Seravon uudet tietoturva-asetukset WordPressiin

Kirjoitettu: 20.6.2019 Päivitetty: 1.7.2019

Olemme pitäneet useita luentoja WordCampeissa ja muissa taphtumissa WordPressin tietoturvasta. Olemme poikkeuksetta painottaneet, että WordPress on oletusarvoisesti turvallinen, kunhan käyttäjä muistaa hyvän salasanahygienian. WordPress ei ole kuten Windows – ei ole siis tarvetta suorittaa virusskannauksia tai asentaa turvallisuuden takaavia lisäosia heti WordPressin asennuksen jälkeen. WordPress ei siis ole luonnostaan haavoittuvainen.

WordPressin tietoturvasta on liikkeellä paljon virheellistä informaatiota ja myyttejä, joten suosittelemme tutustumaan blogiartikkeliimme WordPressin tietoturvan perusteista. Kirjoitus antaa hyvän käsityksen WordPressin tietoturvasta ja hälventää siihen liittyviä epäilyksiä.

Huolimatta luottamuksestamme WordPressin ytimen turvallisuuteen päätimmme äskettäin mukauttaa lähestymistapojamme muutamien usein esille tulevien seikkojen suhteen.

Esittelyssä WP-palvelun uudet tietoturva-asetukset

Vuosien varrella tietoturvayritykset ovat auditoineet WP-palvelun turvallisuutta, ja tehtyjen tarkastuslistojen avulla on onnistuttu löytämään muutamia usein esille tulevia, mutta pieniä haavoittuvaisuuksia, joita nyt paneudumme torjumaan uusien tietoturva-asetustemme avulla.

Vaikka haavoittuvaisuudet ovat hyvin pieniä, haluamme auttaa asiakkaitamme saamaan täydet pisteet näistä tarkastuksista ja näin taata asiakkaillemme mahdollisimman turvalliset WordPress-sivut. Tätä tarkoitusta varten olemme julkaisseet Seravo Pluginiin uuden turvallisuusosion, jonka avulla asiakkaamme voivat muutamalla napautuksella parantaa sivujensa tietoturvaa entisestään.

  1. Ota XML-RPC API pois käytöstä. Ennen kuin WordPress julkaisi WP REST API:n, oli olemassa joitakin sovelluksia, jotka kommunikoivat WordPressille XML-RPC API:n kautta. Esimerkiksi Jetpack, Pingback ja vanha WordPress -mobiilisovellus toimivat tämän järjestelmän avulla. XML-RPC API on vaarallisen tehokas, sillä se mahdollistaa useat todentamisyritykset rinnakkain. Vaikka siinä ei tällä hetkellä ole tunnettuja tietoturva-aukkoja, tietyt asiantuntijat pitävät sitä silti riskitekijänä. Näin ollen se on myös usein osa tarkastuslistaa. Koska useimmat sivustot eivät tarvitse sitä, eikä se yleensä ole käytössä, voidaan tämä riskitekijä poistaa ottamalla se kokonaan pois käytöstä.
  2. Estä käyttäjien luettelointi WP REST API:ssa. Kuten jo aiemmin mainittiin, WP REST API on uusi WordPressin järjestelmä, joka korvasi XML-RPC API:n. Järjestelmä julkaistiin 2017, ja se on monella tapaa todettu paremmaksi kuin XML-RPC API, vaikka tähänkin järjestelmään on kohdistunut kritiikkiä. Jotkut ovat esittäneet huolensa liittyen järjestelmän käyttäjärajapintaan, joka listaa tietyillä komennoilla sivuston käyttäjät näkyviin kenelle tahansa. Yleensä käyttäjätiedot eivät ole kovin salaisia, ja näitä tietoja voi saada myös esimerkiksi blogien kirjoittajatiedoista, mutta poikkeuksiakin löytyy. Tämän toiminnon estäminen suoraan rikkoo Gutenbergin ominaisuuden, jolla valitaan artikkelin kirjoittaja, mutta Seravo Pluginin kautta tehtynä se ei aiheuta ongelmia.
  3. Estä kirjoittajien luettelointi. Kuten yllä mainittiin, kaikki eivät halua oletusarvoisesti, että blogin sisältöä voi hakea kirjoittajalla suodattaen. Esimerkiksi: example.com/author/joe or example.com/?author=123. Myös tämän toiminnon saa estettyä helposti Seravo Pluginilla.

Koska nämä asetukset heikentävät WordPressin toiminnallisuutta ja saattavat estää tiettyjä lisäosia tai ulkoisia ominaisuuksia toimimasta, emme tee näitä asetuksia asiakkaan puolesta tai oletuksena. Uusi turvallisuusosiomme WordPressin hallintapaneelissa tekee asetusten käyttöönotosta helppoa, jos asiakas itse niin haluaa.

WP-palvelussa tietoturva otetaan vakavasti

Osana ylläpitoa huolehdimme myös asiakkaidemme sivujen turvallisuudesta. Emme voi luvata, etteikö tietoturvaongelmia koskaan ilmaantuisi – eikä kukaan muukaan voi – mutta väitämme, että arkkitehtuurimme on paljon paremmin rakennettu kuin kilpailijoidemme. Tämän lisäksi standardimme ovat korkeat ja tietoturvaan liittyvä ammattitaitomme kova. Voimme siis luvata, että järjestelmämme on vaikea kohde tietoturvahyökkäykselle.

Itse asiassa takaamme tämä väitteen tarjoamalla asiakkaillemme tietoturvatakuun. Tämä tarkoittaa sitä, että siivoamme asiakkaidemme sivut ilmaiseksi, jos sivustolle murtaudutaan. Lue tietoturvastamme lisää verkkosivuillamme.

Kommentoi

Otto Kekäläinen

Hae WP-palvelu.fi:stä

Lue myös

WordPress 5.4 on julkaistu

1.4.2020

Maaliskuun 31. toi meille uuden WordPress-version 5.4. On tapana, että WordPress-versiot nimetään legendaaristen jazz-muusikoiden mukaan. Tällä kerralla kunnian saa trumpetisti […]

WordPressin haku nopeaksi MariaDB:llä

24.3.2020

WordPressin sisäänrakennettua hakutoimintoa ei voi aina kehua nopeaksi. Se hidastelee helposti varsinkin suurilla sivustoilla, kun tietokannassa on paljon sisältöä. Tätä […]

WooCommerce 4.0 on ulkona

13.3.2020

On olemassa monia hyviä syitä miksi kannattaa valita WooCommerce verkkokaupan alustaksi. Ei ole sattumaa, että se on maailman suosituin verkkokauppa-alusta, […]