Vinkki: Suosittelen aina varmuuskopioimaan sivustosi ennen isompien muutosten tekemistä.
Markus Silvo (7w)
Olen järjestänyt luettelon osittain toteutuksen helppouden perusteella, joten voit aloittaa alusta ja siirtyä sitä mukaan alaspäin luettelossa taikka ihan oman makusi mukaan.
Vaikka uusin WordPress-versio on aina turvallisin saatavilla oleva julkaisu, voit tehdä pari juttua sivustollesi varmistaaksesi, että se on ”lähes” läpäisemätön ei toivotuille hakkereille ja roboteille.
Käytä hyvää ja nopeaa web-palvelinta (Suositus)
Hyvä palveluntarjoaja on jo ensimmäinen puolustuslinjasi hyökkäyksiä vastaan sivustollasi. Älä siis valitse aina kaikkein halvinta jaettua webhotellia automaattisesti.
Valitse hyvämaineinen tarjoaja, joka tukee aina viimeisimpiä verkkotekniikoiden versioita, kuten PHP:n ja MySQL uusimpia versioita. Varmista, että palveluntarjoajasi tukee vähintään jo PHP:n versiota 8 – koska se on tällä hetkellä virallinen suositeltu PHP-versio WordPressille.
Harkitse myös hallitun WordPress-isännän ”WordPress hosting/hotelli” valitsemista. Nämä palvelut ovat yleensä määritetty erityisesti WordPressiä varten, ja ne huolehtivat kaikista tärkeistä isännöinnin teknisistä näkökohdista, mukaan lukien myös turvallisuus, varmuuskopiot, käyttöaika ja suorituskykyyn liittyviä asioita.
Kannattaa varmistaa että käyttämäsi tai tuleva palvelu tukee myös esim. Let’s Encrypt:iä tämä tarjoaa ilmaisia avoimen lähdekoodin SSL- varmenteita, kun usein hosting-palvelut tarjoavat yleensä maksullisia varmenteita oletuksena. (Ja esim. tavallinen blogi pärjää hyvin ilmaisella varmenteella)
Pari hyvää tapaa parantaa WordPressin suojausta heti asennuksen jälkeen
Tee vahva salasana pääkäyttäjälle
Vahva salasana on jo huomattava parannus sivustosi turvallisuuteen ja älä myöskään käytä ylläpitäjän käyttäjätunnuksena esim. helposti arvattavaa ”Admin” nimeä.
Tietenkin salasanoja on vaikea välillä muistaa, ja kyllä, jotkut parhaista käytännöistä ovat erittäin väsyttäviä… ei päällekkäisiä salasanoja… ei helppoja salasanoja… sekoitus kirjaimia, numeroita ja erikoismerkkejä… luettelo on todella pelottava, varsinkin kun alat laskea kuinka monta eri palvelua käytät.
Olemme myötätuntoisia, joten suosittelemme käyttämään salasanojen hallintaan, Bitwarden nimistä palvelua. Pidä tilisi turvassa käyttämällä automaattisesti luotua numeroiden, kirjainten ja symbolien merkkijonoa. Vaikka kertoimet ovat pienet, raa’at brute-force hyökkäykset käyttävät paljon sanakirjan ja tiedossa olevien käyttäjänimi ja salasana yhdistelmiä tunnusten arvaamiseen.
Vaadi vahvojen salasanojen käyttöä kaikille käyttäjille
Jatketaan vahvojen salasanojen teemaa vielä lisää.
Kun verkkosivu käsittelee useita käyttäjiä, sinun on varmistettava, että jokaisella käyttäjällä on vahva salasana ja että se he vaihtaisivat sen myös säännöllisesti. Nyt tämä voi olla helpompaa pienessä mittakaavassa, mutta kun on kyse isommasta tiimistä, olisi parempi saada lisäosa, joka automatisoi tämän sinulle.
Käyttäjien pakottamiseksi päivittämään salasanansa aikaisemmin voit käyttää lisäosaa, kuten Expire user passwords. Sen avulla voit asettaa enimmäismäärän päiviä ennen salasanan vanhentumista.
