WordPress-tietoturva pähkinänkuoressa

Miksi WordPress-tietoturva on tärkeä asia?

Googlatessasi hakutermin “WordPress-tietoturva” löydät tolkuttoman paljon eri neuvoja. Suurin osa näistä neuvoista on kuitenkin harhaanjohtavia myyntipuheita tai yksinkertaisesti vanhentuneita. Monesti esimerkiksi tietoturvaan liittyviä lisäosia myyvät tahot antavat valheellista informaatiota tuotteen myynnin edistämiseksi. Todellisuudessa nämä lisäosat saattavat vain lisä mahdollisuuksia tulla hakkeroiduksi ja pahimmassa tapauksessa hidastavat myös sivuston latausnopeutta.

WordPress ja sen ydin on itsessään todella tietoturvallinen. Sen suojaamiseksi ei tarvitse asentaa ylimääräisiä tietoturvaa “lisääviä” lisäosia. Sivuston suojaamiseksi riittää hyvin pienten toimenpiteiden teko säännöllisin väliajoin. Nämä toimenpiteet pitävät sivuston erittäin tietoturvallisena suhteessa hakkerin saavuttamaan hyötyyn ja tekevät sivustosta muutenkin epäkannattavan kohteen hakkerille 

Olemme koonneet tähän alle listan mielestämme tärkeistä asioista WordPress-tietoturvaaliittyen, jonka avulla ylläpidät ja jatkokehität tietoturvaasi WordPress-sivustolla.

Salasanahygiena ja turvalliset käyttäjätunnukset

Nykypäivänä salasanahygienian noudattaminen on melkeinpä välttämätöntä. Tämä pätee luonnollisesti myös WordPress-tietoturvaan ja sivustolla käytettyihin salasanoihin.  

Tarkista, että salasanasi on riittävän pitkä (yli 12 merkkiä), se sisältää isoja ja pieniä kirjaimia, erikoismerkkejä ja se ei ole arvattavissa helposti. Muista myös käyttää eri palveluissa eri salasanoja, suojata verkkoliikenteesi salasanoja syötettäessä ja vaihtaa salasanasi säännöllisin väliajoin. Salasana kannattaa vaihtaa noin kahden kuukauden välein. 

Käyttäjätunnusta luodessa kannattaa aina ottaa huomioon, minkä laajuiset oikeudet tämä käyttäjä oikeasti tarvitsee. Älä siis anna käyttäjälle liian laajoja oikeuksia, jos niille ei ole tarvetta.

WordPress-tietoturva Tietokone vihreällä bittiavaruudella mustalla taustalla

Käytä aina HTTPS-protokollaa

HTTPS-protokolla on HTTP-protokollan ja TLS/SSL-protokollan yhdistelmä, jota käytetään liikenteen ja tiedonsiirron suojaamiseen selaimessa. Varmista aina palveluntarjoajaltasi, että kaikki yhteydet ovat salattuja sertifikaatin avulla.  

HTTPS-protokollan käyttö mahdollistaa uuden HTTP/2-protkollan käytön, joka nopeuttaa sivuston latausaikaa huomattavasti. 

Hakukoneoptimoinnin kannalta Google on myös linjannut, että se suosii HTTPS-suojattua sivuja entistä enemmän.  

Jos haluat lukea lisää hakukoneoptimoinnista, niin käy katsomassa yksi suosituimmista blogikirjoituksistamme tästä. 

WordPress-tietoturvablogi Iphone 7 mustasinisellä näytöllä

WordPress, lisäosat ja teemat WordPress-tietoturvassa

WordPress, sen lisäosat ja teemat tulisit päivittää säännöllisin väliajoin. WordPress on maailman suosituin julkaisujärjestelmä, jota käyttää tällä hetkellä 34% maailman kaikista verkkosivuista. Tästä syystä myös hakkerit ottavat kohteeksensa WordPress-sivustot. 

Lisäosat ja teemat vain luotettavista lähteistä

WordPress-lisäosia on saatavilla yli 46 tuhatta kappaletta ja teemoja yli 31 tuhatta kappaletta. Käytännössä kuka vaan voi tehdä oman lisäosansa tai teemansa ja laittaa sen muiden ladattavaksi avoimen lähdekoodin julkaisujärjestelmään, WordPressiin.  

Tästä syystä on erityisen tärkeää, että lisäosia ja teemoja valittaessa kiinnitetään huomiota niiden valmistajiin. Hyvän valmistajan huomaa yleensä aktiivisten latauksien määrästä, arvosteluista ja ylläpidon tiheydestä. Ylläpidon tiheydellä tarkoitetaan yleensä sitä, kuinka usein tietoturva-aukkoja tai muita teemassa/lisäosassa ilmenneitä ongelmia korjataan, tarjoamalla lisäosan tai teeman käyttäjälle säännöllisiä ohjelmistopäivityksiä 

Lisäosien tarpeellisuutta kannatta myös arvioida säännöllisin väliajoin, koska suurempi määrä lisäosia = suurempi pinta-ala hakkerille hyökätä. Jos lisäosan toiminnon pystyy toteuttamaan ilman erillistä lisäosaa, on se kannattavampaa poistaa kokonaan sekä sivuston tietoturvan että latausnopeuden kannalta. Suosittelemme siis käymään lisäosat ja teemat läpi säännöllisin väliajoin, ja poistamaan niistä kaikki tarpeettomat.  

