WP-palvelun Blogi

Kirjoituksia suomalaisilta WordPress-asiantuntijoilta.

6 tärkeintä tapaa parantaa WordPress-sivuston tietoturvaa

wp_lukot

1. Pidä WordPress ajan tasalla

Varmista, että WordPress-asennuksesi on aina uusimmassa versiossa. Voit tarkastaa, että käytössäsi on uusin WordPress-ohjelmistoversio kohdasta Ohjausnäkymä > Päivitykset.

Pidä myös huoli, että kaikki käyttämäsi lisäosat ja teemat ovat uusimmassa versiossa ja vältä erityisesti sellaisten lisäosien ja teemojen käyttöä, joita ei päivitetä aktiivisesti. Päivittämättömät lisäosat tai teemat, jotka sisältävät haavoittuvaa koodia ovat usein helppo tapa hyökkääjälle päästä käsiksi sivustollesi.

Helppo tapa pitää huoli WordPressin päivityksistä on käyttää automaattisia päivityksiä. Saat WordPressin huolehtimaan ytimen päivitysten lisäksi myös lisäosien ja teemojen päivityksistä lisäämällä seuraavat rivit wp-config.php -tiedostoon.

define('WP_AUTO_UPDATE_CORE', true);
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Aina automaattipäivitykset eivät kuitenkaan toimi aivan niin kuin pitäisi, vaan jokin voi sivustolla mennä rikki päivityksen vuoksi – WP-palvelussa tämä ongelma on ratkaistu testaamalla päivitykset aina automaattisesti ennen kuin ne näkyvät varsinaisella sivustolla. Asiakkaidemme ei muutenkaan tarvitse huolehtia päivittämisestä, vaan me pidämme sekä WordPressin ytimen että lisäosat ajan tasalla. Lue lisää WordPressin ja lisäosien päivityksistä WP-palvelussa.

2. Muista hyvä salasanahygienia

Salasanahygienia on yhtä tärkeä muistettava kuin käsienpesu influenssakaudella. Älä käytä helposti arvattavissa olevia lyhyitä salasanoja. Vältä myös helposti arvattavien käyttäjänimien luomista, kuten admin tai <sivuston nimi>.

Lue lisää hyvästä salasanahygieniasta.

3. Huolehdi varmuuskopioinnista

Varmista, että palveluntarjoajasi ottaa päivittäiset varmuuskopiot vähintään 30 päivän ajalta sekä sivustosi tiedostoista että tietokannasta. Mahdollisen hyökkäyksen tai vikatilanteen sattuessa on tärkeää, että sivustostasi on saatavillla ajantasaiset varmuuskopiot.

Tärkeitä kysymyksiä:

  • Kuinka pitkään varmuuskopiot säilyvät?
  • Sijaitsevatko varmuuskopiot fyysisesti toisessa sijainnissa kuin sivusto?
  • Kuinka helppoa sivuston varmuuskopioiden palauttaminen on?

WP-palvelussa sivuston tietokanta ja tiedostot varmuuskopioidaan päivittäin ja kopioita säilytetään 30 päivän ajan. Sivusto voidaan milloin tahansa palauttaa aikaisempaan tilaan esimerkiksi tietoturvamurron tai käyttäjän tekemän inhimillisen virheen jälkeen. WP-palvelussa varmuus on vakio-ominaisuus.

4. Poista tiedostoeditori käytöstä

WordPressin tiedostoeditori antaa käyttäjille mahdollisuuden muokata suoraan palvelimen PHP-tiedostoja. Tämä on usein helpoin tapa hyökkääjälle lisätä haitallista koodia sivustolle. Useimmissa tapauksissa tiedostoeditori on myös käyttäjälle täysin turha.

Voit ottaa tiedostoeditorin pois käytöstä lisäämällä seuraavan rivin wp-config.php -tiedostoosi.

define('DISALLOW_FILE_EDIT', true);

5. Poista virheviestit näkyviltä

WordPressin kehittämisen helpottamiseksi on mahdollista käyttää virheraportointimoodia, jossa PHP-tason virheet tulevat näkyville sivulle kun jotain menee koodissa pieleen.

