WordPressin tietoturvan parantaminen

Jukka Peltoperä
Jukka Peltoperä
Julkaistu:  31.10.2013. Päivitetty:  23.3.2022.

WordPress on maailman suosituin julkaisujärjestelmä. Arviolta yli 60 prosenttia sellaisista sivustoista, joilla on käytössä jokin julkaisujärjestelmä, on tehty WordPressillä. Perässä hiipuvat Shopify (6,6 %), Wix (3,2 %) ja Squarespace (2,9 %).

WordPressin turvallisuuteen suhtaudutaan erittäin vakavasti, mutta kuten muissakin järjestelmissä, myös se kohtaa jatkuvasti erilaisia tietoturvaongelmia. Tässä jutussa käymme läpi joitakin yleisiä haavoittuvuuksia ja asioita, joita voit tehdä WordPressin tietoturvan parantamiseksi.

Jutussa esitetyt asiat ja toimet eivät ole mikään nopea ratkaisu WordPress-sivuston täydelliseen tilkitsemiseen hakkereilta, vaan pikemminkin katsaus siihen, minkälaisia asioita sen tietoturvassa kannattaa ottaa huomioon.

Mitä tietoturva on?

Tietoturva eli tietoturvallisuus tarkoittaa tiedon saatavuuden, luottamuksellisuuden ja eheyden ylläpitämistä.

Sen osina voivat olla esimerkiksi seuraavat asiat:

  • Saatavuus: tieto on saatavilla silloin, kun sitä tarvitaan.
  • Luottamuksellisuus: tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus.
  • Eheys: tieto ei saa muuttua tai muutos pitää havaita

Käytännössä täysin turvallisia järjestelmiä ei ole olemassa, ja tietoturvalla tarkoitetaan riskien vähentämistä, eikä poistamista.

Palveluntarjoaja

WordPress-sivuston tietoturvan parantamisessa hyvä lähtökohta on tietoturvallisen ympäristön tarjoavan palveluntarjoajan valitseminen.

Nykyään tarjolla on paljon vaihtoehtoja, ja vaikka palveluntarjoajat tarjoavat turvaa tietylle tasolle asti, on tärkeää ymmärtää, missä heidän vastuunsa päättyy ja "omavastuusi" alkaa.

Hyvä nyrkkisääntö on, että palveluntarjoajat ovat ensisijaisesti kiinnostuneet oman infrastruktuurinsa turvallisuudesta, eivät niinkään sinun WordPress-sivustosi turvallisuudesta.

Palveluntarjoajan vastuuta voidaan verrata internet-palveluntarjoajan vastuuseen. He antavat maksua vastaan käyttöösi internet-yhteyden, mutta vastaat itse päätepisteiden tietoturvasta, mukaan lukien reitittimet, tietokoneet, kannettavat tietokoneet ja mobiililaitteet.

Syy on yksinkertainen. He eivät kykene tarjoamaan ratkaisua, joka huomioi turvaketjun heikoimman lenkin: loppukäyttäjän eli sinut.

Kiinnitä palveluntarjoajan valinnassa huomiota seuraaviin asioihin:

  • Palveluntarjoaja ei kerro verkkosivuillaan vain palvelintehoista, levytiloista ja liikennöintirajoista, vaan kertoo myös, miten ympäristö on suojattu ulkoa tulevilta uhkilta.
  • Palveluntarjoaja tarjoaa uusimmat versiot kaikista palvelinohjelmistoista.
  • Palveluntarjoaja tarjoaa luotettavat menetelmät varmuuskopiointiin ja palautukseen.

Sovellukset

Vastuu WordPress-sivuston tietoturvasta on helppo siirtää palveluntarjoajalle, mutta todellisuudessa suurin vastuu lankeaa sivuston ylläpitäjälle.

Lähtökohtaisesti palveluntarjoaja vastaa vain verkkopalvelimen infrastruktuurista, ei palvelimelle asennettavista sovelluksista.

Ymmärtääksesi, miksi sovellukset ovat keskeisessä osassa verkkosivuston tietoturvaa, sinun on ymmärettävä, miten sivustoja hakkeroidaan.

Hakkerointi johtuu useimmiten sovelluksista ja vain harvoin palvelimen infrastruktuurista.

