Aloittelijan opas WordPress-sivustosi suojaamiseen
WordPress on yksi suosituimmista sisällönhallintajärjestelmistä.
Itse asiassa tätä julkaisualustaa käyttää nyt yli 27,5 % 10 miljoonasta suurimmasta sivustosta. Muut alustat, kuten Joomla ja Drupal, yksinkertaisesti haalistuvat verrattuna. Se, mikä tekee WordPressistä niin laajasti tuetun, on sen helppokäyttöisyys, joka mahdollistaa täysin toimivan sivuston rakentamisen lyhyessä ajassa.
Mutta se, että WordPress on niin laajalle levinnyt, tekee siitä myös hakkereiden kohteen.
Kaikki tietoturvahaavoittuvuudet voivat tehdä sivustosi alttiiksi haitallisille hyökkäyksille ja jopa vaarantaa käyttäjätietoja prosessin aikana. Tällainen hyökkäys voi olla täysin tuhoisa mille tahansa yritykselle.
Vaarantunut sivusto ei vain vähennä vierailijoiden luottamusta, vaan se voi myös saada sivusi Googlen mustalle listalle. Itse asiassa yksi askel, jonka Google on jo ottamassa kohti turvallisempaa verkkoa, on varoituksen näyttäminen Chromen käyttäjille, jos he yrittävät vierailla mahdollisesti vaarallisella tai harhaanjohtavalla sivustolla (esim. tietojenkalastelu tai haittaohjelma).
Jokainen, joka vierailee sivustollasi (jos se on joutunut hyökkäyksen kohteeksi), voi kohdata seuraavat asiat:
Verkkosivustojen turvallisuuden merkitystä ei voi korostaa tarpeeksi.
Riittää, kun yksi hyökkäys pysäyttää myynnin kokonaan ja saa sivustosi mahdollisesti Googlen mustalle listalle. Sivuston poistaminen on varmasti mahdollista, mutta sinun on pyydettävä manuaalista tarkistusta, jonka ratkaiseminen voi kestää useita päiviä tai jopa viikkoja ongelmasta riippuen. Paljon parempi ratkaisu on ryhtyä toimiin sivustosi suojaamiseksi.
Tässä tarkastellaan perusteellisesti, kuinka voit suojata ja pitää WordPress-sivustosi turvallisena.
Pidä WordPress ajan tasalla
WordPressin päivitykset ovat kriittisiä.
Yli 11 000 tartunnan saaneen sivuston arvioinnissa havaittiin, että 75 % oli WordPressillä. Yllättävämpää on kuitenkin se, että yli 50 % näistä verkkosivustoista oli vanhentuneita. Päivittäminen uusimpaan versioon ei vain anna sinulle pääsyä uudempiin ominaisuuksiin, vaan myös korjaa tunnetut tietoturvavirheet, joita hyökkääjät voivat hyödyntää.
Itse asiassa nämä tietoturva-aukot tulevat tunnetuiksi, kun uusia päivityksiä on saatavilla. Tässä on esimerkki päivitetyn WordPress-version suojauslokista:
Nämä tiedot ovat avoimesti saatavilla, kun uusia päivityksiä julkaistaan. Mutta jos et päivitä heti, jätät sivustosi avoimeksi hyökkäyksille. Päivitä aina uusimpaan versioon, jotta sivustosi pysyy suojattuna äskettäin löydetyiltä haavoittuvuuksilta. Jos päivityksiä on saatavilla, näet ilmoituksen hallintapaneelin yläosassa:
Uudempien WordPress-versioiden avulla voit päivittää helposti napin painalluksella. Muista, että sivustosi asetetaan ylläpitotilaan lyhyeksi ajaksi, kunnes päivitys on valmis. Päivitys kestää vain muutaman minuutin, mutta kun se on valmis, sinun ei tarvitse tehdä mitään.
Etkö halua päivittää sivustoasi manuaalisesti joka kerta?
Ilmoitukset voivat olla melko ärsyttäviä. Mutta WordPressin päivittäminen on yksi helpoimmista tavoista pitää sivustosi suojattuna. Jos et halua huolehtia siitä, onko sivustollasi uusin versio, voit määrittää automaattiset päivitykset muutamalla yksinkertaisella säädöllä.
Avaa wp-config.php-tiedosto ja lisää siihen seuraava rivi:
define('WP_AUTO_UPDATE_CORE', true);
Voit myös ottaa automaattiset laajennuspäivitykset käyttöön lisäämällä seuraavan rivin samaan tiedostoon:
add_filter( 'auto_update_plugin', '__return_true' );
Ja lisää tämä rivi ottaaksesi päivitykset käyttöön teemoihin:
add_filter( 'auto_update_theme', '__return_true' );
Näiden rivien lisääminen varmistaa, että sivustosi pysyy ajan tasalla ilman muita toimenpiteitä. Jos olet joku, joka ei vain voi vaivautua päivityksiin tai ilmoituksiin, sinun kannattaa ehdottomasti määrittää automaattiset päivitykset varmistaaksesi, että sivustosi on aina ajan tasalla.