Oletuksena WordPress ilmoittaa aina, jos valitset heikon salasanan:
Voit kuitenkin ohittaa sen tarkistamalla ”vahvista heikon salasanan käyttö”. Tällöin tulet jättämään verkkosivustosi mahdollisesti alttiiksi hyökkäyksille.
Anna vähemmän käyttöoikeuksia käyttäjille
WordPress-verkkosivustolla on 5 ennalta määritettyä roolia kuten: Ylläpitäjä, päätoimittaja, kirjoittaja, avustaja ja tilaaja. Jokaisella roolilla on joukko käyttöoikeuksia, joten he voivat suorittaa joitain tehtäviä. Näitä tehtäviä kutsutaan ominaisuuksiksi. Täydellinen luettelo rooleista ja ominaisuuksista löytyy täältä.
Jos sinulla on yksi verkkosivusto, tarvitset todennäköisesti vain rajoitetun määrän järjestelmänvalvojia. Itse asiassa nyrkkisääntönä on, että järjestelmänvalvojia on niin vähän kuin mahdollista. Perustelu on suoraviivainen: pienennät riskiä siitä, että hakkerit varastavat järjestelmänvalvojan tunnukset.
Pidä WordPress, teemat ja laajennukset ajan tasalla
WordPress on avoimen lähdekoodin ohjelmisto, jonka maailmanlaajuinen vapaaehtoistyö on kehittänyt ja ylläpitänyt jo monta vuotta. Jokainen uusi julkaisu voi myös korjata mahdollisia tietoturva-aukkoja.
Samoin on myös tärkeää päivittää kaikki laajennukset ja teemat säännöllisesti, jotta käytät aina uusimpia ja turvallisimpia versioita.
Kaipaatko verkkosivu osaajaa omalle projektille? Nyt kun löysit minut sinun ei tarvitse koskea pätkääkään koodiin tai ymmärtää kaikkia teknisiä termejä.
Markus Silvo (7w)
Käytä vain luotettavia teemoja ja laajennuksia
Helpoin tapa varmistaa, että laajennukset ja teemat pystyvät vastustamaan erillaisia hyökkäyksiä, on ladata ne vain luotettavista lähteistä. Tämä sisältää WordPress.org- ja premium-palveluntarjoajat. Lataaminen epäilyttäviltä kehittäjiltä taikka sivuilta, jotka piilottavat haitallisen koodin teemoissaan ja lisäosissaan, vaarantavat sivustoasi.
Lisää ylläpidon käyttäjille 2FA-todennus
2FA Tunnetaan myös nimellä kaksivaiheinen vahvistus.
Kaksivaiheinen vahvistus auttaa suojautumaan helpoilta väärinkäytöksiltä. Pelkkä käyttäjätunnus-salasana-yhdistelmä on hyvin altis erilaisille hyökkäyksille. Useasti ne päätyvät myös erilaisten tietovuotojen seurauksena myös useasti vääriin käsiin. WordPressille löytyy myös paljon erilaisia 2FA lisäosia.
Määritä WordPress-tietoturva lisäosa (Suositus)
Kaikki muut luettelomme merkinnät tähän asti ovat manuaalisia lisäyksiä, jotka teet verkkosivustollesi. Voit olla varma, että ne ovat osittain helppoja, jotka eivät vaadi liikaa määrityksiä tai erillaisten laajennusten asentamista.
Suosittelen myös vilkaisemaan WordFence Security nimisen tietoturva lisäosan. Tämän lisäosan avulla pystyt myös esimerkiksi lisäämään kaksivaiheisen vahvistuksen käyttäjille.
Pari haastavampaa lisätoimenpidettä WordPressin suojaamiseksi
Suojaa wp-config.php- ja .htaccess-tiedostot
Sivustosi wp-config.php -tiedosto, joka yleensä sijaitsee verkkosivustosi juurikansiossa, sisältää tärkeitä tietoja WordPress-asennuksestasi, mukaan lukien tietokannan nimi, isäntä, käyttäjänimi ja salasanan. Sillä välin .htaccess on piilotettu tiedosto, joka asettaa hakemistotason palvelimen kokoonpanon, joka mahdollistaa pysyvät linkit ja mahdollistaa kaikki uudelleenohjaukset.
