Kirjoitin aiemmin WordPressin tietoturvasta kolmiosaisen sarjan. Ensimmäisen osan aihe oli, että miksi joku haluaa hakkeroida sivusi? Seuraava kirjoitus käsitteli sitä, että kuinka voi tarkistaa, onko sivusto hakkeroitu. Kolmannen postauksen aihe oli siivous eli kuinka puhdistetaan hakkeroitu sivusto? Nyt kirjoitan vinkkejä tietoturvan osalta eli mitä voi tehdä, että sivusto välttyisi hakkeroinnilta.
1. Vahvat salasanat
Käytä vain vahvoja salasanoja, koska salasana on se tärkein suojattava. Heikko salasana ja salasanan onkiminen ovat yksinkertaisimmat keinot hakkeroida WordPressillä tehty sivusto. Heikko salasana on kuin tyrkyttäisit avaimia kotiisi.
WordPress kertoo salasanan vahvuuden.
Mikäli vahvojen salasanojen muistaminen tuottaa ongelmia, ota käyttöösi salasananhallintaohjelma.
2. Varmuuskopiointi
Varmuuskopiointi kannattaa aloittaa käyttöön heti. Varmuuskopio varmistaa, että voit aina palata askeleen taaksepäin. Joskus käy niin, että päivitys rikko sivuston. Silloin ainut mahdollisuus perua päivitys on palauttaa varmuuskopio.
Lisäosa eli plugin on kätevin tapa hoitaa varmuuskopiointi. Tähän tarkoitukseen on olemassa monta pluginia ja valinta voi olla vaikeaa, mutta kannattaa tehdä valinta seuraavien kriteerien pohjalta.
- Varmuuskopiointi tapahtuu automaattisesti. Varmuuskopioinnista ei ole hyötyä, jos sitä ei muista tehdä. Siksi on parempi, että kopio otetaan automaattisesti ainakin viikoittain.
- Varmuuskopiointi kattaa sekä tietokannan että tiedostot. On olemassa plugineja, jotka tallentavat vain tietokannan. Niitä en suosittele, koska tiedostoissa on usein paljon hyödyllistä sisältöä.
- Varmuuskopio tallentuu automaattisesti jonnekin pilveen kuten esim. Dropboxiin. Usein on mahdollista tallentaa vain palvelimelle ja se on riski, kaikkia munia ei kannata laittaa samaan koriin.
Vaatimukset hyvälle pluginille, jolla varmuuskopiointi tehdään, ovat kovat. Yleensä on kyse maksullisista plgineista kuten BackupBuddy tai VaultPress. Onneksi löytyy yksi ilmainen, jotka täyttää em. vaatimukset.
UpdraftPlus WordPress Backup Plugin
UpdraftPlus on loistava Plugin, joka kaiken hyvän lisäksi on suomenkielinen.
3. Käyttäjätunnus
Pidä huoli siitä, ettei käyttäjänimesi ole admin tai administrator. Yleensä niillä nimillä yritetään hakkeroida. Hakkeroiminen kannattaa tehdä niin vaikeaksi kuin mahdollista. Vaikeutta lisää huomattavasti se seikka, että ensin pitää tietää käyttäjänimi ja sen jälkeen vielä salasana.
Älä koskaan paljasta mikä on sinun käyttäjänimesi. WordPressissä on sellainen huono ominaisuus, että käyttäjänimi näkyy kirjoitetuissa artikkeleissa ellei sitä muuta käyttäjätilissä.
Eli kirjoita käyttäjätietoihin etu ja sukuni, jotta voit määritellä kirjoittajan nimeksi jotakin muuta kuin käyttäjänimi.
Vielä fiksumpaa on tehdä niin, että luo kaksi tunnusta. Sivujen päivittämiseen ei kannata käyttää täysiä oikeuksia. Pääkäyttäjän tunnusta käytetään vain, kun on kyse isoista asioista kuten päivittämisestä ja uusien tunnusten luomisesta.
Eli mitä pienempi rooli, sen vähemmän on mahdollisuus itse tehdä peruuttamattomia ratkaisuja. Lisäksi tuho ei ole niin iso, jos tunnus joutuu vääriin käsiin.
4. Poista kaikki ylimääräinen
Poista kaikki teemat ja lisäosat, joita et tarvitse. Ne vievät tilaa palvelimeltasi. Lisäksi, koska et tarvitse niitä, saatat unohtaa niiden päivittämisen.
Poista kaikki harjoitussivustot, koska se on pahin virhe minkä voi tehdä. Sivusto unohtuu, koska et enää tarvitse sitä. Kun se unohtuu, on se muutamien kuukausien kuluttua hakkeroitavissa. Kun harjoitussivusto on hakkeroitu, on siitä kautta hakkerilla myös pääsy varsinaisele sivustollesi.
5. Päivitä
Huolehdi siitä, että päivität WordPressin, pluginin ja teemat (themes). Nykyisin toimenpide on varsin helppo, koska WordPress ilmoittaa päivitystarpeet.
6. Poista Pingback käytöstä
DOS hyökkäyksissä hyödynnetään WP:n Pingback-toimintoa. Pingback-toimintoa käytetään blogien keskinäiseen tiedonvaihtoon, mutta valitettavasti sitä voidaan käyttää myös muihin tarkoituksiin. Joten kannattaa mennä asetuksiin ja ottaa toiminto pois päältä. Asetukset – > keskustelu. Eli ruksi pois kohdasta
”Salli linkki-ilmoitukset …”
Linkki: WordPress-sivustoja käytetään hyväksi palvelunestohyökkäyksissä
7. Asenna lisä osa BBQ: Block Bad Queries
BBQ (Block Bad Queries ) on sikäli kätevä lisäosa, ettei sitä tarvitse säätää. Riittää kun asennat sen ja otat käyttöön. BBQ pysäyttää oudot pyynnöt eli epäilyttävän liikenteen sivuillasi.
8. Asenna All In One WP Security & Firewall
All In One WP Security & Firewall on hyvin käyttäjäystävällinen lisäosa, jonka vuoksi suosittelen sitä. Siinä on hyvin selkeä käyttöliittymä. Esim. alla olevassa kuvassa näkyy, että sivuston tietoturvaa voisi vielä parantaa.
9 Älä lukitse itseäsi ulos
Kannattaa miettiä myös sellaisia tilanteita, että suojaa sivunsa liian hyvin eli lukitsee itsensä ulos. Varsinkin Wordfence lisäosan käyttäjät onnistuvat helposti lukitsemaan itsensä ulos. Syynä voi olla esim. että joku robotti kokeili kolme kertaa kirjautua tunnuksellasi ja asetusten mukaan kolmesta virheestä seuraa lukitseminen.
10 Tiedä mitä teet
Tietoturvan kanssa ei kannata hätiköidä. Esim. All In One WP Security & Firewall on helppokäyttöinen, mutta täysiä pisteitä ei kannata tavoitella. Jos sinulla on jo varmuuskopiointi hoidettu niin suotta sitä tekee toiseen kertaan. Ja kannattaa olla tarkkana. All In One WP Security & Firewall varoittaa kyllä, jos kyseessä on riskialtis operaatio.