Verkossa on runsaasti myyttejä ja vääriä neuvoja WordPressin tietoturvaan liittyen. Yleisin neuvo verkossa on, että tietoturva paranee tietoturvalisäosia asentamalla. Näin todellisuudessa ei käy. Tietoturvalisäosien liiketoimintamalli perustuu pelkoon, eikä asiakas itse asiassa saa mitään takuuta tai rahojaan takaisin, kun sivustolle murtaudutaan tietoturvalisäosasta huolimatta.
WordPressin ydin on turvallinen. Sen suojaamiseksi ei tarvitse heti asentaa mitään tietoturvalisäosia. Monesti lisäosat itse ovat ongelmien lähde, sekä tietoturvan että hitauden osalta.
Alla on WP-palvelun kootut ohjeet WordPressin tietoturvaan. Ohjeet perustuva WordPress Security 101 -esitykseen, jota olemme pitäneet useissa WP Meetupeissa Suomessa ja ulkomailla.
1. Noudata salasanahygieniaa
Muista aina käyttää riittävän pitkiä ja monimutkaisia salasanoja, käytä eri palveluissa eri salasanoja, muista suojatut yhteydet, äläkä anna salasanojasi urkkijoille. Lue koko blogiartikkelimme salasanahygieniasta. Tässä, kuten käsien pesemisessäkin, välitöntä hyötyä ei tautien tarttumisen estämiseksi näe, mutta se kannattaa silti aina tehdä.
2. Käytä captchaa robottien estämiseksi
Tietoturva ei yleensä parane lisäämällä WordPress-lisäosien määrää, mutta robottikirjautumisten, robottirekisteröitymisten ja roskakommenttien estämiseksi kannattaa asentaa lisäosa, jolla erotetaan ihmiset roboteista. Oma suosikkimme on Google ReCaptcha.
3. Käytä aina HTTPS:ää (ja SFTP sekä SSH) – älä koskaan lähetä salasanoja suojaamattoman yhteyden yli
Vaadi palveluntarjojaltasi, että kaikki yhteydet ovat aina salattuja. Nykypäivänä ei ole mitään syytä olla käyttämättä https-suojattua yhteyttä millään verkkosivustolla ja missään. HTTPS on edellytys myös jotta sivusto voi käyttää uutta nopeampaa HTTP/2-protokollaa. Älä myöskään vuoda palvelintunnuksiasi siirtämällä tiedostoja salaamattoman FTP-yhteyden yli. Vaadi palveluntarjoajalta aina suojattua SFTP:tä ja SSH:ta tiedostojen siirtoon ja palvelinyhteyksiin.
4. Poista tarpeettomat ohjelmistot hyökkäyspinta-alan minimoimiseksi
Ei riitä, että tarpeettomat lisäosat deaktivoi. Silloin niiden tiedostot ovat edelleen palvelimella ja hyökkääjä voi niitä käynnistää. Poista kokonaan kaikki tarpeettomat WordPress-lisäosat ja teemat, niin mahdollisten tietoturva-aukkojen (ja muiden vianlähteiden) määrä minimoituu. Huomaa, että WP-palvelussa kolmen tyyppisiä lisäosia ei tarvita lainkaan, eli WP-palveluun siirretyistä sivustoista voi poistaa kokonaan tietoturvalisäosat, varmuuskopiolisäosat ja välimuistilisäosat.
5. Huolehdi, että tietoturvapäivitykset asennetaan nopeasti WordPressin lisäosien (ja muidenkin palvelinohjelmistojen!) osalta
Kun turhat ohjelmistot on poistettu, niin WordPressin lisäosista kuin palvelimelta yleensäkin, on jäljelle jääneiden osalta pidettävä huolta, että tietoturvapäivitykset asennetaan nopeasti. WP-palvelun asiakkaana tietoturvapäivityksistä ei tarvitse murehtia itse.
6. Asenna ohjelmistoja ja päivityksiä vain luotetuista lähteistä
Käytä palvelininfrastruktuurisi perustana Linux-jakeluja ja niiden versioita, joista varmasti on tietoturvapäivitykset saatavilla koko palvelun elinkaaren ajan. Pitäydy luotettavien asennuslähteiden käytössä, ja varmista että niiden tietoturvapäivitykset ja muutkin päivitykset tapahtuvat ajallaan ja laadukkaasti.
7. Varmista varmuuskopiointi
Siltä varalta että jokin kuitenkin menee pieleen, on parasta olla hyvät varmuuskopiot käytössä. WP-palvelussa huolehdimme automaattisista varmuuskopioinneista asiakkaan puolesta.
8. Valitse palveluntarjoaja, joka huolehtii tietoturvasta mahdollisimman hyvin, jotta sinun ei itse tarvitse olla perillä kaikista yksityiskohdista
Kaikkien ei tarvitse olla tietoturvan asiantuntijoita. Osan vastuusta voi ostaa palvelunakin, erityisesti, jos tukeutuu palveluntarjoajaan, joka myy muutakin kuin pelkkää palvelinkapasiteettia. WP-palvelussa palveluun sisältyy aina myös ylläpitoa, kuten palvelinympäristön tietoturvasta huolehtimista.