@harrasteblogi Juuri Nyt!
00:31 Milloin vanha artikkeli kannattaa optimoida Lue lisää →
00:14 Miten UX ja SEO tukevat toisiaan Lue lisää →
14:08 Milloin verkostosivusto on järkevä ratkaisu Lue lisää →
14:00 WordPress blogi vs. staattinen sivusto Lue lisää →
13:54 Miten rakenteinen data parantaa CTR:ää Lue lisää →

Kuinka suojata WordPress hakkereilta – tärkeimmät vinkit

31.10.2025 | Artikkeleita, IT, Kotisivut, Nettisivut, Tietoturva, Verkkokauppa, Verkkokehitys, Verkkosivut, Verkkotyökalu, WordPress

Kuinka tehdä ammattimainen yrityssivu WordPressillä

Kuinka suojata WordPress hakkereilta – tärkeimmät vinkitHyvä päätös — sivuston koventaminen kannattaa aina. Alla on selkeä, priorisoitu lista käytännön toimenpiteitä, joilla vähennät hakkereiden mahdollisuuksia merkittävästi. Ensin tärkeimmät toimet, sitten tarkemmat ohjeet ja konfig-snippetit.

Nopeat, korkean vaikutuksen toimet (tee heti)

  1. Päivitä WordPress, teemat ja lisäosat aina välittömästi, kun päivityksiä tulee.

  2. Vaihda vahva salasana kaikille tilille (admin, FTP, database). Käytä salasanalistaa tai salasanaohjelmaa.

  3. Ota käyttöön 2-vaiheinen tunnistautuminen (2FA) admin-kirjautumiselle.

  4. Varmuuskopiot (säännöllisesti) — säilytä vähintään yksi kopio erillisessä paikassa (pilvi tai toinen palvelin).

  5. Asenna luotettava turvallisuus-/palomuuri-lisäosa (WAF + malware scan).

Tarkempi suojauksien lista (selitettynä)

1. Käytä turvallista hostingia ja HTTPS:ää

  • Valitse hosting, joka tarjoaa turvallisuuspäivitykset, eristetyt käyttöympäristöt (container/VPS), SFTP/SSH ja automaattiset varmuuskopiot.

  • Ota HTTPS/SSL käyttöön (ilmainen sertifikaatti riittää useimmiten) ja pakota admin-kirjautuminen HTTPS:lla.

2. Pidä järjestelmä ja lisäosat ajan tasalla

  • Päivitykset paikkaavat tunnettuja haavoittuvuuksia. Poista käyttämättömät teemat ja lisäosat kokonaan (ei pelkkää deaktivointia).

  • Tarkista lisäosien luotettavuus: paljon latauksia, säännölliset päivitykset ja hyvät arvostelut.

3. Käytä vahvoja tunnuksia ja rajoituksia

  • Poista oletuskäyttäjä “admin” — käytä henkilökohtaista käyttäjätunnusta.

  • Käytä pitkiä, ainutlaatuisia salasanoja ja eri salasanaa sähköpostille/FTP:lle/databaselle.

  • Rajoita admin-kirjautuja IP-osoitteilla jos mahdollista (jos sinulla on kiinteä IP).

4. 2FA ja rajoitettu kirjautuminen

  • Ota 2FA käyttöön (sähköposti, TOTP-sovellus kuten Google Authenticator tai autentikaattorisovellus).

  • Estä tai rajoita toistuvat epäonnistuneet kirjautumiset (ratkaisut: Limit Login Attempts -tyyppiset lisäosat).

5. Käytä Web Application Firewallia (WAF) / CDN

  • Palvelut kuten Cloudflare tai vastaavat tarjoavat WAF:n ja estävät yleisiä hyökkäyksiä (botit, DDoS).

  • CDN nopeuttaa ja samalla suojaa osittain sivustoa.

6. Poista tiedostomuokkaus ja kovenna wp-config.php

Lisää wp-config.php:hen:

// Estää teemojen ja lisäosien muokkauksen WordPressin editorilla
define('DISALLOW_FILE_EDIT', true);

// Pakottaa adminin HTTPS:ään
define('FORCE_SSL_ADMIN', true);

7. Turvalliset tiedostojen käyttöoikeudet

  • Tiedostot yleensä 644, hakemistot 755.

  • Vältä 777-oikeuksia. Jos et tiedä, kysy hostingilta tai käytä SFTP:tä.

