WordPress tietoturvan parantaminen – yli 20 vinkkiä!

WordPress tietoturvan parantaminen – yli 20 vinkkiä!

WordPress tietoturvan parantaminen – yli 20 vinkkiä!

WordPress-tietoturvan perusteet

Julkaisin 2015 joulukuussa Suomen hakukonemestarit -sivustolla suositun artikkelin siitä, kuinka tehdä WordPress-kotisivuista turvallisemmat. Tuossa artikkelissa oli kymmenen vinkkiä WordPressin tietoturvan parantamiseksi.

Tässä lyhyt yhteenveto kymmenestä artikkelissa esitetystä vinkistä:

  • Käytä aina vahvoja salasanoja
  • Älä käytä käyttäjätunnuksena adminia
  • Päivitä aina lisäosat ja teema uusimpaan versioon
  • Tee päivitykset aina sivustosi kehitysversion puolella ensiksi
  • Ota varmuuskopiot kaikista tiedostoista
  • Älä salli käyttäjien rekisteröintiä
  • Asenna tietoturvalisäosa
  • Siirrä wp-config.php -tiedosto pois public_html kansiosta
  • Pidä myös tietokoneesi tietoturva kunnossa
  • Älä salli paluuviitteitä

WordPress verkkosivuston tietoturva kuntoon

Tässä, noin kuusi ja puoli vuotta myöhemmin kirjoitetussa artikkelissa on lisää vinkkejä WordPress-tietoturvan parantamiseen.

Lisäkeinoja WordPressin tietoturvan parantamiseen ovat esimerkiksi:

  • Päivitysten tekeminen säännöllisesti
  • Vanhentuneiden lisäosien tai teeman poistaminen käytöstä
  • WordPressin oletus kirjautumissivun vaihtaminen
  • Kirjautumisyritysten rajoittaminen
  • Palomuurin asentaminen
  • Luotettavan webhotellin valinta sivustollesi
  • Salasanojen vaihtaminen säännöllisesti
  • Tiedostoeditorien ottaminen pois käytöstä
  • Https-version käyttäminen
  • Teeman ja lisäosien muokkausten estäminen

HUOM! Ota aina ennen muutoksia täydellinen varmuuskopio sivustostasi, johon voit palata jos jokin asia menee pieleen. Esimerkiksi wp-config.php -tiedoston muokkauksessa saattaa saada sivut helposti solmuun, jos ei tiedä mitä tekee ja esimerkiksi lisää tekstirivin väärään kohtaan.

Tee päivitykset säännöllisesti

Kenties kaikkein tärkein asia WordPressin tietoturvassa on tehdä kaikki päivitykset säännöllisesti.

Päivitä siis WordPress-järjestelmä, lisäosat ja teema(t) säännöllisesti. Yksi vaihtoehto on asettaa automaattiset päivitykset päälle. Tällöin ongelmana kuitenkin on, jos jokin lisäosa ei olekaan yhteensopiva jonkun toisen kanssa. Tästä syystä suosittelisin tekemään WordPressin päivitykset manuaalisesti, jotta tiedät, jos jokin menee vikaan.

Jos et itse halua ottaa varmuuskopioita sivustostasi ja hoitaa tietoturvapäivityksiä, meillä on tarjota WordPress-huolenpitopalvelu, jossa teemme päivitykset vähintään kerran kuukaudessa.

Päivitä PHP-versio

PHP-version päivitys pitää mainita erikseen, koska sen päivittäminen unohtuu monelta.

PHP on ohjelmointikieli, jota käyttämällä esimerkiksi WordPress on rakennettu. Uudet PHP-versiot tuovat niin parempaa tietoturvaa kuin myös nopeutta.

Lue halutessasi lisää kirjoittamastani artikkelista: PHP-version päivittäminen

Älä käytä vanhentuneita lisäosia tai teemaa

WordPress-lisäosia on olemassa yli 59000 kappaletta. Joitain lisäosia ei ole kuitenkaan päivitetty pitkään aikaan, jopa vuosikausiin.

Jos sinulla on WordPress-sivustollasi käytössä teema tai lisäosa, jota ei ole päivitetty pitkään aikaan, kannattaa etsiä uusi, päivitetty versio tilalle. Päivittämätön teema ja lisäosa voivat olla tietoturvariski.

