Kuinka testata WordPressin tietoturvaa itse

17.10.2025 | Artikkeleita, IT, Kotisivut, Nettisivut, Tietoturva, Verkkokauppa, Verkkokehitys, Verkkosivut, Verkkotyökalu, WordPress

wp-json voi paljastaa enemmän kuin arvaat

Kuinka testata WordPressin tietoturvaa itseWordPress on maailman käytetyin julkaisujärjestelmä, mutta samalla se on myös yksi yleisimmistä kyberhyökkäysten kohteista. Tietoturvan testaaminen ei ole pelkästään suurten yritysten vastuulla – jokaisen sivuston omistajan kannattaa säännöllisesti arvioida oman sivustonsa suojaustaso. Onneksi monia tarkistuksia voi tehdä itse ilman syvää teknistä osaamista.

Tässä artikkelissa käymme läpi, miten voit testata WordPressin tietoturvaa itse vaihe vaiheelta, käyttäen turvallisia ja luotettavia menetelmiä.

1. Päivitykset ja versiotarkistus

Tietoturvatesti alkaa aina perusasioista: onko WordPressin, teemojen ja lisäosien versiot ajan tasalla?

Hyökkääjät etsivät sivustoja, joissa on vanhentuneita versioita, koska niissä on usein tunnettuja haavoittuvuuksia.

Tarkista seuraavat asiat:

  • WordPress-versio: Käy kohdassa Ohjausnäkymä → Päivitykset ja varmista, että käytät uusinta versiota.

  • Lisäosat ja teemat: Poista kaikki, joita et enää käytä, ja päivitä loput.

  • Automaattiset päivitykset: Ota käyttöön automaattiset tietoturvapäivitykset, esimerkiksi lisäämällä define('WP_AUTO_UPDATE_CORE', true); wp-config.php-tiedostoon.

Voit myös tarkistaa, näkyykö WordPressin versio julkisesti sivustosi lähdekoodissa. Avaa sivun lähdekoodi (Ctrl+U) ja etsi rivi meta name="generator" content="WordPress X.X". Jos löydät sen, piilota se lisäämällä tämä koodi functions.php-tiedostoon:

remove_action('wp_head', 'wp_generator');

2. Testaa käyttäjätunnusten näkyvyys

Moni ei tiedä, että WordPress voi paljastaa käyttäjien käyttäjätunnukset REST API:n tai kirjoittajalinkkien kautta. Tämä on hyökkääjälle arvokas tieto, sillä se on puolet kirjautumisesta.

Tee testi:

  1. Mene osoitteeseen https://sinunsivusto.fi/wp-json/wp/v2/users

  2. Jos näet listan käyttäjiä ja tunnuksia, rajapinta on liian avoin.

Voit estää tämän lisäämällä functions.php-tiedostoon seuraavan suodattimen:

add_filter('rest_endpoints', function($endpoints) {
if (isset($endpoints['/wp/v2/users'])) {
unset($endpoints['/wp/v2/users']);
}
return $endpoints;
});

Tämä piilottaa käyttäjälistauksen REST API -rajapinnasta.

3. Tarkista salasanan vahvuus

Tietoturvatestiin kuuluu myös kirjautumisen suojaus. Kokeile itse luoda uusi käyttäjä tai vaihtaa salasana ja katso, varoittaako WordPress heikoista salasanoista.

Käytä salasanoja, jotka sisältävät:

  • vähintään 12 merkkiä

  • isoja ja pieniä kirjaimia

  • numeroita ja erikoismerkkejä

  • ei mitään todellista sanaa tai nimeä

Voit vahvistaa käytäntöä lisäämällä koodin, joka pakottaa vahvat salasanat kaikille:

add_action('user_profile_update_errors', function($errors, $update, $user) {
if (isset($_POST['pass1']) && !wp_check_password_strength($_POST['pass1'])) {
$errors->add('weak_password', __('Salasana on liian heikko. Käytä vahvempaa.'));
}
}, 10, 3);

4. Skannaa sivusto tietoturvatyökaluilla

Useita työkaluja voi käyttää itse ilman ohjelmointiosaamista. Tässä kolme suosittua vaihtoehtoa:

  • WPScan (https://wpscan.com)
    Käytä komentoriviltä tai selaimesta tarkistaaksesi, löytyykö sivustostasi tunnettuja haavoittuvuuksia.
    Esim. wpscan --url https://sinunsivusto.fi

  • Wordfence Security
    WordPress-lisäosa, joka skannaa haitalliset tiedostot, epäilyttävät linkit ja tunkeutumisyritykset.

  • Sucuri SiteCheck
    Verkkopohjainen skanneri, joka tunnistaa haittaohjelmat ja mustat listat.

Kun suoritat nämä testit, tarkista erityisesti:

  • Löytyykö vanhentuneita lisäosia

  • Onko sivusto listattu mustilla listoilla (Google Safe Browsing, Norton, McAfee)

  • Löytyykö tuntemattomia tiedostoja wp-content-hakemistosta

5. Testaa kirjautumissivun suojaus

WordPressin oletuskirjautumissivu (/wp-login.php) on hyökkäysten yleinen kohde. Testaa, onko sivu altis brute force -yrityksille.

