WordPressin yleisimmät tietoturvariskit – näin suojaat sivustosi

 

Onko WordPress-sivustosi turvassa? Tarkista nämä 5 asiaa

WordPress on erittäin suosittu ja monipuolinen julkaisujärjestelmä. Suosionsa vuoksi se kiinnostaa myös hyökkääjiä. Hyvä uutinen on, että suuri osa WordPress-sivustojen tietoturvariskeistä on ehkäistävissä varsin yksinkertaisilla toimenpiteillä.

Tässä artikkelissa käydään läpi yleisimmät tavat, joilla WordPress-sivustoja yritetään murtaa, sekä käytännön keinot sivuston suojaamiseen.

1. Vanhentuneet ohjelmistot ovat yleinen sisäänpääsyreitti

Yksi tavallisimmista syistä WordPress-sivuston tietoturvaongelmiin on vanhentunut WordPress-ydin, teema tai lisäosa. Kehittäjät julkaisevat päivityksiä paitsi uusien ominaisuuksien myös tietoturva-aukkojen korjaamiseksi.

Jos päivityksiä ei asenneta, hyökkääjä voi hyödyntää jo tunnettua haavoittuvuutta. Siksi päivitysten seuraaminen kuuluu jokaisen WordPress-sivuston perushuoltoon.

1.1 WordPress-ytimen päivitykset

WordPress-ydin saa säännöllisesti sekä pienempiä ylläpito- ja tietoturvapäivityksiä että suurempia versiopäivityksiä. Pienet päivitykset sisältävät usein korjauksia havaittuihin tietoturvaongelmiin, joten ne kannattaa asentaa mahdollisimman pian.

Monilla sivustoilla pienet päivitykset asentuvat automaattisesti. Tarkista silti aika ajoin, että automaattiset päivitykset toimivat ja että sivustosta on varmuuskopio ennen suurempia päivityksiä.

1.2 Teemojen päivitykset

Teema määrittää sivuston ulkoasun, mutta se sisältää myös paljon koodia. Siksi myös teemoissa voi olla tietoturva-aukkoja.

Päivitä käytössä oleva teema aina, kun uusi versio on saatavilla. Käytä teemoja vain luotettavista lähteistä, kuten WordPress.orgin teemahakemistosta tai tunnetuilta kehittäjiltä.

Jos olet tehnyt suoria muutoksia teemaan, päivitys voi korvata ne. Tämän vuoksi omat muutokset kannattaa tehdä lapsiteemaan tai mahdollisuuksien mukaan lisä-CSS:llä. Tietoturvapäivityksiä ei kuitenkaan kannata jättää asentamatta muutosten menettämisen pelossa.

1.3 Lisäosien päivitykset

Lisäosat tuovat WordPressiin uusia ominaisuuksia, mutta ne ovat myös yksi yleisimmistä tietoturvariskien lähteistä. Lisäosia on valtavasti, ja niiden laadussa, ylläpidossa ja turvallisuudessa on suuria eroja.

Pidä kaikki käytössä olevat lisäosat ajan tasalla. Poista kokonaan lisäosat, joita et enää tarvitse. Pelkkä lisäosan poistaminen käytöstä ei aina riitä, sillä haavoittuva koodi voi silti jäädä palvelimelle.

2. Heikot salasanat ja käyttäjätilit helpottavat murtoyrityksiä

Heikot salasanat ja yleiset käyttäjätunnukset ovat hyökkääjille helppo kohde. Hyökkääjä voi yrittää kirjautua sivustolle automaattisesti kokeilemalla suurta määrää yleisiä käyttäjätunnuksia ja salasanoja. Tällaista kutsutaan brute force -hyökkäykseksi.

2.1 Käytä pitkiä ja yksilöllisiä salasanoja

Salasanan kannattaa olla pitkä ja yksilöllinen. Hyvä salasana sisältää mielellään vähintään 12–15 merkkiä, eikä sitä käytetä missään muussa palvelussa.

Vältä helposti arvattavia sanoja, nimiä, syntymäaikoja ja yksinkertaisia yhdistelmiä. Salasanojen hallintaohjelma helpottaa vahvojen salasanojen luomista ja turvallista säilyttämistä.

2.2 Vältä yleisiä käyttäjätunnuksia

Älä käytä ylläpitäjän käyttäjätunnuksena esimerkiksi sanaa “admin”. Luo jokaiselle käyttäjälle oma käyttäjätili ja anna hänelle vain ne oikeudet, joita hän todella tarvitsee.