8. Suojaa kirjautumissivu

  • Muuta oletusosoitetta /wp-login.php jollain lisäosalla (huom: ei täydellinen suoja, mutta vähentää skriptien määrää).

  • Käytä CAPTCHA:ta tai rajoita kirjausten määrää.

9. Estä XML-RPC ja tarpeettomat rajapinnat

  • XML-RPC:n kautta voidaan tehdä brute-force-hyökkäyksiä ja muita pyyntöjä. Jos et käytä sitä (esim. jetpack tai etäjulkaisu), poista se käytöstä lisäosalla tai serverin konfiguraatiolla.

  • REST API:ta kannattaa suodattaa jos paljastaa käyttäjätunnuksia: estä käyttäjälistaus tai rajoita sitä.

10. Salaa tietokantayhteys ja suojaa DB-prefiksiä

  • Varmista, että tietokantayhteys käyttää vahvaa salasanaa.

  • Voit muuttaa oletusprefiksiä (wp_) asennuksen yhteydessä tai käyttämällä turvallista skriptiä — mutta varovaisuutta, tee täydellinen varmuuskopio ensin.

11. Lisää HTTP-otsakkeita (HSTS, X-Frame-Options jne.)

Esimerkki .htaccess-snippetille (Apache):

# Estä clickjacking
Header always append X-Frame-Options SAMEORIGIN

# Estä sisällön tyyppien vääristely
Header set X-Content-Type-Options nosniff

# Ota HSTS käyttöön (vain jos HTTPS on varmasti toimiva)
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

(Varo HSTS:n kanssa — ota vain, kun HTTPS on oikein konfiguroitu.)

12. Lokitus ja valvonta

  • Ota käyttöön kirjautumislokit ja seuraa epäilyttäviä kirjautumisyrityksiä.

  • Käytä lisäosia tai palveluita, jotka ilmoittavat epäilyttävistä tapahtumista (esim. epäonnistuneet kirjautumiset, uudet admin-käyttäjät).

13. Skannaa haittaohjelmat säännöllisesti

  • Käytä malware-scan-työkalua ja suorita skannaus säännöllisesti. Monet turvallisuuslisäosat sisältävät skannauksen ja poistotyökalut.

14. Varmuuskopiot ja palautus

  • Aikatauluta automaattiset varmuuskopiot ja testaile palautusta. Säilytä kopiot erillisessä ympäristössä (pilvi, S3 tai muu).

  • Säilytä sekä tiedosto- että tietokantakopioita.

15. Poista herkät tiedot koodista

  • Älä säilytä salasanoja, API-avaimia tai muita herkkiä avaimia versionhallinnassa tai julkisissa tiedostoissa.

Suositellut lisäosat (esimerkkejä)

  • Turvallisuus + WAF: Wordfence, Sucuri, iThemes Security

  • Varmuuskopio: UpdraftPlus

  • Kirjautumisen rajoitus / 2FA: useat turvallisuuslisäosat sisältävät nämä toiminnot tai käytä erillistä 2FA-lisäosaa

  • Malware-scan: monet edellä mainituista (Wordfence/Sucuri) tarjoavat skannaus- ja puhdistustoimintoja

Huom: valitse lisäosa, jonka taustatiimi on luotettava, päivityksiä tulee usein ja sillä on hyvät arvostelut.

Pikachecklist — tee nämä heti

  • Päivitä WordPress + teemat + lisäosat

  • Ota 2FA käyttöön admin-tileissä

  • Varmuuskopioi ja tarkista palautusprosessi

  • Asenna WAF / ota Cloudflare käyttöön

  • Estä tiedostojen editointi (DISALLOW_FILE_EDIT)

  • Rajoita kirjautumisyrityksiä / käytä CAPTCHA:ta

  • Skannaa sivusto haittaohjelmien varalta

Hätätilanteessa (jos epäilet murtoa)

  1. Ota sivu alas ylläpitotilaan ja vaihda admin-salasanat (kaikille tileille).

  2. Palauta viimeisin puhdas varmuuskopio.

  3. Skannaa tiedostot ja tietokanta haittakoodin varalta.

  4. Tarkasta käyttäjätilit — poista tuntemattomat admin-tilit.

  5. Vaihda kaikki API-avaimet ja muut salasanat, esim. FTP, DB, sähköposti.