Olemme pitäneet useita luentoja WordCampeissa ja muissa taphtumissa WordPressin tietoturvasta. Olemme poikkeuksetta painottaneet, että WordPress on oletusarvoisesti turvallinen, kunhan käyttäjä muistaa hyvän salasanahygienian. WordPress ei ole kuten Windows – ei ole siis tarvetta suorittaa virusskannauksia tai asentaa turvallisuuden takaavia lisäosia heti WordPressin asennuksen jälkeen. WordPress ei siis ole luonnostaan haavoittuvainen.
WordPressin tietoturvasta on liikkeellä paljon virheellistä informaatiota ja myyttejä, joten suosittelemme tutustumaan blogiartikkeliimme WordPressin tietoturvan perusteista. Kirjoitus antaa hyvän käsityksen WordPressin tietoturvasta ja hälventää siihen liittyviä epäilyksiä.
Huolimatta luottamuksestamme WordPressin ytimen turvallisuuteen päätimmme äskettäin mukauttaa lähestymistapojamme muutamien usein esille tulevien seikkojen suhteen.
Esittelyssä WP-palvelun uudet tietoturva-asetukset
Vuosien varrella tietoturvayritykset ovat auditoineet WP-palvelun turvallisuutta, ja tehtyjen tarkastuslistojen avulla on onnistuttu löytämään muutamia usein esille tulevia, mutta pieniä haavoittuvaisuuksia, joita nyt paneudumme torjumaan uusien tietoturva-asetustemme avulla.
Vaikka haavoittuvaisuudet ovat hyvin pieniä, haluamme auttaa asiakkaitamme saamaan täydet pisteet näistä tarkastuksista ja näin taata asiakkaillemme mahdollisimman turvalliset WordPress-sivut. Tätä tarkoitusta varten olemme julkaisseet Seravo Pluginiin uuden turvallisuusosion, jonka avulla asiakkaamme voivat muutamalla napautuksella parantaa sivujensa tietoturvaa entisestään.
- Ota XML-RPC API pois käytöstä. Ennen kuin WordPress julkaisi WP REST API:n, oli olemassa joitakin sovelluksia, jotka kommunikoivat WordPressille XML-RPC API:n kautta. Esimerkiksi Jetpack, Pingback ja vanha WordPress -mobiilisovellus toimivat tämän järjestelmän avulla. XML-RPC API on vaarallisen tehokas, sillä se mahdollistaa useat todentamisyritykset rinnakkain. Vaikka siinä ei tällä hetkellä ole tunnettuja tietoturva-aukkoja, tietyt asiantuntijat pitävät sitä silti riskitekijänä. Näin ollen se on myös usein osa tarkastuslistaa. Koska useimmat sivustot eivät tarvitse sitä, eikä se yleensä ole käytössä, voidaan tämä riskitekijä poistaa ottamalla se kokonaan pois käytöstä.
- Estä käyttäjien luettelointi WP REST API:ssa. Kuten jo aiemmin mainittiin, WP REST API on uusi WordPressin järjestelmä, joka korvasi XML-RPC API:n. Järjestelmä julkaistiin 2017, ja se on monella tapaa todettu paremmaksi kuin XML-RPC API, vaikka tähänkin järjestelmään on kohdistunut kritiikkiä. Jotkut ovat esittäneet huolensa liittyen järjestelmän käyttäjärajapintaan, joka listaa tietyillä komennoilla sivuston käyttäjät näkyviin kenelle tahansa. Yleensä käyttäjätiedot eivät ole kovin salaisia, ja näitä tietoja voi saada myös esimerkiksi blogien kirjoittajatiedoista, mutta poikkeuksiakin löytyy. Tämän toiminnon estäminen suoraan rikkoo Gutenbergin ominaisuuden, jolla valitaan artikkelin kirjoittaja, mutta Seravo Pluginin kautta tehtynä se ei aiheuta ongelmia.
- Estä kirjoittajien luettelointi. Kuten yllä mainittiin, kaikki eivät halua oletusarvoisesti, että blogin sisältöä voi hakea kirjoittajalla suodattaen. Esimerkiksi: example.com/author/joe or example.com/?author=123. Myös tämän toiminnon saa estettyä helposti Seravo Pluginilla.
Koska nämä asetukset heikentävät WordPressin toiminnallisuutta ja saattavat estää tiettyjä lisäosia tai ulkoisia ominaisuuksia toimimasta, emme tee näitä asetuksia asiakkaan puolesta tai oletuksena. Uusi turvallisuusosiomme WordPressin hallintapaneelissa tekee asetusten käyttöönotosta helppoa, jos asiakas itse niin haluaa.
WP-palvelussa tietoturva otetaan vakavasti
Osana ylläpitoa huolehdimme myös asiakkaidemme sivujen turvallisuudesta. Emme voi luvata, etteikö tietoturvaongelmia koskaan ilmaantuisi – eikä kukaan muukaan voi – mutta väitämme, että arkkitehtuurimme on paljon paremmin rakennettu kuin kilpailijoidemme. Tämän lisäksi standardimme ovat korkeat ja tietoturvaan liittyvä ammattitaitomme kova. Voimme siis luvata, että järjestelmämme on vaikea kohde tietoturvahyökkäykselle.
Itse asiassa takaamme tämä väitteen tarjoamalla asiakkaillemme tietoturvatakuun. Tämä tarkoittaa sitä, että siivoamme asiakkaidemme sivut ilmaiseksi, jos sivustolle murtaudutaan. Lue tietoturvastamme lisää verkkosivuillamme.