On kulunut yli kaksi vuotta siitä, kun kirjoitin WordPress-kentän headless-huumasta. Ryhdyimme tuolloin huumasta toimeen ja olemme saaneet paljon käytännön kokemusta useiden Headup-alustaamme hyödyntävien projektien kautta.
Valitsimme omaan Headup-ratkaisuumme kaikkein tietoturvallisimman tavan toteuttaa headless-sivusto: julkaisujärjestelmä ja julkinen sivusto erotetaan kokonaan toisistaan yhdistämällä WordPressin tuottama sisältö ja Reactilla toteutettu julkinen käyttöliittymä staattiseksi verkkosivustoksi, joka toimii hakukoneoptimoinnin osalta vähintään yhtä hyvin kuin perinteinen WP-sivusto.
Tässä mallissa verkkosivustosta tai ylipäätään avoimesta internetistä ei ole mitään yhteyttä tai pääsyä julkaisujärjestelmään, jolloin hyökkäyspintaa ei jää käytännössä lainkaan. Julkisen sivuston kautta ei pysty myöskään kuormittamaan sisällönhallintaa siten, että uuden sisällön julkaisu estyisi.
Ennakko-odotuksemme oli, että staattista sivustoa on myös erittäin kustannustehokasta skaalata ja tämä oletus on myös osoittautunut oikeaksi. Myöskin sivuston rakentamis- ja jatkokehityskustannukset ovat pysyneet asiakkaiden kannalta kohtuullisella tasolla.
Toinen vaihtoehto toteuttaa headless-sivusto olisi ollut sallia julkisen sivuston lukea reaaliajassa julkaisujärjestelmän rajapintaa joko osittain tai kokonaan, mutta tässä mallissa menetettäisiin useimmat tietoturvahyödyt ja osa suorituskykyhyödyistä.
Tietoturvaan panostamalla mielenrauhaa
Saimme Headup-hankkeen julkaistuamme hieman kritiikkiä siitä, että ratkaisu keskittyy vain tietoturvaan ja jättää muut asiakashyödyt huomioimatta. Jälkikäteen on kuitenkin todettava, että tietoturvaan keskittyminen on osoittautunut asiakkaidemme kannalta oikeaksi.
Jotta tietoturvan merkityksen voi ymmärtää, on ensin on ymmärrettävä, että verkkosivuston tietoturvassa ei ole kyse vain teknisestä järjestelmästä. Tietojen turvaaminen suojaa ennen kaikkea organisaation uskottavuutta ja tiedon luotettavuutta. Verkkosivusto ei myöskään ole reaalimaailmasta irrallinen saareke. Väärennetyllä pörssitiedotteella voidaan hankkia taloudellista hyötyä tai poliittisen toimijan sivustolle lisätty tiedote voi johtaa laajaankin poliittiseen konfliktiin.
Panostamalla tietoturvaan olemme päässeet toteuttamaan WordPressillä yhteiskuntamme kannalta kriittisiä palveluita ja pystyneet tarjoamaan mielenrauhaa asiakkaille, jotka ovat aikaisemmin pelänneet energiajakelun suurhäiriötilanteesta johtuvan kävijäpiikin tai verkkohyökkäyksestä johtuvan kuormituksen estävän asiakkaiden pääsyn sivustolle ja ylläpitäjien pääsyn sisällönhallintaan.
Panostamalla tietoturvaan olemme päässeet toteuttamaan WordPressillä yhteiskuntamme kannalta kriittisiä palveluita ja pystyneet tarjoamaan mielenrauhaa asiakkaille.
Toisaalta olemme saaneet mielenrauhaa myös itse: aikaisemmin palvelinten ylläpitäjien verenpaineita nostaneet kävijäpiikit eivät enää vie yöunia, koska sivuston skaalaus toimii oletetulla tavalla.
Olemme pitäneet Headupin kohdalla tiukasti kiinni parista myyntiperiaatteista. Emme myy Headupia ”normaalina WordPressinä” asiakkaille, joilla ei oikeasti ole tarvetta huippukorkealle tietoturvalle ja kuormankestolle. Pystymme toteuttamaan erittäin korkean tietoturvan ja kuormankeston ratkaisut myös perinteisellä WordPressillä edistyneiden välimuistiratkaisujen avulla.
Korostan tätä siksi, että joissain tapauksissa Headupin tuottama staattinen sivusto ja käyttämämme välimuistiratkaisu on kilpailutuksissa sekoitettu ja olemme saaneet aiheetta kritiikkiä Headup-ratkaisumme tuputtamisesta asiakkaille, jotka eivät sellaista tarvitse.
Toinen periaate on ollut, että kerromme myös ratkaisun vaihtoehtoiskustannukset, joista ilmeisin on 1-5 minuuttia kestävä staattisen sivuston generointi, mikäli staattinen sivusto luodaan alusta asti. Mikäli ylläpitäjän pitää julkaista ainoastaan yksi yksittäinen uutinen tai häiriötiedote, se on mahdollista julkaista myös yksittäin.
Muita vaihtoehtoiskustannuksia on esimerkiksi se, että lomakkeiden käsittelyä ei voi toteuttaa julkaisujärjestelmän työkaluilla, vaan siihen on käytettävä ulkoista palvelua tai rajapintaa. Tähänkin haasteeseen olemme löytäneet asiakkaillemme sopivat ratkaisut.
Kenelle Headup sopii?
Lopuksi on hyvä korostaa, että Headup on erityisratkaisu poikkeuksellisiin tarpeisiin. Edelleen 95%:lle verkkosivustoista perinteinen WordPress-sivusto hyvin suojattuna ja välimuistitettuna on oikea ratkaisu. Headup puolestaan sopii, kun tarvitaan kustannustehokasta rajatonta skaalautumista ja korkeimman luokan tietoturvaa.
Mikäli jokin seuraavista pitää paikkansa organisaatiosi tai verkkosivustosi osalta, Headup on harkitsemisen arvoinen ratkaisu sivuston alustaksi:
- Organisaatiosi toimii yhteiskunnan perustoimintojen tai infrastruktuurin kannalta kriittisissä tehtävissä.
- Organisaatiosi tehtävänä on vastata suurta väestönosaa koskevasta kriisiviestinnästä.
- Organisaatiosi toimii toimialalla, jonka toimijoihin kohdistuu säännöllinen verkkohyökkäysten uhka. Esimerkiksi politiikka-, pankki-, sijoitus- ja energiasektorilla.
- Verkkosivustollasi julkaistavan tiedon eheys on erityisen tärkeää ja väärän tiedon julkaisulla on merkittäviä vaikutuksia.
Ylipäätään, mikäli sivustosi on luonteeltaan sellainen, ettet halua antaa sille julkista referenssilupaa ja näin estää sen, ettei verkkosivustotoimittajan kautta voi päästä vaikuttamaan omaan organisaatioosi, on Headup todennäköisesti sinulle sopiva ratkaisu.