WordPress-sivuston tietoturva: 10 käytännön keinoa suojata sivusto

 

Näin suojaat WordPress-sivustosi hakkereilta

WordPress on maailman käytetyimpiä julkaisujärjestelmiä. Sen suosio tekee siitä houkuttelevan kohteen myös automatisoiduille hyökkäyksille, salasanojen arvailulle ja vanhoihin lisäosiin kohdistuville hyökkäyksille.

Hyvä uutinen on, että suuri osa WordPress-sivustojen tietoturvaongelmista voidaan ehkäistä varsin tavallisilla toimenpiteillä. Sivuston suojaaminen ei vaadi täydellistä teknistä osaamista, mutta se vaatii säännöllistä ylläpitoa.

Tärkeintä on huolehtia neljästä asiasta:

  • käytä vahvoja tunnuksia ja kaksivaiheista tunnistautumista
  • pidä WordPress, teemat ja lisäosat ajan tasalla
  • ota toimivia varmuuskopioita
  • asenna vain luotettavia ja tarpeellisia lisäosia

Täydellistä suojaa ei ole olemassa, mutta hyvin hoidettu WordPress-sivusto on huomattavasti vaikeampi kohde kuin päivittämätön ja huolimattomasti ylläpidetty sivusto.

1. Käytä pitkiä ja yksilöllisiä salasanoja

Salasana suojaa WordPressin hallintapaneelia, sähköpostitilejä, webhotellia, varmuuskopioita ja muita sivuston kannalta tärkeitä palveluja.

Heikko salasana voi vaarantaa koko sivuston. Jos hyökkääjä pääsee ylläpitäjän käyttäjätilille, hän voi esimerkiksi asentaa haitallisen lisäosan, muuttaa sivuston sisältöä, luoda uusia käyttäjätilejä tai ottaa sivuston hallintaansa.

Hyvä salasana on:

  • pitkä
  • yksilöllinen
  • vaikeasti arvattava
  • käytössä vain yhdessä palvelussa
  • tallennettu salasananhallintaan

Vältä erityisesti näitä:

  • 123456
  • salasana
  • yrityksen nimi
  • oma nimi
  • syntymävuosi
  • verkkotunnuksen nimi
  • helposti arvattavat sanayhdistelmät

Salasananhallintaohjelma on käytännöllisin tapa käyttää pitkiä ja yksilöllisiä salasanoja. Se voi luoda vahvan salasanan automaattisesti ja tallentaa sen puolestasi.

Sinun ei tarvitse muistaa kaikkia salasanoja ulkoa. Tärkeintä on, että salasananhallinnan pääsalasana on erityisen vahva ja että sen suojaamiseen käytetään kaksivaiheista tunnistautumista.

2. Ota käyttöön kaksivaiheinen tunnistautuminen

Kaksivaiheinen tunnistautuminen eli 2FA tuo kirjautumiseen toisen suojakerroksen.

Pelkkä salasana ei silloin riitä kirjautumiseen. Käyttäjän täytyy vahvistaa kirjautuminen esimerkiksi autentikointisovelluksella, turva-avaimella tai kertakäyttökoodilla.

Tämä auttaa erityisesti tilanteissa, joissa salasana on:

  • vuotanut tietomurron yhteydessä
  • päätynyt huijaussivulle
  • arvattu
  • käytetty vahingossa uudelleen toisessa palvelussa

WordPressin hallintapaneeliin kannattaa ottaa 2FA käyttöön ainakin kaikille ylläpitäjille. Myös verkkokaupan, jäsenalueen tai asiakastietoja käsittelevän sivuston muille tärkeille käyttäjärooleille se voi olla perusteltu.

2FA voidaan toteuttaa esimerkiksi tietoturvalisäosalla tai erillisellä kaksivaiheisen tunnistautumisen lisäosalla.

3. Älä käytä helposti arvattavia ylläpitäjätunnuksia

Käyttäjätunnus admin on hyökkääjille tunnettu ensimmäinen arvaus. Se ei yksin vaaranna sivustoa, mutta helpottaa kirjautumishyökkäystä, koska hyökkääjän tarvitsee keskittyä vain salasanan arvaamiseen.

Jos sivustollasi on edelleen ylläpitäjäkäyttäjä nimeltä admin, kannattaa luoda uusi ylläpitäjäkäyttäjä yksilöllisellä tunnuksella.

Toimi näin:

  1. Luo uusi käyttäjä, jolla on ylläpitäjän oikeudet.
  2. Kirjaudu ulos vanhasta tunnuksesta.
  3. Kirjaudu sisään uudella käyttäjällä.
  4. Siirrä tarvittaessa vanhan käyttäjän artikkelit uudelle käyttäjälle.
  5. Poista vanha admin-käyttäjä.

