Helsingin Sanomat julkaisi 1.11 artikkelin, jossa käsiteltiin WordPress-sivustojen alttiutta hakkeroinnille. Artikkeli kuvaa huolestuttavaa nykytilannetta kun puhutaan verkkopalvelun julkaisun jälkeisestä ajasta. Rakennetaan hieno palvelu, mutta kukaan ei ylläpidä sitä julkaisun jälkeen, koska halutaan säästää kustannuksissa. Tällä kertaa ajattelin hieman valoittaa, miksi palvelun ylläpito on tärkeää ja mitä Sofokuksen ylläpitoon kuuluu.

Tarjoamme jokaiseen verkkopalvelutoteutukseen ylläpitoamme. Joskus tilaaja sen ottaa, joskus ei. Tasaisin väliajoin saamme myös kysymyksen siitä, että mitä ihmettä tällainen ylläpito tarkoittaa? Eikö palvelun tekeminen olekaan kertainvestointi, jonka jälkeen se hurraa tyytyväisesti hamaan tappiin saakka pelkillä hosting-kuluilla? Vastaus on että hurraa ja ei hurraa. Riippuu ihan siitä, mitä tilaaja lopulta haluaa.

Jos ylläpitoa ei halua ottaa, voimme asentaa palvelun webhotelliin tai virtuaalipalvelimeen, johon annamme tilaajalle kaikki tunnukset. Tässä kohtaa kuitenkin kannattaa huomioida, että emme ole tämän jälkeen vastuussa siitä, mitä palvelussa tapahtuu. Jos joku hakkeroi palvelun, ongelma on tilaajan vastuulla. Kannattaa myös pohtia, että jos joku hakkeroi verkkosivustosi tai verkkokauppasi, mitä se tarkoittaa liiketoimintasi kannalta? Minkälaisen kuvan annat itsestäsi, kun verkkosivuille tultaessa käyttäjä saa jonkinlaisen hakkerivideon tai pääkallon kuvan normaalin sisällön sijaan? Onko se säästämisen arvoista?

Helsingin Sanomien artikkeli kertoi WordPressistä, mutta tämä asia koskee ihan yhtä lailla mitä tahansa muutakin järjestelmää, sovelluskehystä jne. Esimerkiksi Drupalista löytyi juuri varsin iso turva-aukko. Jos sinulla on Drupal-sivusto ja siihen sovittu ylläpito, luultavasti ylläpitäjä paikkaa aukon puolestasi, eikä sinun tarvitse siitä huolehtia.

Fakta on kuitenkin se, että sovellukset ja sovelluskehykset kehittyvät niin nopealla vauhdilla, että niistä kannattaa aina pyrkiä käyttämään uusimpia versioita, joissa kaikki tiedetyt tietoturva-aukot on korjattu.

Ylläpitoomme kuuluu monta asiaa:

  1. Käyttöjärjestelmästä huolehtiminen.
  2. Asennetun sovelluksen huolehtiminen (esim. Magento, WordPress).
  3. Monitorointipalvelu.
  4. Varmuuskopiointi.
  5. Tekninen tuki toimistoaikoina.
    1. Tarvittaessa voidaan sopia tuki myös toimistoaikojen ulkopuolelle

Käyttöjärjestelmän ja sovelluksen ylläpito

Käyttöjärjestelmiin tulee koko ajan uusia päivityksiä. Osa niistä on tärkeitä ja osa taas ei niin tärkeitä. Joka tapauksessa erityisesti tietoturvapäivitykset tulisi ajaa tasaisin väliajoin. Jos sinulla on esimerkiksi virtuaalipalvelin eikä kukaan huolehdi siitä, niin kukapa olisi paikannut esimerkiksi Shellshock-haavoittuvuuden?

Open Source -sovelluksiin tulee myös päivityksiä jatkuvasti. On tärkeää, että päivitykset muistetaan tehdä, sillä osa päivityksistä koskee tietoturvaa. Jos pyörität esimerkiksi vuoden vanhaa WordPressiä, se on haavoittuvainen. WordPressin päivittäminen tapahtuu nappia painamalla, joka aiheuttaa joskus hämmennystä. Ei kai siihen voi mennä aikaa kuin minuutti kun se tehdään? Mistä me siis oikein ylläpidossa maksamme?

