Paras WordPress-palomuuri: Cloudflare, Wordfence, Solid Security vai Sucuri?

 

Näin valitset WordPress-sivustolle palomuurin

WordPress-sivuston palomuuri eli WAF on tärkeä osa tietoturvaa, mutta yhtä ainoaa kaikille parasta ratkaisua ei ole.

Sopivin vaihtoehto riippuu esimerkiksi siitä, kuinka paljon sivustollasi on liikennettä, onko kyseessä verkkokauppa, kuinka paljon haluat tehdä teknisiä asetuksia itse ja haluatko suojan toimivan jo ennen kuin haitallinen liikenne pääsee webhotellillesi.

Hyvä palomuuri voi auttaa vähentämään yleisiä hyökkäyksiä, bottien aiheuttamaa kuormaa ja kirjautumissivuun kohdistuvia arvailuyrityksiä. Se ei kuitenkaan yksin tee WordPress-sivustosta turvallista.

Tietoturvan perustaan kuuluvat aina myös:

  • WordPressin, teemojen ja lisäosien päivitykset
  • vahvat ja yksilölliset salasanat
  • kaksivaiheinen tunnistautuminen ylläpitäjille
  • käyttämättömien lisäosien ja teemojen poistaminen
  • toimivat varmuuskopiot
  • HTTPS-yhteys
  • luotettava webhotelli
  • käyttäjäroolien huolellinen hallinta

Tässä artikkelissa vertaillaan neljää tunnettua WordPress-suojausratkaisua: Cloudflarea, Wordfenceä, Solid Securityä ja Sucuria.

Mikä WordPress-palomuuri eli WAF on?

WAF tulee sanoista Web Application Firewall. Se on verkkosovelluksille tarkoitettu palomuuri, joka tarkkailee ja suodattaa sivustolle tulevaa HTTP- ja HTTPS-liikennettä.

WAF voi tunnistaa esimerkiksi epäilyttäviä pyyntöjä, tunnettuja hyökkäysmalleja, haitallisia botteja ja kirjautumissivulle kohdistuvaa poikkeavaa toimintaa.

Palomuuri voi auttaa torjumaan esimerkiksi:

  • toistuvia kirjautumisyrityksiä
  • brute force -hyökkäyksiä
  • tunnettuja SQL-injektioyrityksiä
  • tunnettuja XSS-hyökkäysmalleja
  • haavoittuvuuksia hyödyntäviä pyyntöjä
  • haitallisia botteja
  • roskapostia ja automaattisia lomakelähetyksiä
  • osaa palvelunestohyökkäyksistä
  • epäilyttävää liikennettä tietyistä IP-osoitteista tai maista

WAF toimii parhaimmillaan ylimääräisenä suojakerroksena. Se voi estää tunnettuja hyökkäysmalleja, mutta se ei korjaa sivustossa olevaa haavoittuvaa lisäosaa.

Jos lisäosasta löytyy vakava tietoturva-aukko, oikea ratkaisu on yleensä päivittää lisäosa, poistaa se käytöstä tai vaihtaa se turvalliseen vaihtoehtoon.

Mitä palomuuri ei voi tehdä?

Palomuuri ei ole täydellinen suoja kaikkea vastaan.

Se ei esimerkiksi:

  • korjaa vanhentunutta tai haavoittuvaa lisäosaa
  • tee heikosta salasanasta turvallista
  • estä kaikkia uusia tai tuntemattomia hyökkäyksiä
  • korvaa varmuuskopioita
  • poista jo palvelimelle päätynyttä haittaohjelmaa automaattisesti
  • tee sivustosta turvallista, jos ylläpitäjätili joutuu vääriin käsiin
  • korvaa palvelimen, webhotellin tai tietokannan tietoturvaa
  • takaa, ettei sivusto koskaan kaadu suuren DDoS-hyökkäyksen aikana

Palomuuri on yksi osa kerroksittaista tietoturvaa. Mitä useampi perusasia on kunnossa, sitä vaikeampi sivusto on hyökkäyksen kohteena.

Pilvipohjainen vai WordPressiin asennettava palomuuri?

