WordPress-sivuston tietoturvasta puhutaan runsaasti ja valitettavan usein negatiiviseen sävyyn. Kyseessä on kuitenkin turvallinen julkaisujärjestelmä, kunhan perusasiat on hoidettu kuntoon.
Seuraavien yhdeksän asian ollessa kunnossa voidaan WordPress-sivustoa pitää turvallisena.
- Älä käytä yleistä käyttäjätunnusta
- Käytä turvallista salasanaa
- Pidä WordPress ja lisäosat päivitettyinä
- Suojaa oma tietokoneesi ja käytä salattua yhteyttä
- Lisää Two Factor Authencation -varmennus
- Älä jaa oikeuksia turhaan
- Piilota wp-config.php ja .htacess -tiedostot
- Estä tiedostojen muokkaus WordPress-hallintapaneelin kautta
- Rajaa kirjautumisyritysten määrää
1. Älä käytä yleistä käyttäjätunnusta
Usein käyttäjätunnus jätetään vaihtamatta WordPress-sivuston pystyttämisen jälkeen, mikä aiheuttaa selvän tietoturvariskin sivustollesi avaten portit hakkereille.
”Admin” on yleisimmin käytetty käyttäjätunnus sivuston perustamisvaiheessa ja sen unohtuessa pysyväksi käyttäjätunnukseksi on sivusto selkeästi helpommin hakkeroitavissa kuin sivusto, jossa on käytetty uniikkia käyttäjätunnusta.
Näin vaihdat käyttäjätunnuksen:
- Kirjaudu sisään pääkäyttäjän oikeudet omaavilla tunnuksilla
- Navigoi valikosta ”Käyttäjät” > ”Lisää uusi”
- Luo uusi käyttäjä uniikilla käyttäjänimellä, vahvalla salasanalla ja pääkäyttäjän oikeuksilla
- Poista vanha käyttäjä
- WordPress tulee kysymään, mitä käyttäjää tullaan käyttämään sivujen ja artikkeleiden kirjoittajana, valitse tässä kohdassa luomasi käyttäjätunnus ja kaikki tiedot päivittyvät itsestään
2. Käytä turvallista salasanaa
Uniikin käyttäjänimen asettamisen jälkeen on seuraavaksi vuorossa turvallisen salasanan valitseminen. Jos epäilet salasanasi turvallisuutta toimi seuraavien ohjeiden mukaisesti.
Näin vaihdat WordPress-salasanan:
- Navigoi Käyttäjät-sivulle
- Valitse muokattava käyttäjä
- Paina ”Luo salasana” kohdassa ”Kirjautumisen hallinta”
- Luo uusi salasana, joka on hankala, pitkä ja uniikki (sisältää vähintään 8 merkkiä joiden joukossa on erikoismerkkejä, isoja ja pieniä kirjaimia sekä numeroita)
- Muista päivittää käyttäjätiedot painamalla sivun alalaidassa olevaa näppäintä
3. Pidä WordPress ja lisäosat päivitettyinä
WordPress ja sen lisäosat tulisi aina pitää päivitettyinä. Yleisimpiä WordPress-päivityksiä ovat haavoittuvuuksien korjaukset. Myös lisäosat tulee pitää ajan tasalla samasta syystä.
Näin päivität WordPress version ja lisäosat:
- Navigoi ”Ohjausnäkymä” > ”Päivitykset”
- WordPress kertoo tällä sivulla, jos uusi versio on saatavilla
- Päivitä uusi versio painamalla ”Päivitä nyt”
- Alla näet lisäosien päivitykset
- Valitse kaikki ja klikkaa ”Päivitä kaikki”
- Nyt WordPress ja lisäosat on päivitetty
4. Suojaa oma tietokoneesi ja käytä salattua yhteyttä
WordPressin tietoturva heikentyy huomattavasti, jos oma tietokoneesi on turvallisuusriski. Pidä huoli siitä, että jokaisen sivuston hallinnoijan tietoturva on kunnossa. Myös VPN-yhteyden käyttäminen on suositeltavaa, jolloin tekemisisäsi verkossa ei voida seurata.
Pidä siis virustorjunta ja VPN aina ajan tasalla myös työntekijöidesi laitteilla.
5. Lisää Two Factor Authencation -varmennus
Tuplavarmennus voi tuntua työläältä, mutta vaikka salasanasi ja käyttäjätunnuksesi olisivat vahvat sekä oma tietoturvasi kunnossa, et silti vielä ole täysin turvassa Brute Force -hyökkäyksiltä.
Kaksiosainen varmennus tekee WordPress-sivustostasi huomattavasti turvallisemman. Jos käytät jo tuplavarmennusta PayPal-tililläsi tai Gmailissasi (mikä on suositeltavaa), mikset lisäisi tätä myös WordPressiin. Suositeltava lisäosa puhelimella tapahtuvaan varmennukseen on Google Authenticator.
6. Älä jaa oikeuksia turhaan
Älä ikinä jaa kirjautumistunnuksia sivustollesi turhaan. Esimerkiksi työtekijäsi, jotka eivät ole kokeneita julkaisujärjestelmän kanssa, ja joiden ei tarvitse tehdä muutoksia sivustollesi, eivät tarvitse kirjautumistunnuksia. Tee omat käyttäjätilit mieluummin rajatuilla oikeuksilla muissakin tapauksissa. Muista myös poistaa käyttäjätili kun sitä ei enää tarvita.
7. Suojaa wp-config.php ja .htacess -tiedostot
Suojaamalla tai piilottamalla nämä WordPressin tärkeimpien tiedostojen joukkoon lukeutuvat tiedostot, teet sivuston väärinkäytöstä huomattavasti vaikeampaa. Estääksesi pääsyn ulkopuolisilta .htaccessiin ja wp-configiin, sinun tulee lisätä alta löytyvät koodinpätkät .htaccess -tiedostoon.
Lisää seuraavat koodit .htaccess tiedostoon:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
<Files .htaccess>
order allow,deny
deny from all
</Files>
8. Estä tiedostojen muokkaus WordPress-hallintapaneelin kautta
Helppo, mutta erittäin hyvin turvallisuutta nostava kikka on estää koodin muokkaaminen WordPress-hallintapaneelin kautta. Tämä tarkoittaa sitä, että jatkossa tyylitiedostoja ja sivupohjia tulee muokata esimerkiksi cPanelin tiedostojen hallinnan tai FTP-yhteyden kautta. Tämä aiheuttaa hieman lisävaivaa sivustoa muokatessa, mutta tällöin myös hakkerin täytyy onnistua murtautumana syvemmälle sivustoon tehdäkseen muutoksia koodiin.
Näin lisäät kooditiedostojen muokkaamiselle eston:
- Avaa wp-config.php -tiedosto
- Lisää koodi: define(’DISALLOW_FILE_EDIT’, true);
- Tallenna tiedosto
9. Rajaa kirjautumisyritysten määrää
Kuten mainittu, Brute Force on yleisin tapa sivustolle murtautumiseen. Tähän ei muiden muutosten jälkeen pitäisi enää olla niin suurta pelkoa, mutta kirjautumisyritysten määrän rajoittamisesta ei ainakaan ole haittaa. On täysin normaalia, että botit saattavat yrittää tuhansia kertoja päivässä sisäänkirjautumista. Bottien työtä vaikeuttaaksesi voit rajoittaa yhdestä IP-osoitteesta tulevat kirjautumisyritykset helposti tähän suunniteltujen lisäosien avulla.
Tarkoitukseen on kehitetty kymmeniä lisäosia ja voit itse valita mieleisesi täältä.
