Googlatessasi hakutermin “WordPress-tietoturva” löydät tolkuttoman paljon eri neuvoja. Suurin osa näistä neuvoista on kuitenkin harhaanjohtavia myyntipuheita tai yksinkertaisesti vanhentuneita. Monesti esimerkiksi tietoturvaan liittyviä lisäosia myyvät tahot antavat valheellista informaatiota tuotteen myynnin edistämiseksi. Todellisuudessa nämä lisäosat saattavat vain lisätä mahdollisuuksia tulla hakkeroiduksi ja pahimmassa tapauksessa hidastavat myös sivuston latausnopeutta.
WordPress ja sen ydin on itsessään todella tietoturvallinen. Sen suojaamiseksi ei tarvitse asentaa ylimääräisiä tietoturvaa “lisääviä” lisäosia. Sivuston suojaamiseksi riittää hyvin pienten toimenpiteiden teko säännöllisin väliajoin. Nämä toimenpiteet pitävät sivuston erittäin tietoturvallisena suhteessa hakkerin saavuttamaan hyötyyn ja tekevät sivustosta muutenkin epäkannattavan kohteen hakkerille.
Olemme koonneet tähän alle listan mielestämme tärkeistä asioista WordPress-tietoturvaan liittyen, jonka avulla ylläpidät ja jatkokehität tietoturvaasi WordPress-sivustolla.
Nykypäivänä salasanahygienian noudattaminen on melkeinpä välttämätöntä. Tämä pätee luonnollisesti myös WordPress-tietoturvaan ja sivustolla käytettyihin salasanoihin.
Tarkista, että salasanasi on riittävän pitkä (yli 12 merkkiä), se sisältää isoja ja pieniä kirjaimia, erikoismerkkejä ja se ei ole arvattavissa helposti. Muista myös käyttää eri palveluissa eri salasanoja, suojata verkkoliikenteesi salasanoja syötettäessä ja vaihtaa salasanasi säännöllisin väliajoin. Salasana kannattaa vaihtaa noin kahden kuukauden välein.
Käyttäjätunnusta luodessa kannattaa aina ottaa huomioon, minkä laajuiset oikeudet tämä käyttäjä oikeasti tarvitsee. Älä siis anna käyttäjälle liian laajoja oikeuksia, jos niille ei ole tarvetta.
HTTPS-protokolla on HTTP-protokollan ja TLS/SSL-protokollan yhdistelmä, jota käytetään liikenteen ja tiedonsiirron suojaamiseen selaimessa. Varmista aina palveluntarjoajaltasi, että kaikki yhteydet ovat salattuja sertifikaatin avulla.
HTTPS-protokollan käyttö mahdollistaa uuden HTTP/2-protkollan käytön, joka nopeuttaa sivuston latausaikaa huomattavasti.
Hakukoneoptimoinnin kannalta Google on myös linjannut, että se suosii HTTPS-suojattua sivuja entistä enemmän.
Jos haluat lukea lisää hakukoneoptimoinnista, niin käy katsomassa yksi suosituimmista blogikirjoituksistamme tästä.
WordPress, sen lisäosat ja teemat tulisit päivittää säännöllisin väliajoin. WordPress on maailman suosituin julkaisujärjestelmä, jota käyttää tällä hetkellä 34% maailman kaikista verkkosivuista. Tästä syystä myös hakkerit ottavat kohteeksensa WordPress-sivustot.
WordPress-lisäosia on saatavilla yli 46 tuhatta kappaletta ja teemoja yli 31 tuhatta kappaletta. Käytännössä kuka vaan voi tehdä oman lisäosansa tai teemansa ja laittaa sen muiden ladattavaksi avoimen lähdekoodin julkaisujärjestelmään, WordPressiin.
Tästä syystä on erityisen tärkeää, että lisäosia ja teemoja valittaessa kiinnitetään huomiota niiden valmistajiin. Hyvän valmistajan huomaa yleensä aktiivisten latauksien määrästä, arvosteluista ja ylläpidon tiheydestä. Ylläpidon tiheydellä tarkoitetaan yleensä sitä, kuinka usein tietoturva-aukkoja tai muita teemassa/lisäosassa ilmenneitä ongelmia korjataan, tarjoamalla lisäosan tai teeman käyttäjälle säännöllisiä ohjelmistopäivityksiä.
Lisäosien tarpeellisuutta kannatta myös arvioida säännöllisin väliajoin, koska suurempi määrä lisäosia = suurempi pinta-ala hakkerille hyökätä. Jos lisäosan toiminnon pystyy toteuttamaan ilman erillistä lisäosaa, on se kannattavampaa poistaa kokonaan sekä sivuston tietoturvan että latausnopeuden kannalta. Suosittelemme siis käymään lisäosat ja teemat läpi säännöllisin väliajoin, ja poistamaan niistä kaikki tarpeettomat.