Älä myöskään anna ylläpitäjän oikeuksia käyttäjälle, joka tarvitsee vain mahdollisuuden kirjoittaa artikkeleita tai hallita tuotteita.

WordPressissä käyttäjäroolit kannattaa pitää mahdollisimman rajattuina. Käyttäjälle annetaan vain ne oikeudet, joita hän todella tarvitsee.

4. Päivitä WordPress, lisäosat ja teemat säännöllisesti

Päivitykset ovat WordPress-sivuston tärkeimpiä tietoturvatoimia.

WordPressin ytimeen, teemoihin ja lisäosiin julkaistaan päivityksiä esimerkiksi silloin, kun niistä löydetään tietoturvaongelmia, yhteensopivuusvirheitä tai toiminnallisia puutteita.

Vanhentunut lisäosa voi olla riski, vaikka se näyttäisi toimivan normaalisti.

Pidä ajan tasalla:

  • WordPressin ydin
  • aktiivinen teema
  • käytössä olevat lisäosat
  • PHP-versio webhotellissa
  • verkkokaupan maksutapa- ja toimituslisäosat
  • varmuuskopiointi- ja tietoturvalisäosat

Päivityksiä ei kuitenkaan kannata tehdä täysin sokkona, jos sivustolla on paljon räätälöityjä toimintoja, verkkokauppa, jäsenalue tai ajanvarausjärjestelmä.

Turvallinen toimintatapa on:

  1. Varmista, että toimiva varmuuskopio on olemassa.
  2. Tee suuret päivitykset ensin staging-ympäristössä, jos mahdollista.
  3. Päivitä yksi kokonaisuus kerrallaan.
  4. Tarkista sivuston tärkeimmät toiminnot päivityksen jälkeen.
  5. Tyhjennä tarvittaessa välimuisti.

Poista myös käyttämättömät lisäosat ja teemat. Käytöstä poistettu lisäosa ei välttämättä kuormita sivustoa, mutta se voi silti jäädä palvelimelle tarpeettomaksi tietoturvariskiksi.

Pidä tarvittaessa yksi ajantasainen WordPressin oletusteema vianmääritystä varten, mutta poista muut tarpeettomat teemat.

5. Asenna lisäosia ja teemoja vain luotettavista lähteistä

Lisäosat ja teemat ovat ohjelmistoja. Jokainen niistä voi sisältää virheitä, haavoittuvuuksia tai yhteensopivuusongelmia.

Asenna lisäosia ensisijaisesti:

  • WordPress.orgin virallisesta lisäosahakemistosta
  • tunnetuilta lisäosakehittäjiltä
  • luotettavilta maksullisten teemojen ja lisäosien toimittajilta

Vältä erityisesti:

  • maksullisten lisäosien “nulled”- tai murrettuja versioita
  • tuntemattomista lähteistä ladattuja ZIP-tiedostoja
  • lisäosia, joita ei ole päivitetty pitkään aikaan
  • lisäosia, joilla ei ole toimivaa tukea tai dokumentaatiota
  • lisäosia, joiden käyttötarkoitus on epäselvä

Ennen uuden lisäosan asentamista kysy:

Tarvitsenko tätä todella?
Voiko WordPressin oma toiminto tai käytössä oleva lisäosa tehdä saman asian?
Onko lisäosaa ylläpidetty aktiivisesti?
Sopiiko se käytössä olevaan WordPress-versioon?
Tarvitseeko se paljon ulkoisia palveluja tai arkaluontoisia käyttöoikeuksia?

Mitä vähemmän tarpeettomia lisäosia sivustolla on, sitä helpompi sivustoa on ylläpitää ja suojata.

6. Käytä tietoturvalisäosaa harkiten

Tietoturvalisäosa voi olla hyödyllinen lisä WordPress-sivuston suojaamiseen.

Se voi auttaa esimerkiksi:

  • rajoittamaan toistuvia kirjautumisyrityksiä
  • tunnistamaan epäilyttäviä kirjautumisia
  • tarkistamaan tiedostomuutoksia
  • skannaamaan tunnettuja haittaohjelmia
  • lähettämään ilmoituksia epäilyttävästä toiminnasta
  • estämään yleisiä hyökkäysyrityksiä
  • tarjoamaan palomuuri- tai kovennusasetuksia
  • helpottamaan 2FA:n käyttöönottoa

Tietoturvalisäosa ei kuitenkaan tee sivustosta automaattisesti turvallista.