Julkaisemme wp-apu.fi sivustollamme joka kuukauden päätteeksi listan WordPress-lisäosien haavoittuvuuksista.

Säännölliset skannaukset

Jos sivustollesi on asennettu jokin WordPressin monista tietoturvalisäosista, kannattaa sen avulla tehdä sivustollesi säännöllinen skannaus tiedostomuutosten, lisäosien ja teemojen haavoittuvuuksien varalta.

Usein tällainen skannaus myös ilmoittaa, jos jonkin sivustollasi käytössä olevan lisäosan kehitys on lopetettu.

Vaihda WordPressin oletus kirjautumissivu

WordPressin kirjautumissivu on oletuksena …/wp-login.php -päätteinen.

Valitettavasti myös hakkerit ja erilaiset botit tietävät tuon kirjautumisosoitteen, joten sitä sivua saatetaan pommittaa turhilla kirjautumisyrityksillä.

Vaihda siis WordPressin kirjautumisosoite joksikin muuksi kuin oletukseksi.

Rajoita kirjautumisyrityksiä

Edelliseen vinkkiin liittyen, muista myös rajoittaa kirjautumisyrityksiä WordPress-sivustollesi.

Usean tietoturvalisäosan kautta saat myös tämän ominaisuuden päälle. Muista kuitenkin, että monessa WordPressin tietoturvan parantamiseen tehdyssä lisäosassa on niin paljon erilaisia ominaisuuksia, että se saattaa hidastaa sivuston toimintaa.

Kannattaa siis olla tarkkana mitä lisäosia sivustolleen asentaa ja mitä ominaisuuksia ottaa käyttöön.

Asenna palomuuri

Asenna palomuuri niin WordPress-verkkosivustolle kuin myös tietokoneellesi.

Muista silti sama kuin edellisessä kohdassa, että lisäosilla on eroja ja jotkut tietoturvaan tarkoitetut WordPress-lisäosat saattavat hidastaa sivustosi latausaikaa.

Valitse luotettava webhotelli

Webhotelleissa on isoja eroja niin tehon, luotettavuuden, tietoturvan kuin myös levytilan puolesta.

Yleensä sitä ihan kaikista halvinta vaihtoehtoa ei kannata valita, jos haluat sivujesi toimivan sujuvasti.

Ennen kuin valitset webhotellin sivustollesi, tarkista ainakin, että webhotellin hinta sisältää SSL-sertifikaatin, sähköpostit oman domainisi päätteellä, tuen riittävän uudelle PHP-versiolle sekä cPanel-hallintapaneelin.

Olemme useissa projekteissa käyttäneet Hostingpalvelun WordPress-webhotelleja, joita voimme lämpimästi suositella muillekin.

Vaihda salasanat säännöllisesti

2015 kirjoitetussa artikkelissa oli erikseen kohta vahvojen salasanojen käytöstä, joten en käsittele enää sitä. Muista myös vaihtaa salasanasi säännöllisesti, äläkä käytä samaa salasanaa monessa paikassa.

Poista myös sellaiset turhat käyttäjätunnukset sivustoltasi, joille ei ole enää tarvetta.

Ota tiedostoeditorit pois käytöstä

Olet ehkä huomannut, että WordPressin Ohjausnäkymässä Ulkoasu-valikossa on ”Teeman tiedostoeditori” ja Lisäosat-valikossa ”Lisäosien tiedostoeditori”.

Editorien kautta pystyy helposti muokkaamaan haluamiaan asioita teemasta tai lisäosista, mutta osaamaton käyttäjä saa myös valitettavasti sivut solmuun tuota kautta. Editorit aiheuttavat myös tietoturvariskin, joten ne kannattaa joka tapauksessa ottaa pois käytöstä.

