WordPress tietoturvan parantaminen – yli 20 vinkkiä!
WordPress-tietoturvan perusteet
Julkaisin 2015 joulukuussa Suomen hakukonemestarit -sivustolla suositun artikkelin siitä, kuinka tehdä WordPress-kotisivuista turvallisemmat. Tuossa artikkelissa oli kymmenen vinkkiä WordPressin tietoturvan parantamiseksi.
Tässä lyhyt yhteenveto kymmenestä artikkelissa esitetystä vinkistä:
- Käytä aina vahvoja salasanoja
- Älä käytä käyttäjätunnuksena adminia
- Päivitä aina lisäosat ja teema uusimpaan versioon
- Tee päivitykset aina sivustosi kehitysversion puolella ensiksi
- Ota varmuuskopiot kaikista tiedostoista
- Älä salli käyttäjien rekisteröintiä
- Asenna tietoturvalisäosa
- Siirrä wp-config.php -tiedosto pois public_html kansiosta
- Pidä myös tietokoneesi tietoturva kunnossa
- Älä salli paluuviitteitä
WordPress verkkosivuston tietoturva kuntoon
Tässä, noin kuusi ja puoli vuotta myöhemmin kirjoitetussa artikkelissa on lisää vinkkejä WordPress-tietoturvan parantamiseen.
Lisäkeinoja WordPressin tietoturvan parantamiseen ovat esimerkiksi:
- Päivitysten tekeminen säännöllisesti
- Vanhentuneiden lisäosien tai teeman poistaminen käytöstä
- WordPressin oletus kirjautumissivun vaihtaminen
- Kirjautumisyritysten rajoittaminen
- Palomuurin asentaminen
- Luotettavan webhotellin valinta sivustollesi
- Salasanojen vaihtaminen säännöllisesti
- Tiedostoeditorien ottaminen pois käytöstä
- Https-version käyttäminen
- Teeman ja lisäosien muokkausten estäminen
HUOM! Ota aina ennen muutoksia täydellinen varmuuskopio sivustostasi, johon voit palata jos jokin asia menee pieleen. Esimerkiksi wp-config.php -tiedoston muokkauksessa saattaa saada sivut helposti solmuun, jos ei tiedä mitä tekee ja esimerkiksi lisää tekstirivin väärään kohtaan.
Tee päivitykset säännöllisesti
Kenties kaikkein tärkein asia WordPressin tietoturvassa on tehdä kaikki päivitykset säännöllisesti.
Päivitä siis WordPress-järjestelmä, lisäosat ja teema(t) säännöllisesti. Yksi vaihtoehto on asettaa automaattiset päivitykset päälle. Tällöin ongelmana kuitenkin on, jos jokin lisäosa ei olekaan yhteensopiva jonkun toisen kanssa. Tästä syystä suosittelisin tekemään WordPressin päivitykset manuaalisesti, jotta tiedät, jos jokin menee vikaan.
Jos et itse halua ottaa varmuuskopioita sivustostasi ja hoitaa tietoturvapäivityksiä, meillä on tarjota WordPress-huolenpitopalvelu, jossa teemme päivitykset vähintään kerran kuukaudessa.
Päivitä PHP-versio
PHP-version päivitys pitää mainita erikseen, koska sen päivittäminen unohtuu monelta.
PHP on ohjelmointikieli, jota käyttämällä esimerkiksi WordPress on rakennettu. Uudet PHP-versiot tuovat niin parempaa tietoturvaa kuin myös nopeutta.
Lue halutessasi lisää kirjoittamastani artikkelista: PHP-version päivittäminen
Älä käytä vanhentuneita lisäosia tai teemaa
WordPress-lisäosia on olemassa yli 59000 kappaletta. Joitain lisäosia ei ole kuitenkaan päivitetty pitkään aikaan, jopa vuosikausiin.
Jos sinulla on WordPress-sivustollasi käytössä teema tai lisäosa, jota ei ole päivitetty pitkään aikaan, kannattaa etsiä uusi, päivitetty versio tilalle. Päivittämätön teema ja lisäosa voivat olla tietoturvariski.
Julkaisemme wp-apu.fi sivustollamme joka kuukauden päätteeksi listan WordPress-lisäosien haavoittuvuuksista.
Säännölliset skannaukset
Jos sivustollesi on asennettu jokin WordPressin monista tietoturvalisäosista, kannattaa sen avulla tehdä sivustollesi säännöllinen skannaus tiedostomuutosten, lisäosien ja teemojen haavoittuvuuksien varalta.
Usein tällainen skannaus myös ilmoittaa, jos jonkin sivustollasi käytössä olevan lisäosan kehitys on lopetettu.
Vaihda WordPressin oletus kirjautumissivu
WordPressin kirjautumissivu on oletuksena …/wp-login.php -päätteinen.
Valitettavasti myös hakkerit ja erilaiset botit tietävät tuon kirjautumisosoitteen, joten sitä sivua saatetaan pommittaa turhilla kirjautumisyrityksillä.
Vaihda siis WordPressin kirjautumisosoite joksikin muuksi kuin oletukseksi.