Näiden kriittisten tiedostojen käytön estäminen on helppoa. Lisää vain seuraava teksti .htaccess-tiedostoon suojaamaan wp-config.php:
<Files wp-config.php>
order allow,deny
deny from all
</Files>Jos haluat lopettaa ei-toivotun pääsyn itse .htaccess-tiedostoon, sinun tarvitsee vain lisätä tämä .htaccess tiedostoon:
<Files .htaccess>
order allow,deny
deny from all
</Files>Poista tiedostojen muokkaus käytöstä
WordPress sisältää sisäisen koodieditorin laajennuksia ja teematiedostoja varten. Vaikka tämä on hyödyllistä järjestelmänvalvojille, jotka haluavat tehdä nopeita muutoksia tiedostoihin, se tarkoittaa myös että hakkerit ja korkean oikeuden omistavat käyttäjä voi tehdä tiedostomuutoksia sivustoosi. Löydät tämän ominaisuuden siirtymällä WordPress-järjestelmänvalvojan kohdasta Ulkoasu > Editori.
Voit poistaa tiedostojen muokkauksen käytöstä lisäämällä wp-config.php -tiedostoon tämän koodirivin:
define('DISALLOW_FILE_EDIT', true);
Voit silti muokata laajennuksia ja teemoja FTP:n tai cPanelisi kautta, Mutta et voi tehdä sitä enään itse WordPressin kautta.
Poista XML-RPC käytöstä valikoivasti
XML-RPC tai XML Remote Procedure Call on API, joka auttaa yhdistämään verkko- ja mobiilisovellukset helpommin WordPress-sivustoosi. Se oli aikoinaan oletusarvoisesti käytössä WordPress 3.5:ssä, mutta sen jälkeen sen on havaittu vahvistavan merkittävästi brute-force hyökkäyksiä.
Esimerkiksi, jos hakkeri haluaa kokeilla 500 erilaista salasanaa sivustollasi, heidän on yleensä tehtävä 500 erillistä kirjautumisyritystä. Mutta XML-RPC:n avulla hakkeri voisi käyttää system.multicall-toimintoa kokeilemaan suurta määrää käyttäjänimi sekä salasana yhdistelmiä vain yhdessä HTTP-pyynnössä.
Vaikka tämä ominaisuus olisi helppo poistaa käytöstä kokonaan sivustollasi, se merkitsisi toiminnallisuuden menettämistä esimerkiksi Jetpackin kaltaisille laajennuksille. Sen sijaan on parasta valita valikoiva tapa, jolla XML-RPC otetaan käyttöön ja pois käytöstä erityisesti siihen suunnitelluilla laajennuksilla.
Jos et halua asentaa lisäosaa hoitamaan xmlrpc.php tiedostoon pääsyä, voit myös estää pääsyn xmlrpc.php tiedostoon kokonaan .htaccess:in avulla lisäämällä tämän .htaccess tiedostoon:
# Estä WordPress xmlrpc.php -pyynnöt
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>Johtopäätös 😎👍
Ei ole olemassa 100% täydellistä tapaa suojata WordPress-sivustoasi tietoturvauhkilta. Parasta mitä voit tehdä, on pitää WordPress, teemat ja lisäosat aina ajan tasalla ja toteuttaa muita erilaisia ratkaisuja, jotka korjaavat haavoittuvuuksia, suojaavat kriittisiä tiedostoja.
Säännöllisten varmuuskopioiden ja tietoturvatarkistusten teko on myös erittäin suositeltua. Et koskaan tiedä, milloin sivustosi saattaa jokin taho hyökätä, joten on tärkeää, että olet valmis ja sinulla on suunnitelma sivuston palauttamiseksi nopeasti hätätilanteissa.
Mutta jos sinulle tuli kysyttävää voit kirjoittaa kommentin taikka ottaa minuun yhteyttä.