WordPress-palomuureja on käytännössä kahta päätyyppiä:

  1. pilvipohjaiset eli CDN- tai edge-palomuureihin perustuvat ratkaisut
  2. WordPressiin asennettavat tietoturvalisäosat

Molemmilla on omat vahvuutensa.

Pilvipohjainen palomuuri

Pilvipohjainen WAF toimii sivuston ja vierailijan välissä.

Kun kävijä avaa sivustosi, liikenne kulkee ensin esimerkiksi Cloudflaren tai Sucurin palvelun kautta. Palvelu voi tarkistaa, suodattaa ja estää epäilyttävää liikennettä ennen kuin se pääsee WordPress-palvelimelle asti.

Tällainen ratkaisu voi auttaa erityisesti silloin, kun sivustolle tulee paljon liikennettä, bottien aiheuttamaa kuormaa tai palvelunestohyökkäyksiä.

Pilvipohjaisen WAF:n vahvuuksia ovat yleensä:

  • haitallista liikennettä voidaan estää ennen palvelinta
  • palvelimen kuormitus voi pienentyä
  • CDN voi nopeuttaa staattisten tiedostojen lataamista
  • DDoS-suojaus on yleensä vahvempi kuin pelkällä lisäosalla
  • liikennettä voidaan hallita keskitetysti
  • bottien, IP-osoitteiden ja sääntöjen hallinta voi olla monipuolista

Pilvipohjaisen WAF:n haasteita ovat esimerkiksi:

  • käyttöönotto voi vaatia DNS-muutoksia
  • maksulliset ominaisuudet voivat nostaa kustannuksia
  • väärä asetus voi estää myös oikeaa liikennettä
  • sivuston alkuperäisen palvelimen IP-osoite pitäisi suojata
  • palveluntarjoajan tietosuoja- ja sopimusehdot pitää arvioida omassa käytössä

Pilvipohjainen palomuuri toimii kunnolla vain, jos liikenne todella kulkee sen kautta.

Esimerkiksi Cloudflaren tapauksessa verkkotunnuksen A-, AAAA- tai CNAME-tietueen pitää olla välitystilassa eli proxied-tilassa. Jos sivusto käyttää pelkkää DNS-only-tietuetta, liikenne voi mennä suoraan palvelimelle ilman Cloudflaren WAF- ja DDoS-suojausta.

WordPressiin asennettava tietoturvalisäosa

WordPress-lisäosana toimiva palomuuri toimii lähempänä itse WordPress-asennusta.

Se voi tunnistaa WordPressiin kohdistuvia hyökkäyksiä, tarkistaa tiedostoja, rajoittaa kirjautumisyrityksiä ja tarjota ylläpitäjälle näkyvyyttä siihen, mitä sivustolla tapahtuu.

Lisäosapohjaisen ratkaisun vahvuuksia ovat yleensä:

  • käyttöönotto onnistuu WordPressin hallinnasta
  • kirjautumissivun suojaus on usein monipuolinen
  • käytettävissä voi olla kaksivaiheinen tunnistautuminen
  • tiedostojen muutoksia ja haittaohjelmia voidaan tarkistaa
  • lokit ja hälytykset näkyvät WordPressissä
  • ilmaisia vaihtoehtoja on saatavilla
  • ratkaisu voi ymmärtää WordPressin rakennetta tarkasti

Lisäosapohjaisen ratkaisun rajoituksia ovat esimerkiksi:

  • haitallinen liikenne saavuttaa ensin webhotellin
  • skannaukset ja palomuurit voivat kuormittaa palvelinta
  • suuri DDoS-hyökkäys voi kuormittaa palvelinta ennen kuin lisäosa ehtii toimia
  • lisäosa täytyy pitää ajan tasalla
  • useampi päällekkäinen tietoturvalisäosa voi aiheuttaa ongelmia

Usein hyvä käytännön ratkaisu on käyttää sekä pilvipohjaista suojaa että yhtä WordPressin tietoturvalisäosaa.

Pilvipalvelu suodattaa liikennettä ennen palvelinta, kun taas WordPress-lisäosa voi suojata kirjautumista, tarkistaa tiedostoja ja auttaa havaitsemaan WordPressin sisäisiä ongelmia.