Nämä virheviestit saattavat sisältää tietoja, jotka vahingossa helpottavat hyökkääjää löytämään haavoittuvuuksia tai muita arkaluonteisia tietoja sivustostasi tai palvelinympäristöstäsi.

Virheviestit saa pois näkyvistä lisäämällä seuraavat rivit wp-config.php -tiedostoon:

define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);
define('SCRIPT_DEBUG', false);

ini_set('display_errors', 0);
ini_set('log_errors', 'On');

6. Valitse luotettava palveluntarjoaja

Pelkkä tietoturvallinen WordPress-asennus on vain puolet taistelusta. Myös palvelimen, jolla WordPress-asennuksesi on, tulisi olla tietoturvallinen ja ajan tasalla. Palvelinohjelmistot (esimerkiksi PHP, MySQL ja Apache) sekä myös Linux-käyttöjärjestelmä täytyisi päivittää säännöllisesti, jotta palvelimelle ei päästä WordPressin ulkopuoleltakaan käsiksi.

Muista myös, että varsinkin edullisimmilla Shared Hosting -tyyppisillä palveluntarjoajilla on useampia WordPress-sivustoja samalla palvelimella, mikä voi tarkoittaa sitä että jonkun toisen WordPress-tietoturvamurto voi johtaa myös oman sivustosi murtamiseen.

WordPressiin perehtynyt palveluntarjoaja osaa paremmin ottaa huomioon mahdolliset tietoturvariskit. WP-palvelu on erikoistunut nimenomaan WordPress-sivustoihin, ja järjestelmän vaatimukset osataan huomioon niin palvelintasolla ja ylläpidossa kuin asiakaspalvelussa.

Bonus: Vähennä lisäosien käyttöä

Poista aina turhat lisäosat sivustoltasi. Jokainen ylimääräinen asennettu lisäosa paitsi saattaa hidastaa sivustoasi, myös avaa hyökkääjälle enemmän mahdollisuuksia löytää haavoittuvuuksia. Saatat myös helpommin jättää käyttämättömät lisäosat päivittämättä, mikä vaarantaa sivustoasi taas enemmän.

Isoja määriä lisäosia sisältävillä sivustoilla esiintyy usein myös enemmän yhteensopivuusongelmia, virheitä sekä enemmän ylläpitovaivaa. On aina hyvä idea pitää lisäosien määrä minimissään, jotta välttyy ongelmilta ja ylimääräiseltä säädöltä.

Jos et käytä lisäosaa, poista se.

Koska WordPress-lisäosia on valtava määrä, mahtuu joukkoon myös ei-suositeltavia tai jopa haitallisia yksilöitä. Olemme listanneet omat suosituksemme hyödyllisistä ja vältettävistä lisäosista täällä.

Summa Summarum

Tietoturvasta huolehtiminen WordPress-sivustolla on monitahoinen juttu. Pelkkä tietoturvalisäosan asentaminen sivustolle ei yksinään riitä, vaan korkean tietoturvatason saavuttamiseksi täytyy tehdä töitä jatkuvasti.

WP-palvelussa sivustosi tietoturvasta on vastuussa palvelin- ja WordPress-asiantuntijoiden tiimi, jolloin sinun ei itse tarvitse käyttää aikaa tietoturvasta huolehtimiseen. Jos siis joku ylläolevista kuudesta kohdasta tuntui vieraalta tai vaivalloiselta, on syytä kääntyä WP-palvelun puoleen: me huolehdimme sivustosi tietoturvasta puolestasi. Katso hinnastomme WordPressin ylläpitopalvelusta ja kysy lisää!

Kommentoi alle, jos listasta jäi puuttumaan jokin olennainen WordPress-tietoturvavinkki!


One response to “6 tärkeintä tapaa parantaa WordPress-sivuston tietoturvaa

  1. Hyviä käytännön ohjeita, täytyypä tarkistaa omalta sivulta, että kaikki lisäosat ovat ajantasalla.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *