• Verkkosivut

WordPress turvallisuuden parantaminen

Tässä blogikirjoituksessa kerromme muutamia keinoja Wordpressin tietoturvallisuuden parantamiseksi.

SDM logo

Digimarkkinointi

WordPress on suosituin verkkosivujen julkaisujärjestelmä (CMS). WordPress on käytössä 59,4%:ssa kaikista nettisivuista, joiden sisällönhallintajärjestelmä tunnetaan.  Suuri markkinaosuus kuitenkin lisää riskiä hyökkäyksen kohteeksi joutumiselle, kun uusia haavoittuvuuksia löydetään. Tässä blogikirjoituksessa kerromme muutamia keinoja WordPressin tietoturvallisuuden parantamiseksi.

Pidä WordPress ja sen lisäosat ajan tasalla

Sinun kannattaa aina pitää WordPress ja sen lisäosien versiot ajan tasalla, koska päivityksissä tulee aina bugi korjauksia ja muita parannuksia.

Voit ladata uusimman WordPress-version osoitteesta wordpress.org. Versiosta 3.7 lähtien WordPressiin on lisätty myös automaattinen päivitystoiminto, jonka avulla voit päivittää uusimpaan versioon hallintapaneelin kautta yhden napin painalluksella.

Päivitä wordpress

Lisäksi kannattaa käyttää vain luotettuja WordPress-lisäosia ja -teemoja. Hanki lisäosat ja teemat vain WordPressin repositoriosta tai tunnetuilta yrityksiltä, tällöin vähennät mahdollisten ongelmien riskiä tulevaisuudessa.

Käytä fiksua käyttäjätunnusta ja salasanaa

Älä käytä ”admin” käyttäjätunnusta ja valitse monimutkainen salasana. Tämä on todennäköisesti paitsi paras, myös yksi helpoimmista tavoista parantaa WordPressin turvallisuutta. Valitettavan usein ihmiset käyttävät yksinkertaista salasanaa, jota katuvat myöhemmin sivuston joutuessa brute force -hyökkäyksen kohteeksi. Unohda siis sellaiset salasanat kuten ”1234567” ja panosta turvallisuuteesi.

Voit myös käyttää two-factor authentication -menetelmää. Alla on listattuna joitakin two-factor authentication -lisäosia WordPressille.

Edellä mainituilla vaihtoehdoilla on paljon latauksia ja niitä myös päivitetään aktiivisesti.

Käytä turvallisuuslisäosaa

WordPressiin on saatavilla paljon hyviä turvallisuutta parantavia lisäosia, jotka auttavat mm. lukitsemaan sivustosi ja suojaamaan sen brute force -hyökkäyksiä vastaan.

Yllä listattu tunnetuimmat security pluginit.

Lukitse login-sivu

/wp-admin -sivun lukitseminen on ylivoimaisesti helpoin varatoimenpide, jonka voit tehdä. Monilla sivustoilla on päivittäin tuhansia epäonnistuneita kirjautumisyrityksiä, joista sivuston ylläpitäjä ei todennäköisesti ole edes tietoinen. Monien aiemmin mainittujen turvallisuuslisäosien avulla pystyt / pystytään seuraamaan logia ja sitä, kuinka monta kirjautumisyritystä sivustollesi on tullut.

 

Jos käytät käyttäjätunnusta ”admin”, ei kannata yllättyä sivustollesi tulevien kirjautumisyritysten suuresta määrästä. Mitä asialle voi tehdä? On olemassa muutama keino, joita kannattaa käyttää. Ensinnäkin monet aiemmin mainituista lisäosista mahdollistavat kirjautumisyritysten rajoittamisen.

Wordpress tietoturvan parantaminen

Toinen hyvä keino on login url-osoitteen muuttaminen.  WPS Hide Login -lisäosan avulla tämä onnistuu helposti. Login url:n muuttamisen jälkeen sisäänkirjautumisyritysten määrä putoaa huomattavasti. Security pluginien avulla voit myös rajoittaa login-sivulle pääsyä rajoittamalla sen ip-osoitteeseen .htaccess tiedostossa tai jopa suojata login-sivusi salasanalla.

Tarkista tiedostojen oikeudet

Kannattaa varmistaa, että käytössä on oikeat hakemistojen ja tiedostojen käyttöoikeudet. Jokaisella hakemistolla ja tiedostolla on omat käyttöoikeutensa, jotka sallivat ihmisten lukea, kirjoittaa ja muokata niitä. Jos tiedostojesi käyttöoikeudet ovat liian löysät, saattaa se avata oven hyökkääjälle. Jos käyttöoikeudet toisaalta ovat liian tiukat, saattaa se hajottaa WordPress-asennuksesi, koska tällöin lisäosat ja ydin eivät pääse kirjoittamaan tiettyihin hakemistoihin. WordPressin codex:issa on yksityiskohtainen ohje tiedosto-oikeuksien muuttamiseksi.