Saat tiedostoeditorit pois käytöstä lisäämällä seuraavan rivin sivustosi wp-config.php -tiedostoon:

define ('DISALLOW_FILE_EDIT', true  );

Estä teeman ja lisäosien muokkaukset

Voit estää teeman ja lisäosien muokkaukset kokonaan lisäämällä nämä kaksi riviä wp-config.php -tiedostoon:

define ( ’DISALLOW_FILE_EDIT’, true );
define ( ’DISALLOW_FILE_MODS’, true );

Asenna SSL-sertifikaatti ja käytä https-versiota

SSL-sertifikaatin avulla saadaan salattua yhteys nettisivuilla kävijän ja palvelimen välillä. Kun muodostettu yhteys on salattu, ulkopuoliset eivät pääse vakoilemaan sivuille antamaasi tietoa, esimerkiksi luottokorttitietoja.

Muista myös uudelleenohjata sivustosi http-osoitteen liikenne https-osoitteeseen.

Voit halutessasi lukea lisää SSL-sertifikaatista kirjoittamastani artikkelista.

Poista wp-config-sample.php -tiedosto

WordPressin asennuksessa tulee aina mukana wp-config-sample.php -niminen tiedosto. Tuota tiedostoa voi käyttää WordPressille elintärkeän wp-config.php:n esimerkkinä.

Muista kuitenkin poistaa turha wp-config-sample.php -tiedosto, kun et sitä enää tarvitse. WordPressin asennuskansioon ei kannata jättää yhtään turhaa tiedostoa.

Jos olet epävarma sivustosi tietoturvasta, pyydä tarjous sivustosi tarkistamisesta:

WordPress huolenpito

Tuki- ja huolenpitopalvelu WordPress-sivustoille ja -verkkokaupoille

 

WordPress -verkkosivut vaativat säännöllistä huolenpitoa. Huolenpitopalvelussamme otamme vastuun verkkosivujesi tai verkkokauppasi ylläpidosta, tietoturvasta ja päivityksistä.

 

Kun tilaat meiltä verkkosivut tai verkkokaupan, tarjoamaamme hintaan kuuluu aina huolenpito 3 kuukaudeksi sivuston avauksesta.

Lue lisää

Referenssit

Tässä muutama toteuttamamme verkkosivuprojekti. Referenssit-sivulta löydät lisää projektejamme.

Huonekalutehdas Seppänen WordPress-verkkokauppa referenssi

Kotisivut

Vaihtolavacom Oy

Timantti Ykköset Oy referenssi

Kotisivut

Timantti Ykköset Oy

Kotisivut

Palama Oy

Yhteenveto

Paranna WordPress sivuston tietoturvaa tämän artikkelin ohjeilla.

Tästä artikkelista löydät yli 20 vinkkiä WordPressin tietoturvan parantamiseen. Voit myös aina olla meihin yhteydessä ja pyytää tarjousta WordPress-kotisivujen tai verkkokaupan tietoturvan parantamisesta. Tarjouspyyntö ei maksa mitään, eikä velvoita sinua mihinkään.

Miten voimme auttaa sinun yritystäsi?

Kirjoita tai soita. Kuulisimme mielellämme asiasi.

Artikkelin kirjoittaja

Miikka Joki

Yrittäjä, Toimitusjohtaja

Digitaalinen mainonta ja markkinointi, verkkosivut- ja kaupat

Puh. 044 239 6296
miikka.joki(at)sitrusmedia.fi

WordPress-huolenpitopalvelu

WordPress-huolenpitopalvelu

WordPress huolenpito

Tuki- ja huolenpitopalvelu WordPress-sivustoille ja -verkkokaupoille.

WordPress -sivujen kuten kaikkien muidenkin verkkosivujen toiminta vaatii säännöllistä huolenpitoa. Huolenpitopalvelussamme otamme vastuun verkkosivujesi tai verkkokauppasi ylläpidosta, tietoturvasta ja päivityksistä. Teemme myös taustalla tapahtuvaa ennaltaehkäisevää ylläpitoa sekä tuemme sinua sisältöjen päivityksissä. 

Kun tilaat meiltä verkkosivut tai verkkokaupan, tarjoamaamme hintaan kuuluu aina huolenpito 3 kuukaudeksi sivuston avauksesta.