Suojaa hallinta-aluetta
Riippumatta siitä, kuinka turvallista jokin on, kuka tahansa pääsee helposti käsiksi, jos heillä on oikeat työkalut tai omistajat ovat huolimattomia. WordPressissä hallinta-alue on hakkereiden ensisijainen kohde.
Suojaa tämä sivu noudattamalla näitä ohjeita:
Käytä vahvaa salasanaa
Jos käytät heikkoa salasanaa (esim. ”12345”, ”salasana” jne.), asetat sivustosi suuremmalle vaaralle, koska hyökkääjät voivat käyttää automaattisia komentosarjoja raa’an väkivallan käyttöön. Tämä tarkoittaa salasanan yrittämistä toistuvasti, kunnes se lopulta toimii. Mutta vahvan salasanan, joka sisältää numeroiden ja symbolien yhdistelmän, käyttö tekee jopa kaikkein kehittyneimpien ohjelmien murtamisesta lähes mahdotonta.
Käytä työkalua, kuten Strong Password Generator, luodaksesi vahva ja turvallinen salasana WordPress-sivustollesi:
Tällaisen salasanan raa’a pakottaminen vaati tietokoneohjelman murtamiseen vuosia tai jopa vuosikymmeniä. Huono puoli on kuitenkin se, että vahvaa salasanaa on vaikea muistaa. Mutta kompromissi on ehdottomasti sen arvoinen, jos se tarkoittaa hyökkääjien estämistä pääsemästä sivustollesi. Onneksi on olemassa useita salasanojen hallintaohjelmia, joiden avulla voit tallentaa salasanasi.
Vaihda käyttäjänimesi
Kun asennat WordPressin ensimmäisen kerran, sinua pyydetään antamaan käyttäjätunnus.
Hyökkääjät eivät voi käyttää hallintapaneeliasi, elleivät heillä ole sekä käyttäjänimeäsi että salasanaasi. Voit helposti estää raa’an voiman yritykset yksinkertaisesti käyttämällä ainutlaatuisempaa käyttäjätunnusta. Älä siis käytä sanaa ”admin” valitessasi käyttäjätunnusta.
Rajoita kirjautumisyrityksiä
Kuten aiemmin mainittiin, hyökkääjät voivat käyttää ohjelmia raa’alla väkivallalla sivustollesi. Saatavilla on kuitenkin laajennuksia, kuten Login LockDown, joiden avulla voit rajoittaa kirjautumisyrityksiä tietystä IP-osoitteesta. Jos useampi kuin muutama yritys epäonnistuu, kyseinen käyttäjä lukitaan.
Nimeä kirjautumissivusi uudelleen
Lopuksi toinen tapa suojata hallinta-aluetta on siirtää kirjautumissivu kokonaan. Kojelautaan pääsee yleensä osoitteesta www.yoursite.com/wp-admin
. Yksi räikeä ongelma on kuitenkin se, että hakkerit tietävät, että pelkkä ” /wp-admin
” lisääminen WordPress-sivustoon antaa heille pääsyn järjestelmänvalvojasivulle.
Protect WP-Admin ratkaisee tämän ongelman antamalla verkkovastaavien muokata hallintapaneelin URL-osoitetta:
Järjestelmänvalvojan alueen suojaaminen näitä vaiheita noudattamalla voi vähentää ja estää sivustoosi kohdistuvia automaattisia hyökkäyksiä huomattavasti.
Ota kaksivaiheinen todennus käyttöön
Kaksivaiheinen todennus lisää ylimääräisen suojauskerroksen vaikeuttamalla hyökkääjien pääsyä tiliisi. Sisäänkirjautuminen ei vaadi vain käyttäjätunnusta ja salasanaa, vaan myös ylimääräistä valtuutuskoodia, joka lähetetään tavallisesti tekstiviestinä mobiililaitteeseen.
Vaikka hyökkääjä jotenkin arvaisi käyttäjätunnuksesi ja salasanasi, hän ei pysty kirjautumaan tilillesi ilman valtuutuskoodia. Lataa ja asenna Google Authenticator -laajennus, jonka avulla voit helposti määrittää kaksivaiheisen todennuksen sivustollesi:
Sen lisäksi, että laajennus voi käyttää Google Authenticator -sovellusta vahvistamiseen, se tarjoaa myös lisävaihtoehtoja kaksivaiheiseen todennukseen, kuten sähköpostin ja puhelun vahvistukseen. Kaksivaiheista todennusta voidaan käyttää myös, jos sivustollasi on useita käyttäjiä.
Käytä .htaccess-tiedostoa rajoittaaksesi pääsyä tärkeisiin tiedostoihin
Voit vahvistaa entisestään WordPress-sivustosi turvallisuutta .htaccess-tiedoston avulla. Tätä tiedostoa käytetään enimmäkseen WordPressissä verkkosivustojen optimointiin, kuten URL-osoitteiden uudelleenkirjoittamiseen käyttäjä- ja hakukoneystävällisemmiksi. Mutta sitä voidaan käyttää myös sivustosi turvallisuuden parantamiseen.
