WordPress on maailman suosituin julkaisujärjestelmä. Juuri siksi se kiinnostaa myös hakkereita. Suosio ei tee siitä turvatonta, mutta se tekee siitä näkyvän. Hyvä uutinen on tämä: suurin osa murroista onnistuu vain, jos perusasiat on jätetty hoitamatta.
Turvallisuus ei ole paniikkia. Se on järjestelmällistä riskien pienentämistä. Ajattele sitä digitaalisena hygieniaharjoituksena.
Miksi WordPress-sivustoja hakkeroidaan
Useimmiten kyse ei ole henkilökohtaisesta hyökkäyksestä. Sivustoja murretaan automaattisilla bottiskripteillä, jotka etsivät:
Vanhentuneita lisäosia
Heikkoja salasanoja
Suojaamattomia kirjautumissivuja
Haitallisia tiedostojen latausaukkoja
Tavoitteena voi olla roskapostin levitys, haittakoodin upottaminen, SEO-spämmi tai palvelimen resurssien kaappaaminen.
Kyse on siis todennäköisyydestä. Mitä helpompi kohde, sitä todennäköisemmin se valitaan.
Pidä WordPress, teemat ja lisäosat ajan tasalla
Suurin yksittäinen tietoturvariski on vanhentunut ohjelmisto. Päivitykset paikkaavat tunnettuja haavoittuvuuksia.
Pidä ajan tasalla:
WordPressin ydin
Teemat
Lisäosat
PHP-versio
Jos lisäosaa ei ole päivitetty pitkään aikaan, se on riski. Poista käyttämättömät lisäosat kokonaan.
Käytä vahvoja salasanoja ja kaksivaiheista tunnistautumista
Yksinkertainen salasana on kuin jättäisi oven lukitsematta. Käytä pitkiä ja uniikkeja salasanoja.
Hyvä salasana:
On vähintään 12 merkkiä pitkä
Sisältää kirjaimia, numeroita ja erikoismerkkejä
Ei ole sama kuin muissa palveluissa
Ota käyttöön kaksivaiheinen tunnistautuminen. Se tarkoittaa, että kirjautuminen vaatii salasanan lisäksi esimerkiksi mobiilisovelluksen vahvistuksen.
Suojaa kirjautumissivu
WordPressin kirjautumisosoite on oletuksena /wp-admin tai /wp-login.php. Tämä on yleinen hyökkäyskohde.
Voit:
Rajoittaa kirjautumisyritysten määrää
Vaihtaa kirjautumisosoitteen
Rajoittaa pääsyn vain tietyistä IP-osoitteista
Näin estät brute force -hyökkäyksiä, joissa botti yrittää arvata salasanaa tuhansia kertoja.
Asenna tietoturvalisäosa
Hyvä tietoturvalisäosa toimii palomuurina ja valvontajärjestelmänä. Se voi:
Estää haitallista liikennettä
Skannata tiedostot haittakoodin varalta
Ilmoittaa epäilyttävästä toiminnasta
Suojata kirjautumisen
Lisäosa ei korvaa perusasioita, mutta se lisää suojaustasoa merkittävästi.
Ota käyttöön SSL-sertifikaatti
SSL-salaus muuttaa sivuston osoitteen muotoon https. Se salaa tiedonsiirron käyttäjän ja palvelimen välillä.
Ilman SSL:ää kirjautumistiedot voidaan teoriassa kaapata avoimessa verkossa. Lisäksi Google suosii https-sivustoja hakutuloksissa.
Useimmat webhotellit tarjoavat ilmaisen SSL-sertifikaatin.
Tee säännölliset varmuuskopiot
Turvallisuus ei ole vain hyökkäysten estämistä. Se on myös palautumiskykyä.
Jos sivusto hakkeroidaan tai jokin päivitys rikkoo sen, varmuuskopio on pelastusrengas.
Hyvä käytäntö:
Automaattinen päivittäinen varmuuskopio
Säilytys erillisessä sijainnissa
Mahdollisuus nopeaan palautukseen
Ilman varmuuskopiota olet täysin riippuvainen palveluntarjoajasta.
Rajoita käyttäjäoikeudet
Kaikille ei kuulu antaa ylläpitäjän oikeuksia. WordPressissä on eri käyttäjärooleja, kuten tilaaja, kirjoittaja, editori ja ylläpitäjä.
Anna käyttäjälle vain ne oikeudet, joita hän tarvitsee. Mitä vähemmän pääsyä kriittisiin asetuksiin, sitä pienempi riski.
Suojaa tietokanta ja tiedostot
Vaihda oletustietokannan tauluprefiksi, jos mahdollista. Tämä vaikeuttaa automaattisia hyökkäyksiä.
Estä tiedostojen muokkaus hallintapaneelista. Näin hyökkääjä ei voi muokata teematiedostoja suoraan, vaikka pääsisi kirjautumaan.
Oikeat tiedostojen käyttöoikeudet palvelimella ovat myös keskeisiä. Liian avoimet oikeudet ovat riski.
Valitse turvallinen webhotelli
Hyvä hosting-palvelu tarjoaa:
Palomuurin
Haittaohjelmaskannauksen
Automaattiset varmuuskopiot
Palvelintason suojauksen
Jos palvelinympäristö on heikko, sivustosi on heikko riippumatta omista asetuksistasi.
Yleisimmät tietoturvavirheet
Sama salasana useissa palveluissa
Liikaa lisäosia
Ilmaisten teemojen lataaminen epäluotettavista lähteistä
Päivitysten laiminlyönti
Ei varmuuskopioita
Suurin osa murroista ei johdu superhakkerista, vaan huolimattomuudesta.
Yhteenveto
WordPress-turvallisuus ei ole yksittäinen asetus. Se on kerroksittainen suojausmalli. Päivitykset, vahvat salasanat, SSL, tietoturvalisäosa, varmuuskopiot ja hyvä hosting muodostavat yhdessä vahvan kokonaisuuden.
Täydellistä turvallisuutta ei ole olemassa. On vain parempaa ja huonompaa riskienhallintaa. Kun perusasiat ovat kunnossa, sivustosi ei ole helppo kohde. Ja hakkerit etsivät aina helpointa vaihtoehtoa.