Cloudflare: hyvä lähtötason pilvipohjainen suoja

Cloudflare on tunnettu CDN- ja tietoturvapalvelu. Se toimii WordPress-sivuston ja kävijän välissä, kun verkkotunnuksen liikenne on ohjattu Cloudflaren välityspalvelun kautta.

Cloudflare voi tarjota esimerkiksi:

  • CDN-palvelun
  • HTTPS- ja TLS-asetusten hallintaa
  • DDoS-suojausta
  • hallittuja WAF-sääntöjä
  • bottien ja epäilyttävän liikenteen hallintaa
  • IP-osoite- ja sääntöpohjaisia estoja
  • välimuistitoimintoja
  • liikenteen analytiikkaa

Cloudflaren maksuttomalla tasolla on saatavilla perustason hallittu sääntöjoukko, joka suojaa erityisesti tunnetuilta, vaikutuksiltaan suurilta ja laajasti hyödynnetyiltä haavoittuvuuksilta.

Laajemmat WAF-säännöt, yksityiskohtaisempi sääntöjen muokkaus ja osa kehittyneistä suojausominaisuuksista riippuvat kuitenkin käytössä olevasta palvelutasosta.

Cloudflaren vahvuudet

Cloudflare sopii erityisen hyvin sivustolle, joka tarvitsee:

  • palvelimen ulkopuolella toimivaa suojaa
  • suojaa suuria liikennepiikkejä vastaan
  • CDN:n nopeushyötyjä
  • bottien ja haitallisen liikenteen suodatusta
  • joustavia sääntöjä ja liikenteen hallintaa
  • suojan ennen kuin liikenne pääsee WordPressiin

Cloudflare voi olla hyvä perusratkaisu myös pienelle yrityssivustolle, jos DNS-asetusten muuttaminen onnistuu huolellisesti.

Cloudflaren huomioitavat asiat

Cloudflare ei suojaa sivustoasi, jos kävijät pääsevät suoraan alkuperäiselle palvelimelle.

Jos palvelimen IP-osoite paljastuu ja palvelin sallii liikenteen suoraan internetistä, hyökkääjä voi teoriassa ohittaa Cloudflaren suojauksen.

Siksi suuremmilla tai tärkeillä sivustoilla kannattaa selvittää webhotellin kanssa, voidaanko palvelin rajata hyväksymään HTTP- ja HTTPS-liikenne vain Cloudflaren IP-osoitteista.

Cloudflare ei myöskään poista WordPressistä haittaohjelmia tai korjaa jo murrettua sivustoa. Se on ensisijaisesti liikenteen suojaus- ja hallintakerros.

Wordfence: vahva WordPress-lisäosapohjainen ratkaisu

Wordfence on yksi tunnetuimmista WordPressin tietoturvalisäosista.

Se sisältää WordPressiin suunnitellun endpoint-palomuuriin perustuvan suojauksen, haittaohjelmaskannerin, kirjautumissuojauksen ja useita muita tietoturvatyökaluja.

Wordfencen ominaisuuksia ovat esimerkiksi:

  • WordPressiin suunniteltu palomuuri
  • haittaohjelma- ja tiedostoskannaus
  • kirjautumisyritysten rajoittaminen
  • kaksivaiheinen tunnistautuminen
  • epäilyttävien IP-osoitteiden estäminen
  • tiedostojen muutosten tarkistus
  • liikenne- ja turvallisuuslokit
  • tunnettuja haavoittuvuuksia koskevat palomuurisäännöt

Wordfence toimii WordPressin omalla palvelimella. Tämä on samalla sen vahvuus ja rajoitus.

Lisäosa pystyy tarkastelemaan WordPressiin tulevaa liikennettä ja tiedostoja tarkasti, mutta hyökkäysliikenne saavuttaa palvelimen ennen kuin Wordfence voi suodattaa sitä.

Wordfence Free vai Premium?

Wordfencen maksuton versio tarjoaa hyvän perustason suojan.

Maksuttomassa versiossa uudet palomuurisäännöt ja haittaohjelmien tunnisteet tulevat kuitenkin 30 päivän viiveellä.

Maksullinen Wordfence Premium saa samat uhkatiedot reaaliaikaisesti. Maksullinen versio tuo myös esimerkiksi reaaliaikaisen haitallisten IP-osoitteiden estolistan, maakohtaisia estoja ja laajempaa tukea.