Turvallisuusteemat

Asioita, jotka kannattaa huomioida WordPress-sivuston turvallisuutta arvioitaessa:

  • Pääsyn rajoittaminen. Mitä sisääntulokanavia sivustolla on ja kenellä on oikeutettu pääsy niihin?
  • Eristäminen. Miten minimoida vahinkojen määrä siinä tapauksessa, että sivuston integriteetti on vaarantunut?
  • Valmistautuminen. Kuka ja miten usein sivustosta otetaan varmuuskopio ja missä varmuuskopioita säilytetään?
  • Luotettavat lähteet. Mitä vaatimuksia ulkoasuteemojen ja lisäosien suunnittelijoille on asetettu?

Tietokoneen haavoittuvuudet

WordPress-sivustoa hallitaan yleensä tietokoneella. WordPressin tai palveluntarjoajan suojaukset menettävät merkityksensä jos tietokoneellesi on asennettu keylogger-ohjelma.

Pidä käyttöjärjestelmä, ohjelmat ja verkkoselain ajan tasalla tarkistamalla ja asentamalla päivitykset säännöllisesti.

Tarkista käyttämäsi verkkoselaimen tietosuoja-asetukset, ja käytä selaimessa luotettavaa tietoturvalaajennosta, kuten NoScript tai uBlock Origin.

WordPress-asennuksen haavoittuvuudet

WordPress-ohjelmistoon tulee jatkuvasti uusia päivityksiä, jotka paikkaavat ohjelmistosta löytyneitä haavoittuvuuksia ja parantavat tietoturvaa.

Uusiin WordPress-versioihin tärkeät tietoturvapäivitykset tehdään automaattisesti, mutta vanhempia versioita ei enää ylläpidetä.

WordPressin päivittäminen

Uusin WordPress-versio on aina saatavilla WordPressin sivustolta https://wordpress.org/. Älä lataa WordPressiä muualta kuin viralliselta sivustolta.

Versiosta 3.7 lähtien WordPress on tarjonnut automaattiset päivitykset. Käytä toimintoa, mikäli et kirjaudu WordPress-sivustosi hallintaan esimerkiksi päivittäin tai edes viikoittain ja tee yhden klikkauksen päivityksiä.

Lue lisää WordPressin päivittämisestä virallisilta sivuilta.

Kun WordPressissä havaitaan uusi haavoittuvuus ja ongelman korjaamiseksi julkaistaan uusi versio, haavoittuvuus on todennäköisesti julkinen, toisin sanoen kuka tahansa voi hyödyntää sitä hyökkäyksissä.

Palvelinohjelmiston haavoittuvuudet

Palvelinohjelmisto, jolle WordPress asennetaan, voi sisältää haavoittuvuuksia. Varmista palveluntarjoajalta, että käyttämälläsi palvelimella on käytössä uusin ja turvallisin versio palvelinohjelmistosta.

Jos WordPress-sivustosi sijaitsee jaetulla palvelimella, joka isännöi myös muita verkkosivustoja), ja samalla palvelimella oleva toinen sivusto on vaarantunut, on mahdollista, että myös sinun sivustosi on vaarantunut.

Tiedustele palveluntarjoajaltasi, mitä tietoturvatoimia he noudattavat pitääkseen palvelinohjelmiston turvallisena.

Tietoverkon haavoittuvuudet

Tietoverkon molempiin päihin (asiakkaan ja WordPress-palvelimen) on voitava luottaa.

Se voi tarkoittaa esimerkiksi kotireitittimen palomuurisääntöjen päivittämistä ja tiettyä varovaisuutta siihen, mistä verkoista palvelimeen otetaan yhteyttä. Nettikahvila, jonka avoimesta verkosta lähetetään tietoja salaamattoman yhteyden kautta ei ole luotettava.

Salasanat

Monet potentiaaliset haavoittuvuudet voidaan välttää hyvällä tietojenkäsittelytavalla. Tärkeä osa sitä on vahvojen salasanojen käyttäminen.

Salasalasi tehtävä on tehdä sen arvaaminen tai brute force -murtaminen mahdottomaksi. Monet salasanageneraattorit tekevät siinä hyvää työtä.

Huonot salasanat:

  • Tunnetut sanat, kuten "salasana", oman, yrityksen tai verkkosivuston nimi tai sen muunnelma, tai mikä tahansa sanakirjasta millä tahansa kielellä löytyvä sana murtuu sekunneissa.
  • Liian lyhyt tai pelkkiä kirjaimia tai numeroita sisältävä salasana.
  • Helposti tunnistettavissa oleva salasana, kuten sukunimi+syntymävuosi.

