Viime kuussa minulle soitti asiakas, jonka kotisivut olivat olleet alhaalla kaksi päivää. Lisäosia ei ollut päivitetty puoleen vuoteen, PHP-versio oli vanhentunut ja hosting-palveluntarjoaja oli päivittänyt sen automaattisesti – tuloksena oli valkoinen näyttö. Sivuston palauttaminen vei minulta puoli päivää ja maksoi asiakkaalle neljän kuukauden kotisivujen ylläpitoa vastaavan summan. Ongelma ei ollut siinä, että jotain odottamatonta tapahtui. Se oli itse asiassa lopputulos, joka on ainakin minun tiedossani – se on vain ajan kysymys.
Jos olette pienyrittäjä ja ajattelette, että ”kotisivuni toimivat, miksi niitä pitäisi ylläpitää” – tämä artikkeli on teille. Selitän, miksi WordPress vaatii säännöllistä huomiota, mitä tarkalleen ottaen tapahtuu, jos sitä ei saa, ja mitä ylläpito todellisuudessa tekee.
Kotisivut eivät ole staattiset – silloinkaan, kun ette muuta siellä mitään
Tämä on kohta, jossa monet kompastuvat. Tilaatte kotisivut, ne valmistuvat, ne näyttävät hyvältä – ja sitten tuntuu siltä, että asia on valmis. Kuin painettu kirja.
Mutta kotisivut eivät ole kirja. Kotisivut ovat ohjelmisto, joka elää internetissä. WordPress, lisäosat, teema, PHP (palvelinkieli, jolla WordPress toimii) ja tietokanta – kaikki nämä päivittyvät toisistaan riippumatta. Joka viikko joku jossain julkaisee päivityksen. Jotkut niistä korjaavat pienen virheen, jotkut tukkivat tietoturva-aukon, jotkut muuttavat sitä, miten sivu toimii sisäisesti.
Jos ette tee mitään, nämä palaset erkanevat toisistaan ajan myötä. Jossain vaiheessa palvelin pakottaa PHP-version päivityksen, mutta vanha lisäosanne ei osaakaan enää kommunikoida uuden version kanssa. Tai Google lopettaa vanhan tietoturvastandardin tukemisen ja sivunne katoaa hakutuloksista.
Mitä tapahtuu, jos ylläpitoa ei tehdä lainkaan
Ei vain ”jotain pahaa voi tapahtua” -tasolla, vaan mitä tarkalleen ottaen alkaa tapahtua ja missä järjestyksessä.
Ensimmäiset kuukaudet: sivu toimii. Kaikki on kunnossa. Ajattelette, että puheet ylläpidosta olivat liioittelua.
6–12 kuukautta ilman ylläpitoa: lisäosat ovat vanhentuneet, mutta sivusto toimii vielä. Sivun nopeus laskee hiljalleen – tietokantaan kertyy roskaa, kuvia ei ole optimoitu, välimuisti ei toimi kunnolla. Google Search Console alkaa näyttää varoituksia, mutta ette seuraa niitä.
12–18 kuukautta ilman ylläpitoa: ensimmäinen kriittinen tietoturva-aukko on auki sivullanne. Useimmiten ette tiedä sitä. Hakkerit eivät murtaudu yritysten sivuille siksi, että liiketoimintanne olisi kiinnostavaa – he ajavat automaattisia skannereita tuhansien sivujen yli ja etsivät juuri niitä tietoturva-aukkoja, jotka ylläpitämättömissä lisäosissanne ovat auki.
Jossain odottamattomassa vaiheessa: yksi kolmesta skenaariosta.
- Sivu muuttuu yhtäkkiä valkoiseksi – jotain päivitettiin palvelimen puolelta, eikä vanha lisäosa selvinnyt siitä
- Sivulle on syötetty haittaohjelma, joka ohjaa kävijät kasinosivustolle tai lähettää roskapostia
- Google merkitsee sivun ”vaaralliseksi” ja jokainen kävijä näkee punaisen varoitusnäytön
Palauttaminen ei ole halpaa. Haittaohjelmien puhdistus ja palautus maksaa kertaluonteisesti alkaen 150 €. Jos varmuuskopiota ei ole, sivun rakentaminen uudelleen alusta voi maksaa 800–2 000 €. Vertailun vuoksi: ylläpitomaksu olisi ollut 35–60 € kuukaudessa.