Itse päivitys on nopeahko toimenpide, mutta päivitystä edeltää monta muutakin toimenpidettä:

  1. Ensin pitää lukea mitä päivityksiä on saatavilla ja mitä ne koskevat. Jos joku menee rikki, silloin tietää paremmin mistä ongelmaa voi lähteä selvittämään.
  2. Päivitykset voivat rikkoa jotain, sen takia päivitys on syytä testata testiympäristössä.
  3. Jos joku asia menee rikki, pitää selvittää voiko sen korjata helposti vai mikä olisi paras tapa edetä ongelman ratkaisemiseksi.
  4. Ennen päivitystä tulee ottaa manuaaliset varmuuskopioit, siltä varalta jos joku kuitenkin menee väärin.
  5. Päivitykset voi ajaa tuotantoon.

Emme siis aja päivityksiä silmät kiinni ja toivomme, että palvelu toimii päivityksen jälkeenkin. Testaamme muutokset niin että mahdollinen downtime saadaan mahdollisimman pieneksi ja niin ettei ongelmia tule tuotantoon.

Toisilla alustoilla päivittämisprosessi myös vaihtelee.

Huolehdimme myös siitä, ettei SSL-sertifikaattisi tai maksullisten lisäosien lisenssit pääse vanhentumaan. Lisenssit ja sertifikaatin hinnat veloitamme erikseen.

Jos käytät webhotellia, sovelluksen päivittäminen on sinun vastuullasi. Hosting-tarjoajat pesevät kätensä varsin tehokkaasti sovellustuen antamisesta. Jos taas käytät virtuaalipalvelinta, silloin joudut hoitamaan myös käyttöjärjestelmäpäivitykset itse.

Monitorointi

Monitoroimme palveluita, jotka ovat ylläpidossamme. Tällä tavoin saamme välittömästi tiedon siitä, jos joku palvelu on kaatunut tai toimii esimerkiksi todella hitaasti. Ehdimme monesti reagoimaan ongelmatilanteisiin ennen kuin asiakas itse edes huomaa ongelmaa. Monitoroinnin perusteella pystymme myös ehdottamaan, jos palvelin kapasiteettia pitäisi kasvattaa.

Harva hosting-tarjoaja tarjoaa minkäänlaista monitorointia.

Varmuuskopiointi

Varmuuskopioimme ylläpidossamme olevat palvelut päivittäin. Varmuuskopiot siirretään kryptattuina muualle, jotta ne ovat useammassa paikassa tallessa. Pystymme palauttamaan varmuuskopiot viimeisen 14 päivän ajalta. Tämän lisäksi pidämme tallessa muutaman varmuuskopion parilta viime kuulta ja yhden myös viime vuodelta. Varmuuskopioimme kriittisimmät tiedot (esim. tietokanta ja sovelluksen tiedostot). Myös muunlaiset varmuuskopiointisyklit on toteutettavissa, jos niille on tarvetta.

Otamme palvelimista myös kokonaisia image-varmuuskopioita. Tämä sykli riippuu käytettävästä hosting-tarjoajasta.

Halvimpiin webhotelleihin ja virtuaalipalvelimiin ei välttämättä kuulu minkäänlaista varmuuskopiontia. Lisäpalveluna varmuuskopiointi on yleensä saatavilla, mutta se tuo luonnollisesti lisää kustannuksia. Varmuuskopion palauttamisesta yleensä tarjoajat myös veloittavat erikseen jotakin.

Tekninen tuki

Tekninen tukemme alkaa selvittää ongelmatilanteita toimistoaikoina välittömästi kun saamme viestin asiakkaalta. Tilanne pyritään normalisoimaan nopeasti ja ilmoitamme kun kaikki toimii taas normaalisti. Tämän lisäksi tilanne analysoidaan ja pyritään selvittämään niin, ettei se pääse toistumaan.

Ylläpitomme on sitä varten, että sinä voit nukkua yösi ilman, että joudut murehtimaan, onko palvelusi vielä aamulla pystyssä vai ei.