Wordfence Free sopii hyvin esimerkiksi pienelle tai keskisuurelle WordPress-sivustolle, joka tarvitsee kirjautumissuojaa, 2FA:n ja perustason palomuurin.

Wordfence Premium voi olla perusteltu, jos sivustolla käsitellään paljon asiakas- tai maksutietoja, sivusto on liiketoimintakriittinen tai haluat saada uudet suojaussäännöt käyttöön ilman viivettä.

Solid Security: kirjautumissuojausta ja WordPressin koventamista

Solid Security tunnettiin aiemmin nimellä iThemes Security.

Se on WordPressin tietoturvalisäosa, joka painottaa erityisesti kirjautumisen suojaamista, käyttäjätilien hallintaa, kaksivaiheista tunnistautumista, turvallisuusasetusten koventamista ja haavoittuvien komponenttien tunnistamista.

Solid Security tarjoaa esimerkiksi:

  • kirjautumisyritysten rajoittamista
  • kaksivaiheista tunnistautumista
  • salasanojen vaatimuksia
  • käyttäjätilien ja kirjautumisten seurantaa
  • palomuurisääntöjä
  • haavoittuvien lisäosien ja teemojen tunnistamista
  • turvallisuuslokeja
  • asetuksia WordPressin koventamiseen

Solid Security voi olla hyvä vaihtoehto erityisesti silloin, kun haluat selkeän käyttöliittymän ja painotat ylläpitäjätilien suojaamista.

On kuitenkin hyvä ymmärtää, että palomuuri, haittaohjelmaskanneri ja tietoturvahälytysten seuranta ovat eri asioita.

Solid Securityn palomuuri keskittyy haitallisen liikenteen estämiseen. Se ei yksin ole täydellinen haittaohjelmien skannaus- tai murtojen tutkintapalvelu.

Sucuri: pilvipohjainen WAF ja haittaohjelmien poistopalvelu

Sucuri on pilvipohjainen verkkosivustojen tietoturvapalvelu.

Sen palveluihin kuuluu tyypillisesti pilvipohjainen WAF, CDN, DDoS-suojaus, seuranta sekä maksullisissa palveluissa haittaohjelmien poisto- ja korjausapua.

Sucuri sopii erityisesti silloin, kun:

  • sivusto on liiketoimintakriittinen
  • sivustolla on jo havaittu haittaohjelmia
  • haluat palomuurin ennen WordPress-palvelinta
  • tarvitset DDoS-suojausta
  • haluat ulkopuolisen palvelun seuraavan sivuston turvallisuutta
  • et halua selvittää kaikkea itse WordPressin hallinnassa
  • arvostat asiantuntija-apua mahdollisessa murto- tai haittaohjelmatilanteessa

Sucuri on yleensä maksullinen vaihtoehto, joten se ei ole välttämättä järkevin valinta aivan pienelle harrastesivustolle.

Se voi kuitenkin olla hyvä ratkaisu verkkokaupalle, yrityssivustolle tai sivustolle, jonka käyttökatkosta tai haittaohjelmasta voi aiheutua merkittävää haittaa.

Cloudflare, Wordfence, Solid Security ja Sucuri vertailussa

Ratkaisu Tyyppi Sopii erityisesti Keskeinen vahvuus Huomioitavaa
Cloudflare Pilvipohjainen WAF ja CDN Sivustoille, jotka tarvitsevat liikenteen suojausta ennen palvelinta CDN, DDoS-suojaus ja hallitut WAF-säännöt Vaatii DNS- ja välityspalveluasetusten huolellisen käyttöönoton
Wordfence WordPress-lisäosa WordPress-sivustoille, jotka tarvitsevat palomuurin, skannauksen ja kirjautumissuojan WordPressiin suunniteltu endpoint-palomuuri ja haittaohjelmaskanneri Haitallinen liikenne saavuttaa palvelimen ennen lisäosan suodatusta
Solid Security WordPress-lisäosa Sivustoille, joissa painotetaan kirjautumisten ja käyttäjätilien suojausta 2FA, kirjautumissuojaus ja WordPressin kovennus Ei korvaa varsinaista pilvipohjaista DDoS-suojausta
Sucuri Pilvipohjainen WAF ja tietoturvapalvelu Liiketoimintakriittisille sivustoille ja murtojen jälkihoitoon WAF, CDN, DDoS-suojaus ja haittaohjelmien poisto Maksullinen palvelu ja liikenne kulkee ulkoisen palvelun kautta

Mikä palomuuri sopii pienelle WordPress-sivustolle?