Se ei korvaa:

  • päivityksiä
  • vahvoja salasanoja
  • kaksivaiheista tunnistautumista
  • toimivia varmuuskopioita
  • luotettavaa webhotellia
  • käyttöoikeuksien hallintaa
  • huolellista lisäosavalintaa

Valitse yksi tietoturvaratkaisu, joka sopii sivuston tarpeisiin. Useampi päällekkäinen tietoturvalisäosa voi aiheuttaa ristiriitoja, turhia ilmoituksia tai suorituskykyongelmia.

Jos webhotelli tai CDN-palvelu tarjoaa verkkosovelluspalomuurin, haittaliikenteen suodatuksen tai palvelintason tietoturvaominaisuuksia, ne voivat olla hyvä lisä WordPressin omalle suojaustasolle.

7. Käytä HTTPS-yhteyttä kaikkialla

HTTPS suojaa selaimen ja palvelimen välistä tiedonsiirtoa salauksella.

Se on erityisen tärkeää, kun sivustolla käsitellään:

  • kirjautumistietoja
  • yhteydenottolomakkeita
  • asiakas- ja tilaustietoja
  • maksamiseen liittyviä tietoja
  • käyttäjätilien tietoja

Sivuston osoitteen pitäisi alkaa muodolla:

https://

eikä muodolla:

http://

Useimmat webhotellit tarjoavat nykyään maksuttoman TLS-sertifikaatin esimerkiksi Let’s Encryptin kautta.

Kun sertifikaatti on otettu käyttöön, varmista että:

  • WordPressin osoite käyttää HTTPS:ää
  • sivuston osoite käyttää HTTPS:ää
  • vanha HTTP-osoite ohjautuu HTTPS-versioon
  • kuvat, fontit, JavaScript ja CSS latautuvat HTTPS:n kautta
  • hallintapaneeli avataan aina suojatulla yhteydellä

HTTPS suojaa liikennettä matkalla selaimen ja palvelimen välillä. Se ei kuitenkaan korjaa vanhaa lisäosaa, heikkoa salasanaa tai palvelimelle päätynyttä haittaohjelmaa.

8. Huolehdi varmuuskopioista ennen kuin tarvitset niitä

Varmuuskopio on viimeinen turvaverkko, jos sivusto hakkeroidaan, päivitys epäonnistuu, tiedosto poistuu vahingossa tai webhotellissa tapahtuu tekninen vika.

Toimiva varmuuskopio sisältää ainakin:

  • WordPress-tiedostot
  • tietokannan
  • Mediakirjaston kuvat
  • teeman ja lisäosat
  • asetukset
  • mahdolliset verkkokaupan, lomakkeiden tai jäsenalueen tiedot

Pelkkä tiedostojen kopiointi ei yleensä riitä, koska WordPressin sisältö ja asetukset sijaitsevat tietokannassa.

Hyvä varmuuskopiointikäytäntö on:

  • ota varmuuskopioita automaattisesti
  • säilytä useampi palautuspiste
  • pidä vähintään yksi kopio muualla kuin samalla webhotellilla
  • ota ylimääräinen varmuuskopio ennen suuria päivityksiä
  • varmista, että palautus todella onnistuu

Webhotellin automaattinen varmuuskopiointi on hyvä alku, mutta sen varaan ei kannata jättää kaikkea. Tarkista ainakin:

  • kuinka usein varmuuskopiot otetaan
  • kuinka kauan niitä säilytetään
  • sisältyvätkö tiedostot ja tietokanta varmuuskopioon
  • voiko varmuuskopion palauttaa itse
  • kuinka nopeasti palautus onnistuu
  • säilytetäänkö varmuuskopio eri palvelimella

Varmuuskopion arvo selviää vasta silloin, kun se täytyy palauttaa. Siksi palautusta kannattaa testata esimerkiksi staging-ympäristössä.

9. Älä muuta tiedosto-oikeuksia sokkona

Tiedosto- ja kansio-oikeudet määrittävät, kuka voi lukea, muokata tai suorittaa palvelimella olevia tiedostoja.

Väärin asetetut oikeudet voivat tehdä sivustosta haavoittuvan. Liian avoimet oikeudet voivat antaa palvelinprosessille tai muille käyttäjille tarpeettoman laajan pääsyn tiedostoihin.

Yleisesti käytetty lähtökohta on usein:

  • tiedostot 644
  • kansiot 755

Nämä eivät kuitenkaan ole yleispätevä ratkaisu kaikille palvelimille.

