WordPress on maailman suosituin sisällönhallintajärjestelmä, ja juuri sen suosio tekee siitä myös houkuttelevan kohteen hakkereille. Onneksi WordPressin suojaaminen ei ole rakettitiedettä, vaikka monet sivustonylläpitäjät kokevat sen monimutkaiseksi. Tässä artikkelissa käyn läpi ne keskeiset toimet, joilla saat sivustosi turvaan ja voit nukkua yösi rauhassa.
Miksi WordPress-sivustot ovat alttiita hyökkäyksille?
WordPress-sivustojen haavoittuvuus ei johdu itse järjestelmästä vaan kolmesta tekijästä: laajasta käyttäjämäärästä, vanhentuneista lisäosista ja heikosta salasanaturvallisuudesta. Kun käytössä on vanhoja, päivittämättömiä teemoja tai plugineja, hakkereilla on helppo pääsy tunnettujen haavoittuvuuksien kautta.
Muistan yhden tapauksen, jossa asiakkaan verkkokauppa oli kaatunut kesken vilkkaimman sesongin. Syynä oli hyökkäys, joka hyödynsi yli vuoden vanhaa lisäosaa, jolla ei ollut enää edes kehittäjän tukea. Korjaaminen vei useita päiviä ja maksoi tuhansia euroja menetetyissä myynneissä.
Vahvat salasanat ja käyttäjätunnukset
Aloita aina perustasolta. Älä koskaan käytä ”admin” käyttäjätunnuksena – se on ensimmäinen yritys jokaisessa brute force -hyökkäyksessä. Luo sen sijaan uniikki käyttäjätunnus, joka ei ole arvattavissa.
Salasanasi pitää olla vähintään 12 merkkiä pitkä ja sisältää isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä. Käytä salasananhallintaohjelmaa kuten LastPass tai 1Password – näin sinun ei tarvitse muistaa monimutkaisia salasanoja itse.
Ota käyttöön myös kaksivaiheinen tunnistautuminen. Se on yksinkertainen, mutta uskomattoman tehokas tapa estää luvaton pääsy. Vaikka hyökkääjä saisi salasanasi, hän tarvitsee silti puhelimeesi saapuvan koodin päästäkseen sisään.
Päivitykset ovat kaiken A ja O
Tämä on yksinkertaisin ja tehokkain tapa suojata sivustosi. Pidä WordPress-ydin, kaikki teemat ja lisäosat aina ajan tasalla. Vanhentuneet versiot sisältävät tunnettuja haavoittuvuuksia, joita hyökkääjät aktiivisesti etsivät.
Aseta automaattiset päivitykset päälle ainakin tietoturvapäivityksille. Voit tehdä tämän wp-config.php-tiedostossa lisäämällä rivin: define( ’WP_AUTO_UPDATE_CORE’, true );
Tarkista säännöllisesti myös käyttämättömät lisäosat ja teemat – jos et käytä jotain, poista se kokonaan. Jokainen ylimääräinen lisäosa on potentiaalinen turvallisuusriski.
Tietoturvallisuusohjelmat apuun
WordPressille on tarjolla erinomaisia tietoturvallisuusplugineita, jotka automatisoivat monia suojatoimia. Suosittelen lämpimästi Wordfence Security -lisäosaa, joka on ilmainen ja kattava ratkaisu.
Wordfence tarjoaa palomuurin, haittaohjelmaskannerin ja kirjautumisturvan. Se myös ilmoittaa sinulle välittömästi epäilyttävästä toiminnasta. Toinen hyvä vaihtoehto on Sucuri Security, joka keskittyy erityisesti haittaohjelmien tunnistamiseen.
Näillä plugineilla voit estää kirjautumisyritykset tietyiltä IP-osoitteilta, rajoittaa kirjautumisyritysten määrää ja skannata sivustosi säännöllisesti haittaohjelmien varalta.
Varmuuskopiot pelastaa päivän
Vaikka tekisit kaiken oikein, täydellistä suojaa ei ole olemassa. Siksi säännölliset varmuuskopiot ovat ehdottoman välttämättömiä. Jos sivustosi joutuu hyökkäyksen kohteeksi, varmuuskopiosta palautuminen on ainoa keino saada kaikki toimintaan nopeasti.
Käytä automaattista varmuuskopiointia pluginien kuten UpdraftPlus tai BackupBuddy avulla. Tallenna varmuuskopiot ulkoiseen palveluun – esimerkiksi Google Driveen, Dropboxiin tai S3-bucketiin. Älä säilytä niitä samalla palvelimella kuin itse sivustosi.
Testaa varmuuskopioidesi palautus säännöllisesti. Moni huomaa vasta kriisin hetkellä, että varmuuskopiot eivät toimi tai ovat vajavaisia.
SSL-sertifikaatti ja HTTPS
SSL-sertifikaatti ei pelkästään suojaa tiedonsiirtoa vaan on nykyään myös Google-rankingitekijä. Let’s Encrypt tarjoaa ilmaisia SSL-sertifikaatteja, ja useimmat webhotellit asentavat ne muutamalla klikkauksella.
Kun SSL on käytössä, varmista että koko sivusto toimii HTTPS-protokollalla. Voit pakottaa tämän lisäämällä .htaccess-tiedostoon yksinkertaisen uudelleenohjauksen tai käyttämällä Really Simple SSL -pluginia.
Piilota WordPressin versio ja kirjautumissivu
Oletuksena WordPress paljastaa versionumeron, mikä helpottaa hyökkääjän työtä. Poista version näkyvyys lisäämällä teemasi functions.php-tiedostoon: remove_action(’wp_head’, ’wp_generator’);
Harkitse myös wp-login.php-sivun osoitteen vaihtamista. WPS Hide Login -plugin mahdollistaa kirjautumissivun muuttamisen haluamaksesi URL-osoitteeksi, mikä vaikeuttaa automaattisten hyökkäysten onnistumista merkittävästi.
Rajoita tiedosto-oikeuksia palvelimella
Oikeat tiedostokäyttöoikeudet ovat kriittisiä. Yleisesti WordPressille suositellaan seuraavia arvoja: kansiot 755 ja tiedostot 644. wp-config.php-tiedoston tulisi olla 440 tai 400, koska se sisältää arkaluonteisia tietokantayhteystietoja.
Voit muuttaa oikeuksia SSH-yhteydellä tai webhotellin hallintapaneelin kautta. Tarkista myös, että wp-content/uploads-kansio ei salli PHP-tiedostojen suorittamista.
Lopuksi
WordPress-sivuston suojaaminen vaatii jatkuvaa huomiota, mutta perustoimet ovat suhteellisen yksinkertaisia. Vahvat salasanat, säännölliset päivitykset, tietoturvallisuuspluginit ja varmuuskopiot muodostavat yhdessä vahvan suojan. Älä odota hyökkäystä – toimi ennaltaehkäisevästi jo tänään. Muutaman tunnin panostus voi säästää sinulta viikkoja korjaustyötä ja merkittäviä rahallisia menetyksiä.