WordPressin tietoturva

Kirjoitin aiemmin WordPressin tietoturvasta kolmiosaisen sarjan. Ensimmäisen osan aihe oli, että miksi joku haluaa hakkeroida sivusi? Seuraava kirjoitus käsitteli sitä, että kuinka voi tarkistaa, onko sivusto hakkeroitu. Kolmannen postauksen aihe oli siivous eli kuinka puhdistetaan hakkeroitu sivusto?   Nyt kirjoitan vinkkejä tietoturvan osalta eli mitä voi tehdä, että sivusto välttyisi hakkeroinnilta.

1. Vahvat salasanat

Käytä vain vahvoja salasanoja, koska salasana on se tärkein suojattava. Heikko salasana ja salasanan onkiminen ovat yksinkertaisimmat keinot hakkeroida WordPressillä tehty sivusto. Heikko salasana on kuin tyrkyttäisit avaimia kotiisi.

WordPress kertoo salasanan vahvuuden.

Tietoturva - heikko salsana on riski

Mikäli vahvojen salasanojen muistaminen tuottaa ongelmia, ota  käyttöösi salasananhallintaohjelma.

2. Varmuuskopiointi

Varmuuskopiointi kannattaa aloittaa käyttöön heti. Varmuuskopio varmistaa, että voit aina palata askeleen taaksepäin. Joskus käy niin, että päivitys rikko sivuston. Silloin ainut mahdollisuus perua päivitys on palauttaa varmuuskopio.

Lisäosa eli plugin on kätevin tapa hoitaa varmuuskopiointi. Tähän tarkoitukseen on olemassa monta pluginia ja valinta voi olla vaikeaa, mutta kannattaa tehdä valinta seuraavien kriteerien pohjalta.

  • Varmuuskopiointi tapahtuu automaattisesti. Varmuuskopioinnista ei ole hyötyä, jos sitä ei muista tehdä. Siksi on parempi, että kopio otetaan automaattisesti ainakin viikoittain.
  • Varmuuskopiointi kattaa sekä tietokannan että tiedostot. On olemassa plugineja, jotka tallentavat vain tietokannan. Niitä en suosittele, koska tiedostoissa on usein paljon hyödyllistä sisältöä.
  • Varmuuskopio tallentuu automaattisesti jonnekin pilveen kuten esim. Dropboxiin. Usein on mahdollista tallentaa vain palvelimelle ja se on riski, kaikkia munia ei kannata laittaa samaan koriin.

Vaatimukset hyvälle pluginille, jolla varmuuskopiointi tehdään, ovat kovat. Yleensä on kyse maksullisista plgineista kuten BackupBuddy tai VaultPress. Onneksi löytyy yksi ilmainen, jotka täyttää em. vaatimukset.

UpdraftPlus WordPress Backup Plugin

UpdraftPlus on loistava Plugin, joka kaiken hyvän lisäksi on suomenkielinen.

3. Käyttäjätunnus

Pidä huoli siitä, ettei käyttäjänimesi ole admin tai administrator. Yleensä niillä nimillä yritetään hakkeroida. Hakkeroiminen kannattaa tehdä niin vaikeaksi kuin mahdollista. Vaikeutta lisää huomattavasti se seikka, että ensin pitää tietää käyttäjänimi ja sen jälkeen vielä salasana.

Älä koskaan paljasta mikä on sinun käyttäjänimesi. WordPressissä on sellainen huono ominaisuus, että käyttäjänimi näkyy kirjoitetuissa artikkeleissa ellei sitä muuta käyttäjätilissä.

Eli kirjoita käyttäjätietoihin etu ja sukuni, jotta voit määritellä kirjoittajan nimeksi jotakin muuta kuin käyttäjänimi.

Vielä fiksumpaa on tehdä niin, että luo kaksi tunnusta. Sivujen päivittämiseen ei kannata käyttää täysiä oikeuksia. Pääkäyttäjän tunnusta käytetään vain, kun on kyse isoista asioista kuten päivittämisestä ja uusien tunnusten luomisesta.

Eli mitä pienempi rooli, sen vähemmän on mahdollisuus itse tehdä peruuttamattomia ratkaisuja. Lisäksi tuho ei ole niin iso, jos tunnus joutuu vääriin käsiin.

4. Poista kaikki ylimääräinen

Poista kaikki teemat ja lisäosat, joita et tarvitse. Ne vievät tilaa palvelimeltasi. Lisäksi, koska et tarvitse niitä, saatat unohtaa niiden päivittämisen.

Poista kaikki harjoitussivustot, koska se on pahin virhe minkä voi tehdä. Sivusto unohtuu, koska et enää tarvitse sitä. Kun se unohtuu, on se muutamien kuukausien kuluttua hakkeroitavissa. Kun harjoitussivusto on hakkeroitu, on siitä kautta hakkerilla myös pääsy varsinaisele sivustollesi.

5. Päivitä

Huolehdi siitä, että päivität WordPressin, pluginin ja teemat (themes). Nykyisin toimenpide on varsin helppo, koska WordPress ilmoittaa päivitystarpeet.

6. Poista Pingback käytöstä

DOS hyökkäyksissä hyödynnetään WP:n Pingback-toimintoa. Pingback-toimintoa käytetään blogien keskinäiseen tiedonvaihtoon, mutta valitettavasti sitä voidaan käyttää myös muihin tarkoituksiin. Joten kannattaa mennä asetuksiin ja ottaa toiminto pois päältä. Asetukset – > keskustelu. Eli ruksi pois kohdasta

”Salli linkki-ilmoitukset …”

Linkki: WordPress-sivustoja käytetään hyväksi palvelunestohyökkäyksissä

7. Asenna lisä osa BBQ: Block Bad Queries

BBQ (Block Bad Queries ) on sikäli kätevä lisäosa, ettei sitä tarvitse säätää. Riittää kun asennat sen ja otat käyttöön. BBQ pysäyttää oudot pyynnöt eli epäilyttävän liikenteen sivuillasi.

8. Asenna All In One WP Security & Firewall

All In One WP Security & Firewall on hyvin käyttäjäystävällinen lisäosa, jonka vuoksi suosittelen sitä. Siinä on hyvin selkeä käyttöliittymä. Esim. alla olevassa kuvassa näkyy, että sivuston tietoturvaa voisi vielä parantaa.

9 Älä lukitse itseäsi ulos

Kannattaa miettiä myös sellaisia tilanteita, että suojaa sivunsa liian hyvin eli lukitsee itsensä ulos. Varsinkin Wordfence lisäosan käyttäjät onnistuvat helposti lukitsemaan itsensä ulos. Syynä voi olla esim. että joku robotti kokeili kolme kertaa kirjautua tunnuksellasi ja asetusten mukaan kolmesta virheestä seuraa lukitseminen.

10 Tiedä mitä teet

Tietoturvan kanssa ei kannata hätiköidä. Esim. All In One WP Security & Firewall on helppokäyttöinen, mutta täysiä pisteitä ei kannata tavoitella. Jos sinulla on jo varmuuskopiointi hoidettu niin suotta sitä tekee toiseen kertaan. Ja kannattaa olla tarkkana. All In One WP Security & Firewall varoittaa kyllä, jos kyseessä on riskialtis operaatio.

Facebooktwitterredditpinterestlinkedinmail

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *