähettävän ikkunan window-tasoa ja siksi lähettävään tägiin on syytä lisätä rel=”nofollow noopener” tägi, jossa nofollow on ennestään tuttu hakukoneoptimoijille ja noopener estää uuden ikkunan ajautumisen samalle prosessille ja siten estää tuon potentiaalisen tietoturvariskin. Lisäbonuksena selain toimii nopeammin tuolla tägitetyllä linkillä.