Kaikille käyttäjille ei tarvitse antaa ylläpitäjän oikeuksia. Kirjoittajalle tai sisällöntuottajalle riittää usein kirjoittajan tai muokkaajan rooli. Mitä vähemmän käyttäjällä on oikeuksia, sitä pienempi on mahdollinen vahinko tilin joutuessa vääriin käsiin.

2.3 Ota käyttöön kaksivaiheinen tunnistautuminen

Kaksivaiheinen tunnistautuminen eli 2FA parantaa WordPress-sivuston tietoturvaa merkittävästi. Salasanan lisäksi kirjautuminen vaatii esimerkiksi vahvistuskoodin tunnistautumissovelluksesta, tekstiviestillä tai turva-avaimella.

Kaksivaiheinen tunnistautuminen suojaa sivustoa myös silloin, jos salasana päätyy vuotamaan. Pelkkä salasana ei tällöin yleensä riitä kirjautumiseen.

3. Huonosti suojatut tiedostot ja hakemistot

WordPress-sivusto sisältää tiedostoja ja kansioita, joiden suojaus on tärkeää. Liian sallivat tiedosto-oikeudet tai tarpeettomasti näkyvät hakemistot voivat kasvattaa tietoturvariskiä.

Myös palvelimelle ladattuja tiedostoja kannattaa seurata. Hyökkääjä voi joskus pyrkiä hyödyntämään haavoittuvaa lisäosaa haitallisen tiedoston lisäämiseen palvelimelle.

3.1 Tiedosto-oikeuksien hallinta

Tiedosto- ja kansio-oikeudet määritellään usein numeerisesti, esimerkiksi arvoilla 644 ja 755. Monilla palvelimilla tavallinen ja toimiva lähtökohta on, että tiedostojen oikeudet ovat 644 ja kansioiden 755.

Liian sallivia 777-oikeuksia kannattaa välttää, ellei webhotellin tai palvelimen tekninen tuki ole nimenomaisesti neuvonut käyttämään niitä. Ne voivat antaa liian laajat kirjoitus- ja suoritusmahdollisuudet palvelimella.

Tarkat asetukset voivat vaihdella webhotellin, palvelimen ja PHP-toteutuksen mukaan. Siksi tiedosto-oikeuksia muutettaessa kannattaa tarkistaa oman hosting-palvelun ohjeet.

3.2 wp-config.php-tiedoston suojaaminen

wp-config.php sisältää WordPressin tärkeät asetukset, kuten tietokantayhteyden tiedot. Tiedostoa ei saa koskaan jakaa, ladata julkisesti tai lähettää suojaamattomana sähköpostilla.

Pidä tiedoston oikeudet mahdollisimman rajoitettuina palvelinympäristön sallimissa rajoissa. Monilla palvelimilla esimerkiksi 640 tai 600 voi olla sopiva asetus, mutta oikea arvo riippuu webhotellin toteutuksesta.

Tärkeintä on varmistaa, että palvelin on oikein määritetty eikä tiedostoa voi hakea selaimella suoraan.

3.3 Haitallisten tiedostojen tarkistaminen

Säännöllinen haittaohjelmatarkistus auttaa havaitsemaan epäilyttäviä tiedostoja ja muutoksia. Monet tietoturvalisäosat pystyvät tarkistamaan WordPress-asennuksen tiedostoja ja ilmoittamaan poikkeavuuksista.

Jos löydät tuntemattoman tiedoston, älä poista sitä sokkona. Selvitä ensin, liittyykö se teemaan, lisäosaan, varmuuskopiointiin tai palvelimen toimintaan. Tarvittaessa ota yhteyttä webhotellin tukeen tai WordPress-asiantuntijaan.

4. Epäluotettavat lisäosat ja teemat

Tietoturvariski ei liity vain siihen, ovatko lisäosat ja teemat päivitettyjä. Riski syntyy myös siitä, mistä ne on ladattu ja miten niitä ylläpidetään.

Ilmaiseksi jaettavat maksullisten lisäosien tai teemojen kopiot voivat sisältää haitallista koodia, takaportteja tai muita muutoksia, joita käyttäjä ei huomaa.

4.1 Käytä vain luotettavia lähteitä

Lataa lisäosat ja teemat ensisijaisesti WordPress.orgin virallisista hakemistoista tai suoraan tunnetuilta kehittäjiltä.