WordPress huolenpitopalvelu sisältää

WordPress-verkkosivuston
  • varmuuskopioinnin kuukausittain sekä aina ennen päivityksiä
  • WordPress-järjestelmän päivitykset kuukausittain
  • Lisäosien päivitykset kuukausittain
  • Aktiivisen teeman päivitys kuukausittain
WordPress-verkkokaupan
  • varmuuskopioinnin viikoittain sekä aina ennen päivityksiä
  • WordPress-järjestelmän päivitykset kuukausittain
  • Lisäosien päivitykset kuukausittain
  • Aktiivisen teeman päivitys kuukausittain

Lisähinnasta molempiin palveluihimme saa myös

  • Monitorointipalvelu + 5 € / kk
  • Roskapostin suodatus + 5 € / kk
  • Rikkinäisten linkkien skannaus kerran kuussa + 3 € / kk
  • Lomakkeen testaus kerran kuussa + 5 € / kk
  • Viikonloppupäivystys sovittavissa erikseen
  • Verkkosivutilan 2 Gt / 4 Gt sähköpostilla alk. 6 € / kk.

Tarvittaessa voimme päivittää kotisivusi tai verkkokauppasi esimerkiksi kerran viikossa tai vaikka joka päivä. Syötä lomakkeeseen verkkosivusi- tai -kauppasi osoite ja yhteystietosi sekä kuvaus siitä, millaista turvaa tarvitset. Otamme yhteyttä, ja teemme ehdotuksen sivuston turvaksi.

Verkkokauppojen ylläpidossa voimme myös luoda tarvittavat raportit myynneistä ja lähettää ne kuukausittain suoraan kirjanpitäjällesi. Kysy lisää!

Lisätietoja huolenpitopalvelusta

  • Monitorointipalvelussamme tarkkailemme sitä, ovatko verkkosivunne toiminnassa. Sivut eivät välttämättä toimi oikein, jos niitä ei ole pitkään aikaan päivitetty tai esimerkiksi tietokantapalvelimella on ongelma. Tällöin verkkosivuston ylläpitäjä saa ilmoituksen asiasta ja voi ryhtyä välittömästi tutkimaan ongelmaa. Tilaamalla huolenpitopalvelun monitoroinnin kera voit siis olla turvallisin mielin; pidämme verkkosivusi toiminnassa.
  • Roskapostisuodatus kannattaa tilata, mikäli sivuston kautta tulee liikaa roskapostia.
  • Rikkinäisten linkkien skannaus on suositeltavaa varsinkin isoille sivustoille, joissa on paljon sivuja sekä sitä myöden myös paljon linkkejä. Skannaamme kuukausittain kaikki sivuston sisäiset ja ulkoiset linkit. Toimimattomat linkit heikentävät sivuston käyttäjäkokemusta sekä sitä kautta myös sivuston hakukoneoptimoinnin tasoa.
  • Lomakkeen testaus kerran kuukaudessa on suositeltavaa, mikäli sivuiltasi löytyy yhteydenottolomake. Lomakkeen toiminta kannattaa testata säännöllisesti, jotta lomakkeen kautta tulevat viestit eivät esimerkiksi menisi roskapostiin tai lomake ei jostain syystä toimisi lainkaan.
Tarkemmat sopimusehdot

Vasteaika: Asiakkaan tekemiin pyyntöihin pyritään vastaamaan arkisin saman työpäivän aikana klo 9-16 välillä.

Maksuehto: 14 pv netto. Kaikkiin hintoihin lisätään 24 % arvonlisäveroa, jos ei toisin ole mainittu.

Sopimuksen kesto: Vähintään 12 kuukautta ja sen jälkeen sopimus uusiutuu automaattisesti, jos sitä ei yhtä (1) kuukautta ennen sopimuskauden päättymistä irtisanota.

Muut tiedot: Sivujen muutokset, konsultointi ja muut lisätyöt tuntihintaan 60 € + ALV 24 %. Annamme tarvittaessa ilmaisen hinta-arvion pyydetyistä töistä etukäteen.

Pyydä tarjous

6 + 14 =

Saavutettavuusdirektiivi & verkkosivujen saavutettavuus?

Saavutettavuusdirektiivi & verkkosivujen saavutettavuus?

Saavutettavuusdirektiivi & verkkosivujen saavutettavuus?