Pienelle yrityssivustolle, blogille tai yhdistyksen sivulle hyvä lähtökohta voi olla:

  • Cloudflaren perustason suojaus, jos DNS-asetukset ovat hallinnassa
  • Wordfence Free tai Solid Security Free
  • vahvat salasanat
  • kaksivaiheinen tunnistautuminen ylläpitäjille
  • säännölliset varmuuskopiot
  • WordPressin, teemojen ja lisäosien säännölliset päivitykset

Tällainen kokonaisuus tarjoaa useita suojakerroksia ilman, että sivustolle tarvitsee asentaa useita päällekkäisiä tietoturvalisäosia.

Älä kuitenkaan asenna esimerkiksi Wordfenceä, Solid Securityä ja useaa muuta vastaavaa palomuurilisäosaa samanaikaisesti. Päällekkäiset ratkaisut voivat aiheuttaa ristiriitoja, estää oikeaa liikennettä tai vaikeuttaa ongelmien selvittämistä.

Mikä sopii verkkokaupalle?

Verkkokauppa käsittelee yleensä asiakastietoja, tilauksia, maksutapoihin liittyviä tietoja ja kirjautuneita käyttäjiä.

Siksi verkkokaupassa kannattaa panostaa tavallista enemmän tietoturvaan.

Hyvä lähtökohta voi olla:

  • pilvipohjainen WAF, kuten Cloudflare tai Sucuri
  • yksi WordPressin tietoturvalisäosa kirjautumisen ja tiedostojen seurantaan
  • kaksivaiheinen tunnistautuminen kaikille ylläpitäjille
  • säännölliset, palautettavat varmuuskopiot
  • luotettava ja WooCommerceen sopiva webhotelli
  • ajantasaiset maksutapa- ja toimituslisäosat
  • testattu päivitysprosessi staging-ympäristössä
  • tarkasti rajatut käyttäjäroolit

Verkkokaupan palomuuria ei kannata valita vain hinnan perusteella. Tärkeämpää on miettiä, kuinka suuri haitta sivuston kaatumisesta, tietovuodosta tai murrosta aiheutuisi.

Mikä ratkaisu sopii, jos sivusto on jo hakkeroitu?

Jos sivustolla on havaittu haittaohjelmia, tuntemattomia käyttäjätilejä, outoja uudelleenohjauksia tai hakutuloksiin ilmestynyttä roskapostia, pelkkä palomuurin asentaminen ei yleensä riitä.

Sivusto pitää ensin puhdistaa, haavoittuvuuden syy selvittää ja kaikki tunnukset vaihtaa.

Tällaisessa tilanteessa kannattaa yleensä:

  1. Ota sivusto tarvittaessa väliaikaisesti pois julkisesta käytöstä.
  2. Ota varmuuskopiot ja palvelinlokit talteen.
  3. Vaihda WordPress-, webhotelli-, sähköposti- ja SFTP-tunnukset.
  4. Tarkista ylläpitäjäkäyttäjät.
  5. Päivitä WordPress, lisäosat ja teemat.
  6. Poista käyttämättömät lisäosat ja teemat.
  7. Selvitä, mikä haavoittuvuus mahdollisti hyökkäyksen.
  8. Puhdista haitalliset tiedostot tai palauta varmasti puhdas varmuuskopio.
  9. Asenna tai paranna palomuurisuojausta vasta korjaustoimien jälkeen.
  10. Pyydä asiantuntija-apua, jos et ole varma sivuston puhtaudesta.

Sucuri voi olla harkittava vaihtoehto silloin, kun tarvitset myös haittaohjelmien poistoon liittyvää palvelua. Wordfence tarjoaa omia maksullisia tukipalvelujaan, mutta myös WordPressiin erikoistunut kehittäjä tai tietoturva-asiantuntija voi auttaa tilanteen selvittämisessä.