Viisi asiaa, joita kunnollinen ylläpito todellisuudessa tekee
En halua, että tämä kuulostaa vain yleiseltä luettelolta. Menen konkreettisemmaksi – mitä nämä asiat todellisuudessa tarkoittavat.
1. Päivitykset oikeassa järjestyksessä
WordPressiä, lisäosia ja teemaa ei päivitetä umpimähkään. Ennen jokaista päivitystä tehdään varmuuskopio. Jos jokin päivitys aiheuttaa ristiriidan, se voidaan palauttaa. Viikoittainen rytmi varmistaa, ettei mikään päivitys jää kriittisesti jälkeen.
2. Varmuuskopiot, jotka todella toimivat
”Teen varmuuskopioita” on lause, jonka kuulen usein. Jatkokysymys: missä varmuuskopiota säilytetään ja milloin viimeksi testasitte, voiko sen palauttaa? Jos varmuuskopio on samalla palvelimella kuin itse kotisivut, se katoaa myös palvelimen kaatuessa. Jos sitä ei ole testattu 6 kuukauteen, kukaan ei tiedä, aukeaako se lainkaan.
3. Tietoturvan valvonta 24/7
Patchstack (tietoturvapalvelu, joka seuraa tunnettuja tietoturva-aukkoja) skannaa lisäosianne jatkuvasti. Jos jossain päin maailmaa havaitaan tietoturva-aukko jossakin lisäosassanne, siitä saadaan tieto usein jo ennen kuin virallinen päivitys julkaistaan – ja sivunne saa väliaikaisen suojan. Tämä on jotain, mitä ette voi tehdä manuaalisesti.
4. PHP-version hallinta
PHP on kieli, jolla WordPress toimii. Palvelimet pakottavat ajoittain päivittämään vanhemman PHP-version uudempaan. Jos lisäosanne eivät ole valmiita tähän, sivu kaatuu. Ylläpitäjä seuraa, että lisäosanne ovat hyvissä ajoin yhteensopivia uudemman PHP:n kanssa – ennen kuin palvelin pakottaa muutoksen.
5. Käyttäjien ja käyttöoikeuksien hallinta
Ajan myötä kotisivuille kertyy käyttäjiä, joiden ei pitäisi enää olla siellä – entisiä työntekijöitä, vanha kehittäjä, jokin lisäosa, joka sai aikoinaan admin-oikeudet. Jokainen heistä on potentiaalinen sisäänpääsyreitti. Kunnollinen ylläpito tarkistaa nämä säännöllisesti.
Mutta sivuni on pieni – kannattaako sitä silti ylläpitää?
Tämä on kysymys, jonka kuulen joka viikko. Rehellinen vastaus: riippuu siitä, mitä odotatte sivulta.
Jos kotisivunne on käytännössä käyntikortti, jolla käydään harvoin ja jolla ette suoraan ansaitse rahaa – voitte ottaa pienemmän riskin ja tehdä ylläpitoa harvemmin. Tässä tapauksessa peruspaketti 35 € kuukaudessa on minimitaso. Sen alle ei juuri hyödyllistä palvelua saa.
Jos kotisivunne tuo yhteydenottoja, tilauksia tai on pääasiallinen myyntikanavanne – silloin jokainen tunti, jonka sivu on alhaalla, maksaa teille rahaa. Verkkokaupan kohdalla tämä on erityisen ilmeistä. Kolmen tunnin katkos keskellä vilkkainta ostosaikaa voi tarkoittaa satojen eurojen menetettyä myyntiä, puhumattakaan maineesta ja sijoituksesta Googlessa.
Kirjoitin hiljattu erillisen artikkelin kotisivujen ylläpidon hinnasta Virossa – siinä tarkastelen myös, mitä eri hintaluokkiin kuuluu ja miten valita teille sopivan kokoinen paketti.
Yksi asiakas, joka ei uskonut – kunnes uskoi
Pari vuotta sitten minulla oli asiakas, joka sanoi suoraan, ettei hän tarvitse ylläpitoa. ”Sivu on uusi, kai se vielä jonkin aikaa toimii.” Tein kotisivut valmiiksi, luovutin ne hänelle, eikä hän aloittanut ylläpitopalvelua.