Mitä saavutettavuusdirektiivi tarkoittaa?

Saavutettavuusdirektiivi vaatii viranomaisia tekemään verkkopalvelunsa saavutettaviksi.

On arvioitu, että Suomessa on yli miljoona ihmistä, joiden voi olla vaikeaa käyttää verkkopalveluja. Tästä syystä muidenkin kuin vain viranomaisten tulisi panostaa verkkosivujensa saavutettavuuteen.

Saavutettava verkkosivusto tarjoaa käyttäjälle esimerkiksi tekstitykset videoihin ja mahdollistaa palvelun käytön pelkän näppäimistön avulla.

Porrastettu aikataulu saavutettavuusvaatimuksille:

  • Laki digitaalisten palvelujen tarjoamisesta astui voimaan 1.4.2019
  • Viranomaisten verkkosivustojen on oltava lain mukaan saavutettavat 23.9.2020
  • Mobiilisovellusten pitää olla saavutettavuusvaatimusten mukaisia 23.6.2021

Mitä verkkosivujen saavutettavuus tarkoittaa?

WCAG (Web Content Accessibility Guidelines) eli Web-sisällön saavutettavuusohjeistus on kansainvälinen tekninen ohjeistus saavutettavuuden toteuttamisesta.

Googlella on olemassa testi, jolla verkkosivujen saavutettavuutta voi testata. Sitrusmedian etusivu saa Googlen saavuttettavuustestissä täydet sata pistettä.

Googlen saavutettavuustesti 100/100

Saavutettavuudella tarkoitetaan, että verkkosivut ja mobiilisovellukset sekä niiden sisällöt ovat sellaisia, että kuka tahansa voi käyttää niitä ja ymmärtää palvelun sisällön.

WCAG 2.0-saavutettavuusohjeistukseen voi tutustua World Wide Web Consortiumin (W3C) sivuilta.

Mitä asioita saavutettavien kotisivujen suunnittelussa pitää ottaa huomioon?

Saavutettavien verkkosivujen suunnittelussa tulee ottaa huomioon esimerkiksi seuraavat asiat:

  • Sivujen selkeä layout, ei mitään turhia kikkailuja
  • Murupolku käytössä alasivuilla
  • Fonttikoko riittävän suurta
  • Looginen järjestys ja otsikointi (h1, h2, h3 jne.)
  • Kuville annetty alt-tekstit
  • Linkit nimetty ja tekstimuotoisia
  • Kuvien ja kaavioiden informaatio kirjoitettu myös tekstinä
  • Tekstin ja taustan kontrastin on oltava riittävä
  • Haku-toiminto
  • Sivustolla käytetty kieli on helppolukuista ja selkokielistä

Sivustolta tulee löytyä myös saavutettavuusseloste sekä mahdollisuus jättää palautetta saavutettavuudesta.

Saavutettavat verkkosivut ovat saatavilla suuremmalle yleisölle ja monet saavutettavuusperiaatteet auttavat myös hakukoneoptimointia. Tällöin verkkosivuillesi tulee enemmän kävijöitä, jos ne ovat saavutettavat.

Saavutettaviin verkkosivuihin panostaminen on siis investointi, eikä kulu! 

Lisätietoja löydät verkkosivustolta saavutettavuusvaatimukset.fi

Jos kiinnostuit saavutettavista kotisivuista, voit tilata meiltä saavutettavat WordPress-kotisivut. Pyydä tarjous ja olemme sinuun yhteydessä. Tarjouksen pyytäminen ei maksa mitään, eikä velvoita sinua mihinkään.

 

Artikkelin kirjoittaja

Miikka Joki

Yrittäjä, Toimitusjohtaja

Digitaalinen mainonta ja markkinointi, verkkosivut- ja kaupat

Puh. 044 239 6296
miikka.joki(at)sitrusmedia.fi

Kieliversiot eli kotisivut useammalla kielellä

Kieliversiot eli kotisivut useammalla kielellä

Kieliversiot eli kotisivut useammalla kielellä

Mitä tarkoittaa kieliversiot verkkosivuilla?