Voit tehdä sen itse seuraavasti:

  • Yritä kirjautua sisään useita kertoja väärillä tunnuksilla. Jos saat rajattomasti yrityksiä, sivusto ei rajoita kirjautumisia.

  • Asenna lisäosa kuten Limit Login Attempts Reloaded tai käytä Wordfencea rajoittamaan yrityksiä ja estämään IP-osoitteita.

Lisäksi voit vaihtaa kirjautumissivun osoitteen esimerkiksi lisäosalla WPS Hide Login, jolloin bottihyökkäykset eivät löydä sitä helposti.

6. Testaa tiedostojen muokkaus ja pääsyoikeudet

WordPressin hallinnasta löytyy kohta Ulkoasu → Tiedoston muokkain, jonka kautta hyökkääjä voisi muokata teematiedostoja, jos pääsee adminiksi. Tämä tulisi poistaa käytöstä kokonaan.

Lisää wp-config.php-tiedostoon:

define('DISALLOW_FILE_EDIT', true);

Tämän lisäksi testaa tiedostojen oikeudet. FTP:llä tai File Managerilla tarkista, että:

  • wp-config.php on vähintään 600

  • wp-content/uploads on 755

  • Ei ole ylimääräisiä test.php tai info.php -tiedostoja juurihakemistossa

7. Testaa SSL-sertifikaatti ja HTTPS-yhteys

Avaa selaimessa sivustosi ja varmista, että osoite alkaa https:// ja selaimen osoitepalkissa näkyy lukko.

Jos ei näy, hanki SSL-sertifikaatti (esim. Let’s Encrypt) ja pakota HTTPS lisäämällä .htaccess-tiedostoon:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Voit myös tarkistaa SSL:n kunnon palvelulla https://www.ssllabs.com/ssltest/.

8. Tarkista tietoturvalokit

Lokitiedot kertovat paljon siitä, mitä sivustolla tapahtuu. Testaa, tallentaako palvelimesi lokit ja näkyvätkö niissä epäilyttävät kirjautumiset tai 404-virheet.

Hyvä käytäntö on asentaa Activity Log tai WP Security Audit Log, jotka näyttävät:

  • kuka kirjautui ja milloin

  • mitä tiedostoja muokattiin

  • mitä lisäosia asennettiin

Jos huomaat tuntemattomia toimia, vaihda salasanat ja tarkista sivuston tiedostot.

9. Testaa varmuuskopiot ja palautus

Tietoturva ei ole täydellinen ilman palautussuunnitelmaa. Tee testi:

  • Palauta varmuuskopio testipalvelimelle tai aliverkkotunnukseen.

  • Varmista, että tiedostot ja tietokanta toimivat.

Jos varmuuskopio ei avaudu tai on liian vanha, varmuuskopiointiratkaisu ei toimi luotettavasti. Hyviä vaihtoehtoja ovat UpdraftPlus, VaultPress tai palvelintason varmuuskopiot.

10. Tarkista piilotetut tietovuodot

Viimeiseksi kannattaa tarkistaa, onko sivusto indeksoinut tiedostoja, joita ei pitäisi näkyä.

Kokeile hakukoneessa:

site:sinunsivusto.fi wp-content/uploads
site:sinunsivusto.fi wp-json

Jos löydät yksityisiä tiedostoja (esim. varmuuskopioita, lomaketietoja, logeja), siirrä ne palvelimen ulkopuolelle tai suojaa .htaccess-tiedostolla.

Yhteenveto

WordPressin tietoturvan testaaminen ei vaadi ammattilaista – se vaatii huolellisuutta ja säännöllisiä tarkistuksia.

Käymällä läpi nämä kymmenen vaihetta:

  1. Päivitysten tarkistus

  2. Käyttäjätunnusten suojaus

  3. Salasanojen vahvuus

  4. Tietoturvaskannaus

  5. Kirjautumissivun suojaus

  6. Tiedostojen oikeudet

  7. SSL-tarkistus

  8. Lokiseuranta

  9. Varmuuskopiointi

  10. Piilotettujen tietojen tarkistus

– voit varmistaa, että WordPress-sivustosi kestää hyökkäyksiä ja pysyy turvallisena myös tulevaisuudessa.

Samankaltaisia artikkeleita

WordPressin joustavuus

WordPressin joustavuus

WordPress on säilyttänyt asemansa maailman suosituimpana sisällönhallintajärjestelmänä jo yli 20 vuoden ajan. Yritykset eri toimialoilt...

20.11.2025
WordPressin kehityssuunta

WordPressin kehityssuunta

WordPress on ollut verkkokehityksen kulmakivi jo vuosikymmeniä, ja sen rooli on muuttunut dramaattisesti ajan myötä. Alun perin blogi...

20.11.2025
WordPressin ekosysteemi vuonna 2026

WordPressin ekosysteemi vuonna 2026

WordPress on laaja ja kehittyvä ekosysteemi, joka kattaa verkkosivujen, verkkokauppojen, sovellusten, integraatioiden ja tekoälypohjai...

20.11.2025
Verkkokauppa WordPressillä

Verkkokauppa WordPressillä

Tässä oppaassa käymme läpi vaiheet, työkalut ja parhaat käytännöt, jotta voit luoda toimivan ja optimoidun verkkokaupan.

20.11.2025