Jos lisäosia ei poista, niin lisäosan tiedostot löytyvät edelleen palvelimelta, joka mahdollistaa hyökkäyksen niiden kautta, vaikka ne olisivat deaktivoitu. Poistamalla turhat ja epäluotettavat lisäosat minimoit tietoturva-aukkojen määrää ja teet sivustolle hyökkäämisen hankalemmaksi. 

HUOM. Muista siis aina poistaa turhat lisäosat. Niiden pois päältä kytkeminen ei nimittäin riitä. 

Automaattiset päivitykset WordPress-tietoturvan lisäämiseksi

Mitä nopeammin uudet päivitykset saadaan asennettua sivustolle, sitä nopeammin tietoturvariski ohitetaan ja sivusto ei ole enää alttiina hyökkäyksille. Näin ollen päivitysten automatisointi vähentää mahdollisuuksia joutua hyökkäyksen kohteeksi. 

Useimmat palveluntarjoajat sisällyttävät palveluntarjontaansa asennusohjelman, jolla saa aktivoitua automaattiset päivitykset WordPressiin. Automaattisten päivitysten laajuus ja päivitystiheys ovat yleensä palveluntarjoajasta riippuvaisia asioita. Jotkut tarjoavat kaiken monta kertaa päivässä, kun taas toiset pelkästään WordPress-ytimen päivityksen epäsäännöllisin väliajoin. 

Sivuston automaattisissa päivityksissä on myös omat ongelmansa. Jotkut suosivat sivuston päivittämistä itse, jotta he pystyvät reagoimaan sivustossa ilmeneviin ongelmiin jo päivityksen yhteydessä. Pahimmassa tapauksessa päivityksen suorittaminen ilman valvontaa voi aiheuttaa toimimattomuutta sivustolla tai rikkoa sivuston ulkoasun hetkellisesti. 

Automaattisia päivityksiä käyttävien kannattaa aina tarkistaa palveluntarjoajaltaan, miten maksullisten lisäosien päivittäminen onnistuu automatiikan puitteissa. Yleensä kehittyneimmät palveluntarjoajat pystyvät ajamaan näiden lisäosien päivitykset normaalien päivityksien ohessa, jos lisäosat on vain toteutettu heidän ohjeidensa mukaisesti. 

HUOM. Jos et käytä automaattisia päivityksiä, niin hyvänä nyrkkisääntönä on pysyä maksimissaan kolmen päivityksen päässä uusimmasta päivitysversiosta. Suosittelemme kuitenkin päivittämään sivuston heti, kun se vain on mahdollista. 

WordPress-tietoturva: Limited Login Attempts

Limited Login Attempts-lisäosa on yksi hyödyllisimmistä lisäosista sivuston tietoturvan kannalta suhteessa sen käyttöönottoon vaadittavaan aikaan. Kaikessa yksinkertaisuudessaan tämä lisäosa siis estää käyttäjää kirjautumasta useampaan otteeseen sivustolle vähentäen mahdollisten hakkerointiyritysten määrää. Hakkerointiyritysten määrän väheneminen näkyy myös suoraan sivuston kuormituksen vähenemisenä nopeuttaen sivua pienissä määrin. 

Säännöllinen varmuuskopiointi tietoturvan varmistamiseksi

Jos jokin menee pieleen WordPressin, sen lisäosien tai teeman päivityksessä, on tärkeää olla olemassa varmuuskopiot sivustosta. Varmuuskopiointi tuo turvaa myös hyökkäyksiä vastaan ja mahdollistaa näin kustannustehokkaan puolustautumisen sivuston hajoamiselta ja hakkerointiyrityksiltä. 

Varmuuskopioita kannattaa ottaa säännöllisesti, mieluiten 1-2 kpl päivässä.

Varmuuskopiointi on osa verkkosivujen ylläpitoa, joka sisältyy myös meidän verkkosivujen ylläpitoomme

Vinkki: WordPress-tietoturva paremmaksi kahdella helpolla toimenpiteellä

Lopuksi halusin antaa teille vielä kaksi vinkkiä, joilla pystytte lisäämään sivustonne tietoturvaa entisestään.

  • Muuta WordPressin kirjautumissivun URL-osoite, jotta hakkerit / botit eivät löydä kirjautumissivua helposti.
  • Lisää kaksivaiheinen tunnistautuminen erillisen lisäosan avulla vaikeuttamaan sivuston hakkerointia. Kaksivaiheisessa tunnistautumisessa kirjautuminen tapahtuu salasanan syöttämisen lisäksi esimerkiksi puhelimeen saapuvalla kertakäyttöisellä vahvistusviestillä.

Jos haluat tietää lisää verkkosivujesi tietoturvan tilasta / Sinulle jäi vielä kysyttävää, niin ota meihin rohkeasti yhteyttä.

Pyydä ilmainen arvio verkkosivujesi nykytilasta

Lähetämme sinulle analyysin sähköpostiin.
Rasmus Ranta kuva mustavalkoinen
Rasmus Ranta
CTO, Yrittäjä
Linkedin Instagram Envelope
Tilaa blogi sähköpostiin

Jatka lukemista

Jatka lukemista tutustumalla muihin artikkeleihimme.