.htaccess-tiedosto löytyy yleensä juurikansiosta, ja sitä voidaan käyttää joko FTP-asiakkaan tai cPanelin kautta. Saatavilla on myös useita laajennuksia, mukaan lukien SEO by Yoast, joka mahdollistaa suoran pääsyn kojelaudalta.
Tässä on useita tapoja suojata sivustosi .htaccess-tiedoston avulla:
Piilota wp-config.php
wp-config.php-tiedosto on vakiona jokaisessa asennuksessa, mutta se sisältää myös arkaluonteisia tietoja, kuten suojausavaimet ja tietokantayhteyden tiedot sivustoosi. Nämä ovat yksityiskohtia, joita et varmasti halua vääriin käsiin. Paras ratkaisu on sitten piilottaa tämä tiedosto kokonaan ja tehdä siitä käyttökelvoton.
Piilota wp-config.php-tiedosto lisäämällä seuraava koodi .htaccess-tiedostoon:
order allow,deny
deny from all
Estä hakemiston selaaminen
Koska WordPress toteuttaa tiedostorakenteensa, vierailijat voivat käyttää sivustosi kansioita ja tiedostoja yksinkertaisesti siirtymällä osoitteeseen yoursite.com/wp-content/uploads. Joten sinun kannattaa estää hakemistojen selaaminen, koska hyökkääjät voivat käyttää näitä tietoja ilkeisiin tarkoituksiin.
Lisää seuraava rivi .htaccess-tiedostoosi:
Options All -Indexes
PHP-tiedostot ovat uskomattoman tärkeitä suojattaviksi, koska hakkerit voivat käyttää näitä tiedostoja syöttääkseen haitallista koodia sivuston tartuttamiseen. Lisää seuraava koodi .htaccess-tiedostoosi estääksesi pääsyn laajennuksen ja teeman PHP-tiedostoihin:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
Pelkästään näiden muutosten lisääminen .htaccess-tiedostoosi parantaa WordPress-sivustosi turvallisuutta ja vaikeuttaa hyökkääjien pääsyä sivustollesi entisestään. Siitä huolimatta ei ole olemassa täysin turvallista sivustoa, koska uusia haavoittuvuuksia löydetään ja hyödynnetään jatkuvasti.
Siksi sinulla on oltava varasuunnitelma siltä varalta, että asiat menevät huonompaan suuntaan.
Varmuuskopioi sivustosi säännöllisesti Tee säännölliset varmuuskopiot
Riippumatta siitä, kuinka monta turvatoimia toteutat, sivustosi voi silti olla haavoittuvainen.
Vaikka WordPress on ollut käytössä jo reilun vuosikymmenen ajan, kehitystiimi tunnistaa ja korjaa jatkuvasti tietoturvaongelmia. Puhumattakaan siitä, että kaikissa asentamissasi uusissa teemoissa tai laajennuksissa voi olla myös hyväksikäyttöjä, joita ei ole vielä korjattu.
Tästä syystä on hyvä idea varmuuskopioida sivustosi säännöllisesti. Näin voit nopeasti palauttaa sivustosi ja minimoida menetykset, jos sivustosi poistetaan hyökkäyksestä.
Haluat varmistaa, että sivustosi varmuuskopioidaan säännöllisesti ja myös pilveen. Jos tietokoneesi on vaarantunut, voit käyttää varmuuskopiota ja palauttaa sitä toisesta laitteesta. Suosittelemme käyttämään automatisoitua ratkaisua, kuten BackupBuddy.
Useimmat varmuuskopiointiratkaisut vaativat maksullisen tilauksen. Mutta jos luotat verkkosivustoosi yrityksesi kannalta, maksaminen on sen arvoista pelkästään mielenrauhan vuoksi. Jos sivustosi suljetaan hyökkäyksen takia, voit tehdä yhteistyötä isännöintipalveluntarjoajasi kanssa ja palauttaa sivustosi helposti aiempaan versioon varmuuskopion avulla.
Johtopäätös
Vaikka WordPress itsessään on suhteellisen turvallinen, teemojen, laajennuksien ja mukautetun koodin lisääminen lisää todennäköisyyttä tietoturva-aukkoon, jota hakkerit voivat (ja käyttävät) hyväkseen. Ellet ryhdy tiettyihin turvatoimiin juuri nyt, sivustosi voi olla mahdollinen kohde.
On tärkeää huomata, että mikään järjestelmä ei ole täysin turvallinen. Mutta voit ryhtyä varotoimiin, jotka vähentävät huomattavasti mahdollisuuksia joutua haitallisen hyökkäyksen kohteeksi.
Noudata tässä kuvattuja ohjeita vahvistaaksesi WordPress-sivustosi suojausta.