Oikeat asetukset riippuvat esimerkiksi:

  • webhotellin palvelinympäristöstä
  • tiedostojen omistajuudesta
  • käytetystä PHP-tavasta
  • sivuston asennustavasta
  • välimuisti- ja kuvanoptimointiratkaisuista

Älä koskaan aseta tiedostoille tai kansioille oikeuksia 777 vain siksi, että jokin lisäosa tai lataustoiminto ei muuten toimi.

Jos tiedosto-oikeuksien kanssa on ongelmia, pyydä ensisijaisesti apua webhotellin tuelta. He voivat kertoa, millaiset oikeudet sopivat juuri heidän palvelinympäristöönsä.

Erityisesti wp-config.php sisältää tietokantayhteyden kannalta tärkeitä asetuksia. Sen suojaus kannattaa tarkistaa palveluntarjoajan ohjeiden mukaisesti.

10. Seuraa sivustoa ja reagoi poikkeamiin

Tietoturva ei ole kertaluonteinen asetus. Sivustoa kannattaa seurata säännöllisesti.

Tarkista esimerkiksi:

  • näkyykö WordPressissä päivityksiä
  • onko uusia ylläpitäjäkäyttäjiä
  • näkyykö palvelimen virhelokeissa poikkeavaa toimintaa
  • tuleeko tietoturvalisäosasta hälytyksiä
  • onko sivusto hitaampi kuin tavallisesti
  • näkyykö sivulla tuntemattomia mainoksia, linkkejä tai uudelleenohjauksia
  • toimivatko lomakkeet ja verkkokauppa normaalisti
  • onko Google Search Console ilmoittanut haittaohjelmista tai tietoturvaongelmista

Jos epäilet, että sivusto on hakkeroitu:

  1. Ota sivustosta ja lokeista talteen mahdollisimman paljon tietoa.
  2. Vaihda WordPressin, webhotellin, sähköpostin ja FTP/SFTP-yhteyksien salasanat.
  3. Tarkista ylläpitäjäkäyttäjät ja poista tuntemattomat tilit.
  4. Päivitä WordPress, teemat ja lisäosat.
  5. Tarkista, onko sivustolla tuntemattomia tiedostoja tai muutoksia.
  6. Ota yhteys webhotellin tukeen.
  7. Palauta tarvittaessa puhdas varmuuskopio.
  8. Pyydä asiantuntija-apua, jos et ole varma, mitä hyökkääjä on ehtinyt tehdä.

Älä palauta sivustoa vanhasta varmuuskopiosta ja jatka normaalisti tutkimatta ongelman syytä. Muuten sama haavoittuvuus voi jäädä sivustolle ja hyökkäys voi toistua.

WordPress-sivuston tietoturvan tarkistuslista

Käy tämä lista läpi säännöllisesti:

  1. Käytä pitkiä ja yksilöllisiä salasanoja.
  2. Ota käyttöön kaksivaiheinen tunnistautuminen ylläpitäjille.
  3. Älä käytä ylläpitäjätunnuksena nimeä admin.
  4. Päivitä WordPress, teema ja lisäosat.
  5. Poista käyttämättömät lisäosat ja teemat.
  6. Asenna lisäosia vain luotettavista lähteistä.
  7. Käytä HTTPS-yhteyttä koko sivustolla.
  8. Ota säännölliset varmuuskopiot tiedostoista ja tietokannasta.
  9. Säilytä vähintään yksi varmuuskopio eri paikassa kuin webhotellilla.
  10. Testaa varmuuskopion palautus.
  11. Käytä tietoturvalisäosaa tai palvelintason suojausta harkiten.
  12. Tarkista käyttäjäroolit ja ylläpitäjätilit.
  13. Käytä SFTP-yhteyttä tavallisen FTP-yhteyden sijaan.
  14. Älä muuta tiedosto-oikeuksia sokkona.
  15. Seuraa poikkeamia, virhelokeja ja tietoturvahälytyksiä.

Yhteenveto

WordPress-sivuston suojaaminen ei vaadi yhtä suurta ja monimutkaista toimenpidettä. Paras tulos syntyy useista perusasioista, jotka tehdään huolellisesti.

Vahvat tunnukset, 2FA, päivitykset, varmuuskopiot, HTTPS, harkitut lisäosat ja säännöllinen seuranta muodostavat yhdessä hyvän tietoturvan perustan.

Kun ylläpidät sivustoasi säännöllisesti, pidät ohjelmistot ajan tasalla ja varaudut ongelmiin toimivilla varmuuskopioilla, pienennät merkittävästi riskiä joutua yleisten WordPress-hyökkäysten kohteeksi.