Kotisivut toisella kielellä

Useasti kotisivut tai verkkokauppa tehdään vain yhdellä kielellä, esimerkiksi suomeksi. Kieliversiot tarkoittavat monikielistä kotisivua tai verkkokauppaa, jossa kävijä voi katsella sivuja haluamallaan kielellä.

Sivujen valikkoon saa lisättyä esimerkiksi eri kielten liput, joista kävijä saa valita haluamansa kielen.

Miksi verkkosivut kannattaisi tehdä useammalla kielellä?

Jos yritykselläsi on asiakkaita, jotka puhuvat muutakin kieltä kuin suomea, kannattaisi tehdä verkkosivut kaikilla kohderyhmäsi kielillä.

Verkkosivujen kieliversioista on esimerkiksi nämä hyödyt:

  1. Monikieliset verkkosivut kasvattavat yleisön kokoa ja sitä kautta kävijämäärää
  2. Ammattimainen fiilis, kun kaikki sivut on käännetty ja ovat samanlaisia eikä vain tiettyjä sivuja tai tekstejä ole käännetty
  3. Monikielinen hakukoneoptimointi, löydy hakukoneista useilla eri kielillä
  4. Monikielinen verkkokauppa: Jokainen kieli tuo mahdollisuuden lisämyyntiin
  5. Kävijät haluavat saada tiedon omalla kielellään
  6. Monikieliset verkkosivut kasvattavat asiakkaan luottamusta sivustoa kohtaan
  7. Monikieliset verkkosivut antavat sinulle kilpailuetua ja jäät paremmin asiakkaiden mieleen

Kieliversiot hinta?

Haluatko lisätä kieliversiot kotisivuillesi tai verkkokauppaan? Hinta vain arveluttaa.

Monikielisten verkkosivujen hinta riippuu sivumäärästä, kielistä sekä siitä tuleeko käännöstekstit asiakkaalta vai meiltä.

Olemme erikoistuneet WordPress-kotisivuihin ja WooCommerce-verkkokauppoihin, jotka voimme toteuttaa kaikilla niillä kielillä, joita haluat sivuillasi käyttää.

Kysy ilmainen tarjous kieliversioiden lisäämisestä nykyisille verkkosivuillesi tai pyydä meiltä tarjous täysin uusista monikielisistä verkkosivuista. Tarjouspyyntö ei maksa mitään, eikä velvoita sinua mihinkään.

WordPress huolenpito

Tuki- ja huolenpitopalvelu WordPress-sivustoille ja -verkkokaupoille

 

WordPress -verkkosivut vaativat säännöllistä huolenpitoa. Huolenpitopalvelussamme otamme vastuun verkkosivujesi tai verkkokauppasi ylläpidosta, tietoturvasta ja päivityksistä.

 

Kun tilaat meiltä verkkosivut tai verkkokaupan, tarjoamaamme hintaan kuuluu aina huolenpito 3 kuukaudeksi sivuston avauksesta.

Lue lisää

Referenssit

Tässä muutamat monikieliset verkkosivut, jotka olemme toteuttaneet. Referenssit-sivulta löydät lisää toteuttamiamme sivustoja.

Huonekalutehdas Seppänen WordPress-verkkokauppa referenssi

Kotisivut

SILE-hanke

Vonkale WordPress-kotisivut referenssi

Kotisivut

Majoitus & Kalastus Vonkale Oy

Kotisivut

Kartano Kultaranta

Yhteenveto

Monikieliset WordPress-kotisivut ja WooCommerce-verkkokaupat kasvattavat sivujesi kohdeyleisöä ja sitä kautta sivujesi kävijämääriä.

Saat myös kilpailuetua parantuneen luottamuksen ja hakukoneoptimoinnin myötä.

Tilaa meiltä kieliversiot WordPress-kotisivuille tai kieliversiot WooCommerce-verkkokauppaan helposti!

 

Miten voimme auttaa sinun yritystäsi?

Kirjoita tai soita. Kuulisimme mielellämme asiasi.

Artikkelin kirjoittaja

Miikka Joki

Yrittäjä, Toimitusjohtaja

Digitaalinen mainonta ja markkinointi, verkkosivut- ja kaupat

Puh. 044 239 6296
miikka.joki(at)sitrusmedia.fi