Sivuston turvallisuus tai tämän tietoturva on usemmiten toisarvoinen asia mitä ajatellaan vasta, kun on liian myöhäistä.

Onko WordPress turvallinen?

WordPress itsessään on kehitetty jo vuosien ajan ja tietoturva on yksin pääseikoista, joita pidetään mielessä jokaista uudistusta ja päivitystä tehdessä. WordPress itsessään on siis turvallinen ja luotetta julkaisujärjestelmä. Tästäkin luotettavasti ja turvallisesta julkaisujärjestelmästä tekee kuitenkin alttiin kaikille haittaohjelmille ja tekijöille kolmannen osapuolen lisäosat(Plugins) ja teemat. WordPressin ollessa myös varsin suosittu julkaisujärjestelmä maailmanlaajuisesti – tekee se tästä myös kohteen monille tekijöille.

Uusia WordPress asennuksia tulee maailmalle päivittäin useita tuhansia ja asennukset kohdistuvat erilaisille palvelimille. Harva pitää WordPressin sellaisenaan – useimmat alkavat maustamaan sivustojaan kolmannen osapuolen lisäosille ja teemoilla. Yksi tunnetuimmista kolmannen osapuolen tuottavista koodeista, joissa havaittiin paha tietoturvaukko on TimThumb scripti. TimThumb scriptin tarkoitus on luoda sivustolle esikatselukuvia, pienentää ja suurentaa kuvia sekä leikata näitä. Ilman tämän tapaista scriptiä siis sinun tulisi leikata ja muodostaa oikeat kuvakoot omalla koneellasi jo valmiiksi sopivaksi sivustolle.

Ei siis vaadita kuin yksi tietoturva-aukko sivustossa, jonka kautta päästään syöttämään haitallista koodia sivustoon -> pahimmassa tapauksessa koko sivusto lakkaa toimimasta.

Mitä ne hakkerit sitten tekevät kun eteen sattuu sivusto, josta löytyy sopiva aukko? Mahdollisuuksia on monia mutta useimmiten hakkerit tekevät seuraavaa;

  • Suorittavat haittakoodia
  • Muodostavat piilotettuja linkkejä omille sivustoille(parantaakseen sijoittumista hakukoneissa)
  • Uudelleenohjaavat sivustolla kävijät toiselle sivustolle(jossa odottaa mahdollisesti lisää haittaa, joka kohdistuu itse sivustolla vierailevaan tahoon)
  • Piilottavat niin kutsuttuja takaovia(backdoors), jotta vaikka sivuston alkuperäinen haavoittuvuus korjattaisiin – hakkerille jää takaovi, josta tulla taas peliin mukaan.

Pitää kuitenkin tässä vaiheessa todeta, jotta kaikki sisällönhallinta -sekä julkaisujärjestelmät ovat luonteeltaan samanlaisia. Suuren suosion myötä mukaan tulee aina myös ne haittatekijät. Hyvinä uutisina voidaan kuitenkin pitää sitä, jotta WordPressin turvallisuuden parantaminen ja suojaaminen on suhteessa yksinkertainen prosessi.

Kuinka suojata WordPress sivusto

Alla oleva lista voi alkuun näyttää pitkältä ja vaikealta toteuttaa. Loppuviimein lista on kuitenkin tehty helpoksi toteuttaa ja jotkin asiat tapahtumat vain muutamalla hiiren klikkauksella. Tähän kuitenkin kannattaa sijoittaa se muutama minuutti sitä ylimääräistä aikaa, sillä se maksaa kaiken takaisin pitkässä juoksussa.

  1. Pidä WordPress järjestelmä ajantasalla ja tuoreimmassa versiossa
  2. Pidä kolmannen osapuolen lisäosat ja teemat ajantasalla ja tuoreimmissa versioissa
  3. Älä ikinä asenna lisäosia tai teemoja EI luotettavista lähteistä
  4. Hoida varmuuskopiot säännöllisesti tietokannasta sekä tiedostoista
  5. Luo uusi pääkäyttäjä ja poista olemassa oleva admin käyttäjätunnuksella oleva pääkäyttäjä. Muista siirtää poistettavan käyttäjän artikkelit uudelle pääkäyttäjälle.
  6. Älä julkaisu pääkäyttäjän käyttäjätunnusta missään. Luo siis tunnuksellesi lempinimi WordPressin käyttäjäasetuksista ja valitse tämä nähtäväksi yleisesti tunnuksen sijasta.
  7. Luo uusi ja vahva salasana pääkäyttäjätunnuksella, joka sisältää isoja kirjaimia, pieniä kirjaimia sekä erikoismerkkejä. Esimerkki: ”?!=¤Ild,+a!
  8. Asenna sisäänkirjautumisia rajoittava lisäosa kuten Limit Login Attempts
  9. Asenna WordPress File Monitor Plus niin pysyt ajantasalla mikäli muutoksia tehdään sivustosi tiedostoihin
  10. Asenna jokin näistä WordPressin tietoturvaa parantavista lisäosista: Wordfence Security, BulletProof Security tai Better WP Security.

Listaa voisi jatkaa muutamilla ylimääräisillä kohdilla miltein rajattomasti. Loppujen lopuksi kannattaa kuitenkin muistaa, jotta sellaista sivustoa ei olekkaan mitä ei voisi hakkeroida. Kuitenkin ylläolevia ohjeita seuraamalla teet sivustostasi huomattavasti turvallisemman. Haittatekijät hakevat usein helppoja kohteita, ei vaikeita.