Rajoita kirjautumisyrityksiä
Edelliseen vinkkiin liittyen, muista myös rajoittaa kirjautumisyrityksiä WordPress-sivustollesi.
Usean tietoturvalisäosan kautta saat myös tämän ominaisuuden päälle. Muista kuitenkin, että monessa WordPressin tietoturvan parantamiseen tehdyssä lisäosassa on niin paljon erilaisia ominaisuuksia, että se saattaa hidastaa sivuston toimintaa.
Kannattaa siis olla tarkkana mitä lisäosia sivustolleen asentaa ja mitä ominaisuuksia ottaa käyttöön.
Asenna palomuuri
Asenna palomuuri niin WordPress-verkkosivustolle kuin myös tietokoneellesi.
Muista silti sama kuin edellisessä kohdassa, että lisäosilla on eroja ja jotkut tietoturvaan tarkoitetut WordPress-lisäosat saattavat hidastaa sivustosi latausaikaa.
Valitse luotettava webhotelli
Webhotelleissa on isoja eroja niin tehon, luotettavuuden, tietoturvan kuin myös levytilan puolesta.
Yleensä sitä ihan kaikista halvinta vaihtoehtoa ei kannata valita, jos haluat sivujesi toimivan sujuvasti.
Ennen kuin valitset webhotellin sivustollesi, tarkista ainakin, että webhotellin hinta sisältää SSL-sertifikaatin, sähköpostit oman domainisi päätteellä, tuen riittävän uudelle PHP-versiolle sekä cPanel-hallintapaneelin.
Olemme useissa projekteissa käyttäneet Hostingpalvelun WordPress-webhotelleja, joita voimme lämpimästi suositella muillekin.
Vaihda salasanat säännöllisesti
2015 kirjoitetussa artikkelissa oli erikseen kohta vahvojen salasanojen käytöstä, joten en käsittele enää sitä. Muista myös vaihtaa salasanasi säännöllisesti, äläkä käytä samaa salasanaa monessa paikassa.
Poista myös sellaiset turhat käyttäjätunnukset sivustoltasi, joille ei ole enää tarvetta.
Ota tiedostoeditorit pois käytöstä
Olet ehkä huomannut, että WordPressin Ohjausnäkymässä Ulkoasu-valikossa on ”Teeman tiedostoeditori” ja Lisäosat-valikossa ”Lisäosien tiedostoeditori”.
Editorien kautta pystyy helposti muokkaamaan haluamiaan asioita teemasta tai lisäosista, mutta osaamaton käyttäjä saa myös valitettavasti sivut solmuun tuota kautta. Editorit aiheuttavat myös tietoturvariskin, joten ne kannattaa joka tapauksessa ottaa pois käytöstä.
Saat tiedostoeditorit pois käytöstä lisäämällä seuraavan rivin sivustosi wp-config.php -tiedostoon:
define ('DISALLOW_FILE_EDIT', true );
Estä teeman ja lisäosien muokkaukset
Voit estää teeman ja lisäosien muokkaukset kokonaan lisäämällä nämä kaksi riviä wp-config.php -tiedostoon:
define ( ’DISALLOW_FILE_EDIT’, true );
define ( ’DISALLOW_FILE_MODS’, true );
Asenna SSL-sertifikaatti ja käytä https-versiota
SSL-sertifikaatin avulla saadaan salattua yhteys nettisivuilla kävijän ja palvelimen välillä. Kun muodostettu yhteys on salattu, ulkopuoliset eivät pääse vakoilemaan sivuille antamaasi tietoa, esimerkiksi luottokorttitietoja.
Muista myös uudelleenohjata sivustosi http-osoitteen liikenne https-osoitteeseen.
Voit halutessasi lukea lisää SSL-sertifikaatista kirjoittamastani artikkelista.
Poista wp-config-sample.php -tiedosto
WordPressin asennuksessa tulee aina mukana wp-config-sample.php -niminen tiedosto. Tuota tiedostoa voi käyttää WordPressille elintärkeän wp-config.php:n esimerkkinä.
Muista kuitenkin poistaa turha wp-config-sample.php -tiedosto, kun et sitä enää tarvitse. WordPressin asennuskansioon ei kannata jättää yhtään turhaa tiedostoa.
Jos olet epävarma sivustosi tietoturvasta, pyydä tarjous sivustosi tarkistamisesta!
Referenssit
Tässä muutama toteuttamamme verkkosivuprojekti. Referenssit-sivulta löydät lisää projektejamme.
Kotisivut
Vaihtolavacom Oy
Kotisivut
Timantti Ykköset Oy
Kotisivut
Palama Oy
Yhteenveto
Paranna WordPress sivuston tietoturvaa tämän artikkelin ohjeilla.
Tästä artikkelista löydät yli 20 vinkkiä WordPressin tietoturvan parantamiseen. Voit myös aina olla meihin yhteydessä ja pyytää tarjousta WordPress-kotisivujen tai verkkokaupan tietoturvan parantamisesta. Tarjouspyyntö ei maksa mitään, eikä velvoita sinua mihinkään.