Vältä tuntemattomia lataussivustoja, torrentteja sekä niin sanottuja nulled-versioita. Maksullisen tuotteen luvatta jaettu kopio voi näyttää toimivalta, mutta sisältää silti haitallista koodia.

4.2 Arvioi lisäosien ja teemojen laatua

Ennen lisäosan tai teeman asentamista kannattaa tarkistaa ainakin seuraavat asiat:

  • Onko sitä päivitetty viime aikoina?
  • Onko sillä riittävästi aktiivisia käyttäjiä?
  • Millaisia arvosteluja ja tukiviestejä sillä on?
  • Onko kehittäjä aktiivinen ja helposti tavoitettavissa?
  • Tarvitsetko lisäosaa todella vai voisiko saman asian toteuttaa kevyemmin?

Jokainen lisäosa lisää sivuston ylläpidettävää koodia. Siksi mahdollisimman kevyt ja harkittu lisäosavalikoima on yleensä myös tietoturvan kannalta parempi ratkaisu.

4.3 Poista tarpeettomat lisäosat ja teemat

Poista lisäosat ja teemat, joita et enää käytä. Tämä koskee myös käytöstä poistettuja lisäosia.

Sivustolla kannattaa yleensä säilyttää aktiivisen teeman lisäksi yksi ajantasainen oletusteema varateemana. Muut tarpeettomat teemat voi poistaa.

5. Tietoturvan seurannan ja toimintamallin puute

Tietoturvaongelmia ei aina voida estää kokonaan, mutta niiden vaikutuksia voidaan pienentää huomattavasti hyvällä varautumisella. Moni sivuston omistaja reagoi vasta silloin, kun sivusto on jo murrettu tai lakannut toimimasta.

Säännöllinen ylläpito, seuranta ja toimivat varmuuskopiot ovat tärkeä osa WordPress-sivuston suojaamista.

5.1 Luo selkeä päivitysrutiini

Määrittele, kuka seuraa ja asentaa päivitykset. Pienet tietoturvapäivitykset voidaan usein sallia automaattisesti, mutta suuret WordPress-, teema- ja lisäosapäivitykset kannattaa tarkistaa ennen käyttöönottoa.

Hyvä käytäntö on ottaa varmuuskopio ennen merkittäviä muutoksia. Näin sivusto voidaan palauttaa nopeasti, jos päivitys aiheuttaa yhteensopivuusongelman.

5.2 Seuraa murtoyrityksiä ja poikkeavaa toimintaa

Palvelimen lokitiedot ja tietoturvalisäosat voivat auttaa havaitsemaan epäilyttävää toimintaa. Toistuvat epäonnistuneet kirjautumisyritykset, tuntemattomat ylläpitäjätilit, odottamattomat tiedostomuutokset tai sivustolle ilmestyneet roskasisällöt voivat olla merkkejä tietoturvaongelmasta.

Monet tietoturvalisäosat voivat rajoittaa kirjautumisyrityksiä, estää epäilyttäviä IP-osoitteita ja lähettää ilmoituksia poikkeavista tapahtumista.

5.3 Varmuuskopiot ovat viimeinen turvaverkko

Säännölliset ja automaattiset varmuuskopiot ovat yksi tärkeimmistä WordPress-sivuston suojakeinoista. Varmuuskopioista tulisi tallentaa sekä tiedostot että tietokanta.

Varmuuskopioita ei kannata säilyttää vain samalla palvelimella kuin itse sivustoa. Säilytä niitä myös erillisessä pilvipalvelussa tai muussa turvallisessa sijainnissa.

Varmista lisäksi, että palautus todella toimii. Varmuuskopio on hyödyllinen vasta silloin, kun sivusto voidaan tarvittaessa palauttaa sen avulla.

Yhteenveto

WordPress-sivuston tietoturva ei ole yksittäinen toimenpide, vaan jatkuva ylläpitoprosessi. Päivitä WordPress, teemat ja lisäosat säännöllisesti. Käytä vahvoja salasanoja ja kaksivaiheista tunnistautumista. Asenna lisäosat ja teemat vain luotettavista lähteistä, poista tarpeettomat komponentit ja varmista, että varmuuskopiot ovat kunnossa.

Näillä perustoimilla voit pienentää WordPress-sivustosi tietoturvariskejä merkittävästi ja parantaa mahdollisuuksia palautua nopeasti mahdollisista ongelmista.