18 kuukautta myöhemmin sain häneltä viestin. Sivu oli hakkeroitu, Google oli merkinnyt sen vaaralliseksi ja jokainen kävijä näki käytännössä punaisen varoitusnäytön. Hän oli menettänyt kolmen päivän tilaukset ja hänen yrityksensä nimen kohdalla Google-haussa oli merkintä ”tämä sivu voi vahingoittaa tietokonettasi”.
Palauttaminen maksoi hänelle 600 € kertamaksuna plus Googlen uudelleenindeksointiprosessi, joka kesti noin kaksi viikkoa. 18 kuukauden ylläpito olisi maksanut 630 € – sama raha, mutta ilman menetettyä myyntiä, ilman stressiä ja ilman mainehaittaa.
Hän on nyt ylläpitoasiakas. Ollut jo yli kolme vuotta.
Mitä tehdä, jos ette ole varmoja, onko sivunne ylläpidetty
Yksinkertainen testi: kirjautukaa sisään WordPress-hallintaanne (jos edes tiedätte, miten kirjautua sisään – se on jo itsessään varoitusmerkki). Katsokaa yläreunasta, kuinka monta päivitystä odottaa. Jos luku on yli kymmenen, sivunne on todennäköisesti riskivyöhykkeellä. Jos luku on yli 30, istutte aikapommin päällä.
Jos ette tiedä, missä varmuuskopionne ovat tai milloin viimeisin tietoturvapäivitys on tehty – todennäköisesti kumpaakaan ei ole. Eikä se tarkoita, että olisitte huono yrittäjä. Se tarkoittaa, ettette ole ohjelmistokehittäjä, mitä teidän ei tarvitse ollakaan.
Jos haluatte, että tarkistan sivunne ja kerron, missä tilanteessa tarkalleen olette – lähettäkää sivun osoite sähköpostitse osoitteeseen . Vastaan teille konkreettisesti: mikä on kunnossa, mikä ei, ja tarvitsetteko ylläpitoa lainkaan vai riittääkö kertaluonteinen kunnostustyö. Ylläpitopakettien tiedot ovat täällä, mutta tarkistan aina sivun ensin, enkä tarjoa pakettia sokkona.
Kotisivut ovat työkalu. Kuten mikä tahansa työkalu – ne toimivat vain, jos niitä huolletaan. Ero on siinä, maksatteko siitä pienen summan joka kuukausi vai yhden kunnon summan silloin, kun on jo liian myöhäistä.
Usein kysytyt kysymykset
Kuinka usein WordPress-lisäosat tulisi päivittää?
Ihannetapauksessa viikoittain. Kriittiset tietoturvapäivitykset tulisi asentaa heti niiden ilmestyttyä – ne korjaavat tunnettuja tietoturva-aukkoja, joista tieto on julkista ja joita hakkerit käyttävät aktiivisesti hyödykseen.
Voinko tehdä kotisivujen ylläpidon itse?
Teknisesti kyllä, mutta teidän tulisi tietää, missä järjestyksessä päivitykset asennetaan, miten varmuuskopio tehdään ennen päivitystä ja miten palautus tehdään, jos jokin menee vikaan. Useimmille pienyrittäjille kuukausittainen ylläpitomaksu on halvempi kuin kertaluonteinen palautustyö.
Mitä tapahtuu, jos en tee päivityksiä vuoteen?
Sivu todennäköisesti toimii edelleen – kunnes se ei enää toimi. Joko silloin, kun palvelin pakottaa PHP-version päivityksen ja vanha lisäosa lakkaa toimimasta, tai silloin, kun hakkeri löytää yhden monista avoimista tietoturva-aukoista. Molemmissa tapauksissa palauttaminen on kalliimpaa kuin ylläpidolla ennaltaehkäisy.
Onko hosting-palveluntarjoajan varmuuskopio riittävä?
Yleensä ei ole. Jos itse palvelin kaatuu tai tili suljetaan, varmuuskopio katoaa sen mukana. Kunnollinen varmuuskopio sijaitsee erillisessä pilvipalvelussa, siitä riippumatta.
Paljonko kotisivujen ylläpito maksaa Suomessa?
Uskottava ylläpito alkaa noin 35 eurosta kuukaudessa + alv ja nousee verkkokauppojen kohdalla 60–120 euroon. Halvempia tarjouksia on olemassa, mutta niistä puuttuvat yleensä tietoturvan valvonta, hakkerointitakuu ja säännölliset varmuuskopiot.
