Tietoturvasta huolehtiminen WordPressissä on laaja aihealue, ja vaatii jatkuvaa työtä. Näillä neuvoilla huolehdit WordPressin tietoturvasta!
WordPress ja tietoturvan parantaminen
1. Pidä WordPress ajan tasalla
Varmista, että WordPress-asennuksesi on aina uusimmassa versiossa. Voit tarkastaa, että käytössäsi on uusin WordPress-ohjelmistoversio kohdasta Ohjausnäkymä > Päivitykset.
Pidä myös huoli, että kaikki käyttämäsi lisäosat ja teemat ovat uusimmassa versiossa ja vältä erityisesti sellaisten lisäosien ja teemojen käyttöä, joita ei päivitetä aktiivisesti. Päivittämättömät lisäosat tai teemat, jotka sisältävät haavoittuvaa koodia ovat usein helppo tapa hyökkääjälle päästä käsiksi sivustollesi.
Helppo tapa pitää huoli WordPressin päivityksistä on käyttää automaattisia päivityksiä. Saat WordPressin huolehtimaan ytimen päivitysten lisäksi myös lisäosien ja teemojen päivityksistä lisäämällä seuraavat rivit wp-config.php -tiedostoon.
define('WP_AUTO_UPDATE_CORE', true);
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
Aina automaattipäivitykset eivät kuitenkaan toimi aivan niin kuin pitäisi, vaan jokin voi sivustolla mennä rikki päivityksen vuoksi – WP-palvelussa tämä ongelma on ratkaistu testaamalla päivitykset aina automaattisesti ennen kuin ne näkyvät varsinaisella sivustolla. Asiakkaidemme ei muutenkaan tarvitse huolehtia päivittämisestä, vaan me pidämme sekä WordPressin ytimen että lisäosat ajan tasalla. Lue lisää WordPressin ja lisäosien päivityksistä WP-palvelussa.
2. Muista hyvä salasanahygienia
Salasanahygienia on yhtä tärkeä muistettava kuin käsienpesu influenssakaudella. Älä käytä helposti arvattavissa olevia lyhyitä salasanoja. Vältä myös helposti arvattavien käyttäjänimien luomista, kuten admin tai <sivuston nimi>.
Lue lisää hyvästä salasanahygieniasta.
3. Huolehdi varmuuskopioinnista
Varmista, että palveluntarjoajasi ottaa päivittäiset varmuuskopiot vähintään 30 päivän ajalta sekä sivustosi tiedostoista että tietokannasta. Mahdollisen hyökkäyksen tai vikatilanteen sattuessa on tärkeää, että sivustostasi on saatavillla ajantasaiset varmuuskopiot.
Tärkeitä kysymyksiä:
- Kuinka pitkään varmuuskopiot säilyvät?
- Sijaitsevatko varmuuskopiot fyysisesti toisessa sijainnissa kuin sivusto?
- Kuinka helppoa sivuston varmuuskopioiden palauttaminen on?
WP-palvelussa sivuston tietokanta ja tiedostot varmuuskopioidaan päivittäin ja kopioita säilytetään 30 päivän ajan. Sivusto voidaan milloin tahansa palauttaa aikaisempaan tilaan esimerkiksi tietoturvamurron tai käyttäjän tekemän inhimillisen virheen jälkeen. WP-palvelussa varmuus on vakio-ominaisuus.
4. Poista WordPressin tiedostoeditori käytöstä
WordPressin tiedostoeditori antaa käyttäjille mahdollisuuden muokata suoraan palvelimen PHP-tiedostoja. Tämä on usein helpoin tapa hyökkääjälle lisätä haitallista koodia sivustolle. Useimmissa tapauksissa tiedostoeditori on myös käyttäjälle täysin turha.
Voit ottaa tiedostoeditorin pois käytöstä lisäämällä seuraavan rivin wp-config.php -tiedostoosi.
define('DISALLOW_FILE_EDIT', true);
5. Poista virheviestit näkyviltä
WordPressin kehittämisen helpottamiseksi on mahdollista käyttää virheraportointimoodia, jossa PHP-tason virheet tulevat näkyville sivulle kun jotain menee koodissa pieleen.