Tietokannan turvallisuus

On myös olemassa muutama helppo keino tietokannan turvaamiseksi. Esimerkiksi tietokantataulujen etuliite (table prefix), joka on oletusarvona wp_, kannattaa vaihtaa. Paras vaihtoehto etuliitteeksi on satunnaisesti muodostettu merkkijono, joka sisältää numeroita ja kirjaimia. Tämä tekee etuliitteen arvaamisen tunkeutujalle mahdollisimman vaikeaksi.

Wordpress tietokanta etuliite

Siirrä wp-config.php

Wp-config.php on ehkä tärkein tiedosto koko WordPress-ympäristössä. Se näet sisältää tietokannan käyttäjätunnuksen ja salasanan. Mikäli WordPress on asennettu normaalisti sovelluspalvelimen juureen, Wp-config -tiedoston voi heittää yhden kansion ylemmäksi tiedostorakenteessa, jolloin se ei ole enää sovelluspalvelimen hakemistossa. WordPress osaa etsiä automaattisesti kyseistä tiedostoa yhtä hakemistoa ylempää, minkä ansiosta muita muutoksia ei tarvita.

Yhteenveto

Yllä mainitut keinot eivät tee WordPress-sivustosta sataprosenttisen turvallista, mutta niiden avulla pystyt kuitenkin oleellisesti parantamaan sivustosi turvatasoa. Kannattaa myös harkita SSL:n (https:) käyttöönottamista varsinkin silloin, jos sivustollasi käsitellään asiakas tai tilaus -tietoja. Kuten huomasit, WordPress-asennuksen tietoturvallisuutta voi parantaa monella helpolla tavalla.  Ota yhteyttä, jos tarvitset apua WordPress-sivustosi kanssa.

Ota yhteyttä

Tilaa digitaalisen markkinoinnin hiljainen tieto sähköpostiisi 2 kertaa kuussa

Opi lisää Suomen suurimmassa digitaalisen markkinoinnin kirjastossa.

    • Hakukoneoptimointi
    • Tekoäly

    Kuinka varmistat, että ChatGPT suosittelee yritystäsi kilpailijoidesi sijaan?

    Ymmärrä millä perusteella tekoälyt ja hakukoneet nostavat tuloksia ja paranna sivustosi näkyvyyttä.

    Lue lisää
    • Digitaalinen markkinointi
    • Sähköpostimarkkinointi
    • Uutiset

    Kolmannen osapuolen evästeet murroksessa – mitkä ovat vaikutukset digimarkkinoinnille? 

    Evästeet ovat olennainen osa asiakaskokemusta verkossa. Tämä blogi kertoo, mitä sinun täytyy tietää ensimmäisen ja kolmannen osapuolen evästeistä.

    Lue lisää
    • Uutiset

    Google Trends – Miksi ja miten hyödyntää sitä liiketoiminnassasi?

    Lue lisää
    • Sosiaalinen media
    • Tekoäly

    Millä tavoin tekoäly näkyy sosiaalisen median asiantuntijan päivittäisessä työskentelyssä?

    Tekoäly on keskeinen työkalu someasiantuntijan päivittäisessä työssä. Lue, millä tavoin!

    Lue lisää
    • Ääniblogi
    • Facebook
    • Instagram
    • Sosiaalinen media
    • TikTok
    • Videomainonta

    Some-markkinointi 2025: Mitä voimme odottaa?

    Mihin some-markkinointi menee vuonna 2025? Listasimme muutamia tärkeimpiä somemainonnan kehityssuuntia. Lue blogistamme mihin ainakin kannattaa varautua!

    Lue lisää
    • Ohjelmallinen ostaminen

    Miksi High Impact -mainonta on ratkaisevan tärkeää digitaalisessa markkinoinnissa?

    High Impact -mainonnalla varmistat, että juuri sinun viestisi erottuu massasta ja vaikuttaa kohdeyleisöön.

    Lue lisää
    • Ääniblogi
    • Brändi
    • Markkinointi

    Sitoutuneita asiakkaita ja loistavaa kriisinhallintaa – Tärkeimmät opit urheilumarkkinoinnista

    Urheilumarkkinointi sisältää omia erityispiirteitä, joista voimme ottaa oppia. Lue blogista, mitä nämä piirteet ovat, ja miten hyödynnät niitä omassa markkinoinnissasi!

    Lue lisää
    • Hakukoneoptimointi

    Miksi yrityksenne todella tarvitsee hakukoneoptimointia? Miksi ja milloin palkata SEO-toimisto? Mitä hyötyjä palkkaamisesta on? Milloin et tarvitse SEO-toimistoa?

    Lue lisää
    • Ääniblogi
    • TikTok

    TikTok-markkinointi yritykselle – tärkeimmät seikat kootusti

    Tässä blogissa käymme läpi TikTokia mainoskanavana sekä MRACE® -mallin näkökulmasta.

    Lue lisää
    • Ääniblogi
    • Sisältömarkkinointi
    • Tekoäly

    Kuinka yrityksellesi räätälöity GPT voi parantaa markkinointiasi?

    Kun kaikki käyttävät apunaan samaa työkalua: tekoälyä eli AI:ta, markkinoinnissa erottautuminen vaatii yksilöllisempää panostusta. Kustomoitu GPT on kilpailuvaltti, joka t...

    Lue lisää