Näin valitset WordPress-palomuurin

Kysy itseltäsi seuraavat kysymykset.

Kuinka tärkeä sivusto on liiketoiminnalle?

Jos sivusto on vain pieni harrasteblogi, maksullinen yritystason WAF ei välttämättä ole tarpeellinen.

Jos sivusto tuo tarjouspyyntöjä, asiakkaita tai verkkokauppamyyntiä, tietoturvaan kannattaa suhtautua investointina.

Tarvitsetko suojaa ennen palvelinta?

Jos sivusto saa paljon liikennettä, sitä häiritsevät botit tai haluat vähentää palvelimen kuormitusta, pilvipohjainen WAF voi olla hyvä ratkaisu.

Kuinka paljon teknistä ylläpitoa haluat tehdä itse?

Wordfence ja Solid Security toimivat suoraan WordPressin hallinnassa.

Cloudflare ja Sucuri vaativat yleensä DNS-asetusten muuttamista, mutta tarjoavat suojaa jo ennen kuin liikenne saapuu WordPress-palvelimelle.

Tarvitsetko haittaohjelmien poistoa?

Jos haluat palvelun, joka auttaa myös murretun sivuston puhdistamisessa, Sucuri tai erillinen tietoturva-asiantuntija voi olla parempi kuin pelkkä ilmainen lisäosa.

Onko sivustolla verkkokauppa tai paljon käyttäjätilejä?

Verkkokauppa, jäsenalue tai ajanvarauspalvelu tarvitsee tavallista enemmän suojausta.

Tällöin kannattaa panostaa ainakin pilvipohjaiseen liikennesuojaan, 2FA:han, varmuuskopioihin, käyttöoikeuksien hallintaan ja päivitysten testaamiseen.

WordPress-palomuurin käyttöönoton tarkistuslista

Kun otat palomuurin käyttöön, käy läpi nämä asiat:

  1. Ota täydellinen varmuuskopio ennen suuria muutoksia.
  2. Päivitä WordPress, teema ja lisäosat.
  3. Poista käyttämättömät lisäosat ja teemat.
  4. Ota kaksivaiheinen tunnistautuminen käyttöön ylläpitäjille.
  5. Käytä vahvoja ja yksilöllisiä salasanoja.
  6. Valitse yksi WordPressin tietoturvalisäosa.
  7. Testaa, etteivät palomuurisäännöt estä lomakkeita, verkkokauppaa tai ylläpitäjiä.
  8. Jos käytät Cloudflarea tai Sucuria, varmista että liikenne kulkee palvelun kautta.
  9. Tarkista, ettei palvelimen alkuperäinen IP-osoite ole turhaan avoinna.
  10. Tarkista tietoturvalokit ja hälytykset säännöllisesti.
  11. Testaa varmuuskopion palautus.
  12. Dokumentoi tehdyt asetukset, jotta ongelmatilanteessa tiedät, mitä on muutettu.

Yhteenveto

Paras WordPress-palomuuri riippuu sivustosi tarpeista.

Cloudflare on hyvä vaihtoehto, kun haluat pilvipohjaista suojaa, CDN:n ja liikenteen suodatusta ennen webhotellia.

Wordfence on vahva valinta, kun haluat WordPressiin suoraan asennettavan palomuurin, tiedostoskannauksen, kirjautumissuojan ja kaksivaiheisen tunnistautumisen.

Solid Security sopii hyvin silloin, kun painotat käyttäjätilien suojausta, 2FA:ta ja WordPressin turvallisuusasetusten hallintaa.

Sucuri on hyvä vaihtoehto, kun tarvitset pilvipohjaisen WAF:n lisäksi haittaohjelmien poistoa, jatkuvaa seurantaa ja ulkopuolista asiantuntija-apua.

Useimmille pienille WordPress-sivustoille hyvä lähtökohta on yksi tietoturvalisäosa, toimivat varmuuskopiot, päivitykset, 2FA sekä tarvittaessa Cloudflaren perustason suojaus.

Palomuuri on tärkeä suojauskerros, mutta turvallinen WordPress-sivusto syntyy vasta silloin, kun myös perusasiat ovat kunnossa.