Nämä virheviestit saattavat sisältää tietoja, jotka vahingossa helpottavat hyökkääjää löytämään haavoittuvuuksia tai muita arkaluonteisia tietoja sivustostasi tai palvelinympäristöstäsi.
Virheviestit saa pois näkyvistä lisäämällä seuraavat rivit wp-config.php -tiedostoon:
define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); define('SCRIPT_DEBUG', false); ini_set('display_errors', 0); ini_set('log_errors', 'On');
6. Valitse luotettava palveluntarjoaja
Pelkkä tietoturvallinen WordPress-asennus on vain puolet taistelusta. Myös palvelimen, jolla WordPress-asennuksesi on, tulisi olla tietoturvallinen ja ajan tasalla. Palvelinohjelmistot (esimerkiksi PHP, MySQL ja Apache) sekä myös Linux-käyttöjärjestelmä täytyisi päivittää säännöllisesti, jotta palvelimelle ei päästä WordPressin ulkopuoleltakaan käsiksi.
Muista myös, että varsinkin edullisimmilla Shared Hosting -tyyppisillä palveluntarjoajilla on useampia WordPress-sivustoja samalla palvelimella, mikä voi tarkoittaa sitä että jonkun toisen WordPress-tietoturvamurto voi johtaa myös oman sivustosi murtamiseen.
WordPressiin perehtynyt palveluntarjoaja osaa paremmin ottaa huomioon mahdolliset tietoturvariskit. WP-palvelu on erikoistunut nimenomaan WordPress-sivustoihin, ja järjestelmän vaatimukset osataan huomioon niin palvelintasolla ja ylläpidossa kuin asiakaspalvelussa.
Bonus: Vähennä WordPress-lisäosien käyttöä
Poista aina turhat lisäosat sivustoltasi. Jokainen ylimääräinen asennettu lisäosa paitsi saattaa hidastaa sivustoasi, myös avaa hyökkääjälle enemmän mahdollisuuksia löytää haavoittuvuuksia WordPressistä ja sen lisäosista. Saatat myös helpommin jättää käyttämättömät lisäosat päivittämättä, mikä vaarantaa sivustoasi taas enemmän.
Isoja määriä lisäosia sisältävillä sivustoilla esiintyy usein myös enemmän yhteensopivuusongelmia, virheitä sekä enemmän ylläpitovaivaa. On aina hyvä idea pitää lisäosien määrä minimissään, jotta välttyy ongelmilta ja ylimääräiseltä säädöltä. Jos et käytä lisäosaa, poista se!
Koska WordPress-lisäosia on valtava määrä, mahtuu joukkoon myös ei-suositeltavia tai jopa haitallisia yksilöitä. Olemme listanneet omat suosituksemme hyödyllisistä ja vältettävistä lisäosista tietopankkiin.
Hyvä tietoturva on jatkuva prosessi
Tietoturvasta huolehtiminen WordPress-sivustolla on monitahoinen juttu. Pelkkä tietoturvalisäosan asentaminen sivustolle ei yksinään riitä, vaan korkean tietoturvatason saavuttamiseksi täytyy tehdä töitä jatkuvasti.
WP-palvelussa sivustosi tietoturvasta on vastuussa palvelin- ja WordPress-asiantuntijoiden tiimi, jolloin sinun ei itse tarvitse käyttää aikaa tietoturvasta huolehtimiseen. Jos siis joku ylläolevista kuudesta kohdasta tuntui vieraalta tai vaivalloiselta, on syytä kääntyä WP-palvelun puoleen: me huolehdimme sivustosi tietoturvasta puolestasi. Katso hinnastomme WordPressin ylläpitopalvelusta ja kysy lisää!
Kommentoi, jos listasta jäi puuttumaan jokin olennainen WordPress-tietoturvavinkki!
Comments
Yksi vastaus artikkeliin “6 tärkeintä tapaa parantaa WordPress-sivuston tietoturvaa”
Hyviä käytännön ohjeita, täytyypä tarkistaa omalta sivulta, että kaikki lisäosat ovat ajantasalla.