Moni ylläpitäjä asentaa heti useita tietoturvalisäosia suojatakseen WordPress-sivustonsa. Se on ymmärrettävää, mutta totuus on, että tehokas suoja ei vaadi raskaita lisäosia, jotka hidastavat sivustoa ja kuluttavat palvelimen resursseja. Oikein toteutettuna WordPress voidaan koventaa ja suojata kevyesti – jopa täysin ilman erillisiä tietoturvapluginia.
1. Päivitykset ovat tärkein suoja
Kaikki alkaa siitä, että pidät WordPressin, teemat ja lisäosat ajan tasalla. Suurin osa hyökkäyksistä kohdistuu vanhentuneisiin versioihin, joissa on tunnettuja haavoittuvuuksia. Päivitysten laiminlyönti on yleisin syy murtotapauksiin.
Ota käyttöön automaattiset päivitykset ytimeen ja lisäosiin tai tarkista ne säännöllisesti manuaalisesti.
2. Poista kaikki, mitä et käytä
Jokainen ylimääräinen lisäosa tai teema on mahdollinen hyökkäysreitti.
Poista siis kaikki käyttämättömät teemat, lisäosat ja vanhat varmuuskopiot palvelimelta. Puhdas asennus on kevyempi, turvallisempi ja nopeampi.
3. Käytä vahvoja salasanoja ja roolirajoituksia
Yksinkertaiset salasanat ja ylimitoitetut käyttöoikeudet ovat helppo tapa murtautua sisään.
-
Käytä vahvoja, satunnaisia salasanoja.
-
Ota käyttöön kaksivaiheinen tunnistautuminen, jos mahdollista.
-
Anna käyttäjille vain ne roolit, joita he tarvitsevat – älä käytä admin-oikeuksia turhaan.
4. Vaihda kirjautumisosoite
WordPressin oletuskirjautumissivu (/wp-login.php) on yleisin hyökkäyskohde. Voit helposti muuttaa kirjautumisosoitteen esimerkiksi .htaccess-määrityksellä tai kevyellä koodilla ilman raskasta lisäosaa.
Tämä ei ole täydellinen suoja, mutta vähentää automaattisten bottihyökkäysten määrää merkittävästi.
5. Rajoita kirjautumisyrityksiä palvelintasolla
Sen sijaan että käytät lisäosaa, voit rajoittaa kirjautumisyrityksiä suoraan palvelimen asetuksissa.
Jos käytät NGINX- tai Apache-palvelinta, voit estää toistuvat virheelliset kirjautumiset IP-tasolla. Tämä säästää resursseja ja pysäyttää bottihyökkäykset jo ennen kuin WordPress kuormittuu.
6. Suojaa wp-config.php ja .htaccess
Nämä tiedostot sisältävät kriittisiä asetuksia, kuten tietokantatiedot ja polkuasetukset.
Lisää .htaccess-tiedostoon säännöt, jotka estävät niiden pääsyn selaimen kautta.
Myös tiedosto-oikeuksien (CHMOD) tarkistaminen on tärkeää – älä anna kirjoitusoikeuksia julkisiin hakemistoihin turhaan.
7. Poista XML-RPC, jos et käytä sitä
XML-RPC on vanha rajapinta, jota monet hyökkäykset käyttävät.
Jos et tarvitse sitä esimerkiksi Jetpackin tai etäjulkaisujen takia, poista se kokonaan. Tämä vähentää huomattavasti brute force -yrityksiä.
8. Käytä HTTPS ja HSTS
Ilman salattua yhteyttä kaikki kirjautumistiedot ja lomakeviestit kulkevat avoimena verkossa.
Ota käyttöön SSL-varmenne (usein ilmainen Let’s Encrypt -sertifikaatti riittää) ja määritä HSTS (HTTP Strict Transport Security) -asetus, joka pakottaa selaimet käyttämään aina HTTPS-yhteyttä.
9. Palomuuri palvelintasolla
Sen sijaan että asentaisit raskaan “firewall”-lisäosan, käytä palomuuria suoraan palvelimella tai verkon tasolla (esim. Cloudflare).
Cloudflare tarjoaa ilmaisen tason, joka estää DDoS-hyökkäyksiä ja suodattaa haitallista liikennettä ennen kuin se edes saavuttaa WordPressin.
10. Varmuuskopiointi – turvaverkko joka pelastaa kaiken
Paras suoja ei aina ole estäminen, vaan varautuminen.
Ota käyttöön automaattinen varmuuskopiointi joko palvelimen kautta tai cron-ajastuksella. Säilytä kopiot myös erillisellä palvelimella tai pilvessä, jotta ne eivät tuhoudu hyökkäyksen yhteydessä.
11. Piilota WordPressin versiotiedot
Monet hyökkäykset kohdistuvat tiettyihin WordPress-versioihin. Piilottamalla versionumeron sivuston lähdekoodista vaikeutat hyökkääjien kohdistamista. Tämä onnistuu helposti functions.php-tiedostossa yhdellä rivillä koodia ilman lisäosaa.
12. Tarkkaile lokitiedostoja
Säännöllinen seuranta on tehokkaampi kuin mikään lisäosa.
Palvelimen virhelokit, kirjautumislokit ja liikenneseuranta (esimerkiksi AWStats tai serverin oma monitorointi) kertovat nopeasti, jos jotain epätavallista tapahtuu.
13. Rajoita REST API -käyttö
Jos et käytä REST API -rajapintaa, sen voi rajoittaa tai poistaa käytöstä.
Monet hyökkäykset hyödyntävät sitä tietojen keräämiseen (esimerkiksi käyttäjänimien hakemiseen).
14. Käytä lapsiteemaa turvallisesti
Jos teet muutoksia teemoihin, käytä aina child themeä, jotta päivitykset eivät korvaa turva-asetuksiasi.
15. Suoja alkaa ajattelutavasta
Tietoturva ei ole yksittäinen toimenpide, vaan tapa toimia. Kun pidät sivuston siistinä, päivitettynä ja valvottuna, tarvitset vähemmän teknisiä apuvälineitä. Usein suurin riski ei ole tekninen, vaan inhimillinen – huolimattomuus, unohdus tai väärät oletukset.
Yhteenveto
WordPressin suojaaminen ilman raskaita lisäosia on täysin mahdollista ja usein jopa suositeltavaa. Avain on ennaltaehkäisy, selkeät käytännöt ja palvelintason asetusten hyödyntäminen.
Kevyt, hyvin konfiguroitu sivusto ei ainoastaan pysy turvallisempana, vaan myös toimii nopeammin ja vakaammin.