WordPress on suosituin verkkosivujen julkaisujärjestelmä (CMS). WordPress on käytössä 59,4%:ssa kaikista nettisivuista, joiden sisällönhallintajärjestelmä tunnetaan. Suuri markkinaosuus kuitenkin lisää riskiä hyökkäyksen kohteeksi joutumiselle, kun uusia haavoittuvuuksia löydetään. Tässä blogikirjoituksessa kerromme muutamia keinoja WordPressin tietoturvallisuuden parantamiseksi.
Pidä WordPress ja sen lisäosat ajan tasalla
Sinun kannattaa aina pitää WordPress ja sen lisäosien versiot ajan tasalla, koska päivityksissä tulee aina bugi korjauksia ja muita parannuksia.
Voit ladata uusimman WordPress-version osoitteesta wordpress.org. Versiosta 3.7 lähtien WordPressiin on lisätty myös automaattinen päivitystoiminto, jonka avulla voit päivittää uusimpaan versioon hallintapaneelin kautta yhden napin painalluksella.
Lisäksi kannattaa käyttää vain luotettuja WordPress-lisäosia ja -teemoja. Hanki lisäosat ja teemat vain WordPressin repositoriosta tai tunnetuilta yrityksiltä, tällöin vähennät mahdollisten ongelmien riskiä tulevaisuudessa.
Käytä fiksua käyttäjätunnusta ja salasanaa
Älä käytä ”admin” käyttäjätunnusta ja valitse monimutkainen salasana. Tämä on todennäköisesti paitsi paras, myös yksi helpoimmista tavoista parantaa WordPressin turvallisuutta. Valitettavan usein ihmiset käyttävät yksinkertaista salasanaa, jota katuvat myöhemmin sivuston joutuessa brute force -hyökkäyksen kohteeksi. Unohda siis sellaiset salasanat kuten ”1234567” ja panosta turvallisuuteesi.
Voit myös käyttää two-factor authentication -menetelmää. Alla on listattuna joitakin two-factor authentication -lisäosia WordPressille.
- Clef Two-Factor Authentication
- Wordfence Security
- Two-Factor Authentication (Google Authenticator)
- Simple Security Firewall
Edellä mainituilla vaihtoehdoilla on paljon latauksia ja niitä myös päivitetään aktiivisesti.
Käytä turvallisuuslisäosaa
WordPressiin on saatavilla paljon hyviä turvallisuutta parantavia lisäosia, jotka auttavat mm. lukitsemaan sivustosi ja suojaamaan sen brute force -hyökkäyksiä vastaan.
Yllä listattu tunnetuimmat security pluginit.
Lukitse login-sivu
/wp-admin -sivun lukitseminen on ylivoimaisesti helpoin varatoimenpide, jonka voit tehdä. Monilla sivustoilla on päivittäin tuhansia epäonnistuneita kirjautumisyrityksiä, joista sivuston ylläpitäjä ei todennäköisesti ole edes tietoinen. Monien aiemmin mainittujen turvallisuuslisäosien avulla pystyt / pystytään seuraamaan logia ja sitä, kuinka monta kirjautumisyritystä sivustollesi on tullut.
Jos käytät käyttäjätunnusta ”admin”, ei kannata yllättyä sivustollesi tulevien kirjautumisyritysten suuresta määrästä. Mitä asialle voi tehdä? On olemassa muutama keino, joita kannattaa käyttää. Ensinnäkin monet aiemmin mainituista lisäosista mahdollistavat kirjautumisyritysten rajoittamisen.
Toinen hyvä keino on login url-osoitteen muuttaminen. WPS Hide Login -lisäosan avulla tämä onnistuu helposti. Login url:n muuttamisen jälkeen sisäänkirjautumisyritysten määrä putoaa huomattavasti. Security pluginien avulla voit myös rajoittaa login-sivulle pääsyä rajoittamalla sen ip-osoitteeseen .htaccess tiedostossa tai jopa suojata login-sivusi salasanalla.
Tarkista tiedostojen oikeudet
Kannattaa varmistaa, että käytössä on oikeat hakemistojen ja tiedostojen käyttöoikeudet. Jokaisella hakemistolla ja tiedostolla on omat käyttöoikeutensa, jotka sallivat ihmisten lukea, kirjoittaa ja muokata niitä. Jos tiedostojesi käyttöoikeudet ovat liian löysät, saattaa se avata oven hyökkääjälle. Jos käyttöoikeudet toisaalta ovat liian tiukat, saattaa se hajottaa WordPress-asennuksesi, koska tällöin lisäosat ja ydin eivät pääse kirjoittamaan tiettyihin hakemistoihin. WordPressin codex:issa on yksityiskohtainen ohje tiedosto-oikeuksien muuttamiseksi.
Tietokannan turvallisuus
On myös olemassa muutama helppo keino tietokannan turvaamiseksi. Esimerkiksi tietokantataulujen etuliite (table prefix), joka on oletusarvona wp_, kannattaa vaihtaa. Paras vaihtoehto etuliitteeksi on satunnaisesti muodostettu merkkijono, joka sisältää numeroita ja kirjaimia. Tämä tekee etuliitteen arvaamisen tunkeutujalle mahdollisimman vaikeaksi.
Siirrä wp-config.php
Wp-config.php on ehkä tärkein tiedosto koko WordPress-ympäristössä. Se näet sisältää tietokannan käyttäjätunnuksen ja salasanan. Mikäli WordPress on asennettu normaalisti sovelluspalvelimen juureen, Wp-config -tiedoston voi heittää yhden kansion ylemmäksi tiedostorakenteessa, jolloin se ei ole enää sovelluspalvelimen hakemistossa. WordPress osaa etsiä automaattisesti kyseistä tiedostoa yhtä hakemistoa ylempää, minkä ansiosta muita muutoksia ei tarvita.
Yhteenveto
Yllä mainitut keinot eivät tee WordPress-sivustosta sataprosenttisen turvallista, mutta niiden avulla pystyt kuitenkin oleellisesti parantamaan sivustosi turvatasoa. Kannattaa myös harkita SSL:n (https:) käyttöönottamista varsinkin silloin, jos sivustollasi käsitellään asiakas tai tilaus -tietoja. Kuten huomasit, WordPress-asennuksen tietoturvallisuutta voi parantaa monella helpolla tavalla. Ota yhteyttä, jos tarvitset apua WordPress-sivustosi kanssa.