Hyvät salasanat:

  • Sisältää vähintään 16 merkkiä isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.
  • Uniikki salasana kaikkiin palveluihin.
  • Älä kirjoita salasanoja muistiin.
  • Älä jaa salasanaa muille.
  • Käytä kaksivaiheista tunnistautumista.
  • Käytä salasanojen hallintaohjelmistoa, kuten 1Password tai LastPass.

FTP

Ottaessasi yhteyttä palvelimeen, käytä SFTP-salausta jos mahdollista. Ellet ole varma tukeeko palveluntarjoajasi SFTP:tä, kysy heiltä.

SFTP toimii samoin kuin FTP, mutta salasanat ja muu tieto välitetään salattuna, eikä sitä voi kaapata.

Tiedosto-oikeudet

WordPressillä on oikeus paitsi lukea palvelimella olevia tiedostoja, myös kirjoittaa niihin ja ajaa niitä. Jos tiedosto-oikeuksia on liikaa, se voi olla vaarallista.

Varmista, että kaikki tiedostot ja kansiot ovat käyttäjätilisi omistuksessa ja voit kirjoittaa niihin.

Mikäli et ole varma, tiedustele palveluntarjoajaltasi oikeita tiedosto-oikeuksia WordPressille.

Turvaa wp-admin

Lisäämällä wp-admin -kansioon palvelintason salasanasuojauksen, lisäät toisen kirjautumiseen toisen turvallisuustason.

Osa tietoturvalisäosista mahdollistaa wp-admin -kansion nimen muuttamisen.

Huom! Palvelintason salasanasuojaus voi rikkoa osan WordPressin toiminnallisuuksista.

Turvaa wp-config.php

Wp-config.php on WordPress-asennuksen juuressa oleva konfigurointitiedosto, joka sisältää muun muassa käyttäjätunnuksen ja salasanan MySQL-tietokantaan.

Älä koskaan säilytä vanhoja versioita wp-config.php-tiedostosta palvelimen juuressa.

Lisäosat

Pidä WordPress-lisäosat aina ajan tasalla päivittämällä ne säännöllisesti uusimpiin versioihin. Voit myös automatisoida lisäosien päivittämisen.

Varmista, että lisäosat tulevat hyvämaineisilta yrityksiltä, ja tutustu lisäosien saamaan palautteeseen wordpress.orgissa.

Palomuurilisäosa

Voit lisätä WordPress-sivuillesi uuden turvallisuustason asentamalla palomuurilisäosan, kuten iThemes Security tai Wordfence.

Sivustotason palomuuri voidaan asentaa myös nettiliikenteen ja palveluntarjoajan välille. Haitallista liikennettä ehkäiseviä palveluja tarjoaa muun muassa CloudFlare.

Tietojen peittäminen

Kun luot ylläpitäjän tiliä WordPressiin, älä käytä käyttäjätunnuksena mitään yleistä tai arvattavissa olevaa nimeä, kuten admin, administrator, webmaster, root TAI author-sivuilla näkyvää käyttäjänimeä. Ne ovat alttiita brute force -hyökkäyksille.

Käyttäjätunnusta ei voi muokata jälkikäteen asetuksista, vaan se täytyy tehdä tietokantaa muokkaamalla tai erillisellä lisäosalla.

Varmuuskopiot

Selvitä palveluntarjoajaltasi ottaako se varmuuskopioita verkkosivustostasi ja jos, niin kuinka usein.

Ota varmuuskopioita myös itse joko lisäosalla, cPanelista, phpMyAdminista, komentoriviltä tai etähallintaohjelmistolla.

Säilytä varmuuskopioita muualla kuin samalla palvelimella WordPress-asennuksen kanssa.

Kerää ja monitoroi lokitietoja

Lokitiedot ovat paras ystäväsi, kun sinun tulee tietää, mitä sivustollasi on viimeksi tapahtunut. Niistä selviää myös tapahtumien IP-osoitteet ja aikaleimat.

Selvitä palveluntarjoajalta, mitä lokitietoja ne keräävät, onko sinulla pääsy niihin ja miten pitkältä ajalta lokitietoja säilytetään.

Myös tietoturvalisäosilla on mahdollista kerätä lokitietoja. Selvitä kuitenkin tietojen keräämisen lainmukaisuus.

Miten hakkeroinneilta voi suojautua?