Jos lisäosia ei poista, niin lisäosan tiedostot löytyvät edelleen palvelimelta, joka mahdollistaa hyökkäyksen niiden kautta, vaikka ne olisivat deaktivoitu. Poistamalla turhat ja epäluotettavat lisäosat minimoit tietoturva-aukkojen määrää ja teet sivustolle hyökkäämisen hankalemmaksi.
HUOM. Muista siis aina poistaa turhat lisäosat. Niiden pois päältä kytkeminen ei nimittäin riitä.
Mitä nopeammin uudet päivitykset saadaan asennettua sivustolle, sitä nopeammin tietoturvariski ohitetaan ja sivusto ei ole enää alttiina hyökkäyksille. Näin ollen päivitysten automatisointi vähentää mahdollisuuksia joutua hyökkäyksen kohteeksi.
Useimmat palveluntarjoajat sisällyttävät palveluntarjontaansa asennusohjelman, jolla saa aktivoitua automaattiset päivitykset WordPressiin. Automaattisten päivitysten laajuus ja päivitystiheys ovat yleensä palveluntarjoajasta riippuvaisia asioita. Jotkut tarjoavat kaiken monta kertaa päivässä, kun taas toiset pelkästään WordPress-ytimen päivityksen epäsäännöllisin väliajoin.
Sivuston automaattisissa päivityksissä on myös omat ongelmansa. Jotkut suosivat sivuston päivittämistä itse, jotta he pystyvät reagoimaan sivustossa ilmeneviin ongelmiin jo päivityksen yhteydessä. Pahimmassa tapauksessa päivityksen suorittaminen ilman valvontaa voi aiheuttaa toimimattomuutta sivustolla tai rikkoa sivuston ulkoasun hetkellisesti.
Automaattisia päivityksiä käyttävien kannattaa aina tarkistaa palveluntarjoajaltaan, miten maksullisten lisäosien päivittäminen onnistuu automatiikan puitteissa. Yleensä kehittyneimmät palveluntarjoajat pystyvät ajamaan näiden lisäosien päivitykset normaalien päivityksien ohessa, jos lisäosat on vain toteutettu heidän ohjeidensa mukaisesti.
HUOM. Jos et käytä automaattisia päivityksiä, niin hyvänä nyrkkisääntönä on pysyä maksimissaan kolmen päivityksen päässä uusimmasta päivitysversiosta. Suosittelemme kuitenkin päivittämään sivuston heti, kun se vain on mahdollista.
Limited Login Attempts-lisäosa on yksi hyödyllisimmistä lisäosista sivuston tietoturvan kannalta suhteessa sen käyttöönottoon vaadittavaan aikaan. Kaikessa yksinkertaisuudessaan tämä lisäosa siis estää käyttäjää kirjautumasta useampaan otteeseen sivustolle vähentäen mahdollisten hakkerointiyritysten määrää. Hakkerointiyritysten määrän väheneminen näkyy myös suoraan sivuston kuormituksen vähenemisenä nopeuttaen sivua pienissä määrin.
Jos jokin menee pieleen WordPressin, sen lisäosien tai teeman päivityksessä, on tärkeää olla olemassa varmuuskopiot sivustosta. Varmuuskopiointi tuo turvaa myös hyökkäyksiä vastaan ja mahdollistaa näin kustannustehokkaan puolustautumisen sivuston hajoamiselta ja hakkerointiyrityksiltä.
Varmuuskopioita kannattaa ottaa säännöllisesti, mieluiten 1-2 kpl päivässä.
Varmuuskopiointi on osa verkkosivujen ylläpitoa, joka sisältyy myös meidän verkkosivujen ylläpito -palveluumme.
Lopuksi halusin antaa teille vielä kaksi vinkkiä, joilla pystytte lisäämään sivustonne tietoturvaa entisestään.
Jos haluat tietää lisää verkkosivujesi tietoturvan tilasta / Sinulle jäi vielä kysyttävää, niin ota meihin rohkeasti yhteyttä.
Hakukoneoptimoinnin merkitys osana markkinointia kasvaa jatkuvasti, kun digitaalinen markkinointi vakiinnuttaa asemaansa yrityksen markkinoinnissa. Yksi hakukoneoptimointiin liittyvistä osa-alueista on metakuvauksen eli metatekstin kirjoittaminen verkkosivustolle. Metakuvauksella (meta description)
Facebook Business Manager on työkalu, joka vähitellen alkaa kuulua jokaisen yrityksen markkinoinnin työkalupakkiin. Business Managerissa hallitaan (Facebook- ja Instagram-) mainontaa ja mainontaan liittyviä asioita, kuten
Työnantajamielikuva on näkymä yrityksen jokapäiväiseen elämään. Sen ympärillä pyörivät asiat kuten yrityksen visio, yrityksen toimintaperiaatteet ja yrityskulttuuri. Työnantajakuva on siis mielikuva, joka muodostuu yrityksen itse