  • Käytä turvallisia salasanoja, jotka ovat vähintään 12 merkkiä pitkiä, sisältävät pieniä ja isoja kirjaimia, numeroita sekä erikoismerkkejä.
  • Vaihda käyttämäsi salasana säännöllisesti.
  • Ota säännöllisesti varmuuskopio tietokannasta ja koko sivustosta, tiedostot mukaan lukien.
  • Päivitä WordPress, ulkoasuteemat ja lisäosat säännöllisesti uusimpiin versioihin.
  • Asenna hyvä tietoturvalisäosa.
  • Jos käyttäjätunnuksesi on admin, vaihda se.
  • Tee suositellut toimenpiteet WordPress-asennuksen tietoturvan parantamiseksi.
  • Kerää lokitietoja ja monitoroi sivustolla tapahtuvia muutoksia ja kävijäliikennettä.
  • Rekisteröidy Googlen Verkkovastaavan työkaluihin, niin saat heti sähköposti-ilmoituksen kun Google huomaa sivustolla haittaohjelmia tai muuta epämääräistä.
  • Käytä tarvittaessa myös muita ulkopuolisia palveluita.

Tarvitseko apua WordPress-sivustosi tietoturvan parantamisessa?

Voimme auttaa mm. näissä asioissa:

  • Paljastavien tietojen ja versionumeroiden piilottaminen lähdekoodista
  • Automaattisten varmuuskopioiden ottaminen halutuin väliajoin. Varmuuskopion voi lähettää ajoitettuna myös sähköpostitse.
  • Ohjausnäkymän piilottaminen kokonaan tai esim. tiettyinä kellonaikoina.
  • Tunnettujen haitallisten hostien ja user agenttien pääsyn estäminen kokonaan.
  • Brute-force -hyökkäysten ehkäiseminen.
  • Haavoittuvuuksia etsivien bottien liikenteen ehkäiseminen.
  • Pitkien URL-osoitteiden skannauksen ehkäiseminen.
  • Käyttäjätunnuksen, käyttäjä-ID:n ja salasanan vaihtaminen.

Pyydä ilmainen tarjous!

Lisää juttuja aiheesta

10.5.2022
Mikä on halvin webhotelli?
Jukka Peltoperä

Web-suunnittelijana sanon aina, että hyvä hosting ei ole paikka säästää silloin, kun yritys aikoo tosissaan löytyä netistä ja tehdä siellä verkkoliiketoimintaa. Vaikka pysyn sanojeni takana, myönnän, että joillakin on joskus […]

Lue juttu
8.4.2022
Näin piilotat PHP-varoitukset ja -ilmoitukset WordPressissä
Jukka Peltoperä

PHP-varoitukset ja -ilmoitukset tarjoavat hyödyllistä tietoa kehittäjille, mutta tavallisten kävijöiden ei ole hyvä nähdä niitä. PHP-varoituksia ja -ilmoituksia voi ilmaantua näkyviin sivuillasi esimerkiksi silloin, kun muutat käytössä olevan PHP-version tai […]

Lue juttu
21.2.2022
WordPress ja puuttuva "Ota automaattiset päivitykset käyttöön" -linkki
Jukka Peltoperä

WordPress-sivustoja ylläpitäneet tietävät, että julkaisujärjestelmä osaa päivittää itse itsensä, kun siihen ilmestyy uusi tietoturvapäivitys. WordPress osaa myös tarkistaa säännöllisesti, onko asennettuihin ulkoasuteemoihin ja lisäosiin tullut uusia päivityksiä ja ilmoittaa niistä […]

Lue juttu
27.1.2022
WordPress ja "Toinen päivitys on jo käynnissä" -ongelma
Jukka Peltoperä

Kuten varmasti tiedät, WordPress-julkaisujärjestelmään, lisäosiin ja ulkoasuteemoihin tulee jatkuvasti uusia päivityksiä, jotka tuovat niihin uusia ominaisuuksia ja parannuksia sekä korjaavat löydettyjä bugeja ja haavoittuvuuksia. Vaikka WordPressin ja lisäosat voi asettaa […]

Lue juttu
8.12.2021
Title-tagi ja parhaat käytännöt
Jukka Peltoperä

Hyvän otsikon kirjoittaminen olennainen taito jokaiselle, joka tekee hakukoneoptimointia. Miksikö? Koska se on ensimmäinen asia, jonka käyttäjät näkevät hakutuloksissa ja yksi tärkeistä tekijöistä, joita Google käyttää arvioidessaan sivun aihetta. Mikä […]

Lue juttu
Jukka Peltoperä
Jukka Peltoperä
FM, tietojenkäsittelytieteet, Oulun yliopisto. Yrittäjä. Yli 20 vuoden kokemus web-suunnittelusta, web-teknologioista, WordPressistä, hakukoneoptimoinnista, sisällöntuotannosta ja digitaalisesta markkinoinnista.