WordPress turvallisuus | Opas verkkosivujen turvaamiseen

WordPress on maailman käytetyin sisällönhallintajärjestelmä (CMS). Sen suosion taustalta löytyy monia hyviä syitä, kuten kattavat muokkausmahdollisuudet.

Vaikka WordPress on rakennettu useiden kehittäjien ylläpitämälle turvalliselle ohjelmistolle, jota parannellaan jatkuvasti, on sen suosio tehnyt siitä myös houkuttelevan kohteen tietoturvahyökkäyksille.

Olipa kyseessä yksinkertainen WordPress-blogi tai laajempi verkkosivusto, tietoturvan tulisi olla aina etusijalla. Huolehtimalla sivustosi turvallisuudesta voit vähentää riskiä, että sivustosi tai tietosi joutuisivat haitallisten hyökkäysten kohteeksi.

Onneksi WordPress-sivustojen suojaaminen ei vaadi syvällistä teknistä osaamista. Tässä oppaassa on listattu toimenpiteitä, joilla voit helposti parantaa kotisivujesi tietoturvaa.

Miksi WordPress tietoturva on tärkeää?

Huolehtimalla WordPress-tietoturvasta voit suojata sivustoasi kyberhyökkäyksiltä, jotka voivat vaarantaa tietosi, kaataa sivustosi tai jopa johtaa identiteettivarkauteen.

Hakkerihyökkäyksen tyypillinen tarkoitus on varastaa henkilökohtaisia tietoja, levittää haittaohjelmia tai ottaa verkkosivusto hallintaansa. Turvaamalla WordPress-sivustosi suojaat siis sekä itseäsi, käyttäjiäsi että yrityksesi mainetta.

WordPressin suojaaminen: Käytännön opas

Tässä osiossa luettelemme erilaisia turvatoimia, joiden avulla voit suojata WordPress-sivustoasi.

Turvallinen WordPress-hosting

Jotta kotisivuillasi olisi mahdollisimman turvallinen perusta, on tärkeää valita tietoturvaan panostava hosting-palveluntarjoaja. Valitse hosting-palvelu, joka sisältää suojauksen haittaohjelmia vastaan, automaattiset varmuuskopiot ja SSL-sertifikaatin.

Hyvä WordPress-hosting tarjoaa myös asiakastuen. Tämä takaa parhaat lähtökohdat verkkoprojektisi aloittamiseen.

Pidä WordPress päivitettynä

Yksi tärkeimmistä toimenpiteistä kotisivujen turvallisuuden varmistamiseksi on WordPressin säännöllinen päivittäminen. WordPress julkaisee jatkuvasti uusia päivityksiä, jotka korjaavat haavoittuvuuksia, joten pitämällä WordPress-ytimen, -teemat ja -lisäosat ajan tasalla vähennät merkittävästi verkkohyökkäysten riskiä.

Vaikka sivustosi lisäosineen toimisivat moitteettomasti, niissä voi silti piillä vikoja ja haavoittuvuuksia, joita et huomaa ennen kuin on liian myöhäistä. Näiden riskien välttämiseksi on tärkeää pitää kaikki päivitykset ajan tasalla.

Tärkeiden päivitysten ohittaminen on melkein kuin jättäisit kotisi ulko-oven auki, mitä useimmat meistä eivät tekisi kovin turvallisin mielin.

Jos haluat välttää manuaalisten päivitysten aiheuttaman vaivan ja lisätä verkkosivujesi turvallisuutta, suosittelemme Managed WordPress -palvelua, jossa varmistamme, että kotisivusi ovat aina ajan tasalla ja toimivat niin kuin pitääkin. Voit lukea lisää Managed WordPressistä myöhemmin tässä artikkelissa.

SSL ja HTTPS

SSL on lyhenne sanoista Secure Sockets Layer. Se on protokolla, joka salaa tiedonsiirron verkkosivuiltasi käyttäjän selaimelle. Aktivoimalla kotisivuillesi SSL:n estät ei-toivottuja kolmansia osapuolia ja hakkereita pääsemästä käsiksi omiin tai käyttäjien henkilökohtaisiin tietoihin, kuten luottokorttinumeroihin, salasanoihin ja muihin arkaluonteisiin tietoihin.

Kun SSL-sertifikaatti aktivoidaan verkkosivustollesi, sen osoite muuttuu HTTP:stä HTTPS:ksi, joka on turvallinen salausprotokolla. Kun SSL-sertifikaatti on aktivoitu, selaimen osoitepalkin yläreunassa, verkkosivustosi URL-osoitteen vasemmalla puolella, näkyy myös riippulukko-kuvake. Lukkokuvake kertoo kävijöille, että WordPress-sivustosi on suojattu.

Tavallisesti SSL-sertifikaatista on maksettava, mutta jos tilaat WordPress-hostingin one.comin kautta, SSL-sertifikaatti sisältyy hosting-pakettiisi riippumatta siitä, minkä paketin valitset.

Vahvat salasanat

Kaikille on selvää, että vahvat salasanat ovat keskeisiä tietoturvan suhteen, mutta usein valitsemme silti salasanan, joka on helposti muistettava. Tämä voi kuitenkin johtaa ongelmiin, sillä heikot tai usein käytetyt salasanat voivat altistaa tietoturvahyökkäyksille ja henkilökohtaisten tietojen väärinkäytölle. Mitä useammassa paikassa käytät samaa salasanaa, sitä enemmän riskejä otat. Siksi WordPress-sivustolla on tärkeää käyttää vahvoja ja ainutlaatuisia salasanoja.

Vahva salasana:

• Sisältää vähintään 12 merkkiä
• Ei ole käytössä useissa eri paikoissa
• Ei ole jaettu muiden kanssa
• Ei ole muunnelma jostain muusta salasanastasi
• Sisältää yhdistelmän isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä (! & @).

Jos sinulla on vaikeuksia muistaa kaikkia salasanojasi, salasanojen hallintasovellus voi olla avuksi. Tällainen ohjelma, sovellus tai verkkosivusto tallentaa kaikki salasanasi yhteen paikkaan.

Salasanojen hallintasovellus suojaa kaikki salasanasi yhden pääsalasanan taakse. Näin voit päästä käsiksi kaikkiin salasanoihisi muistamalla vain yhden pääsalasanan.

Lue lisää salasanojen suojauksesta artikkelistamme viisi tapaa suojata WordPress-sivut salasanalla.

Kaksivaiheinen tunnistautuminen (2FA)

Kaksivaiheinen tunnistautuminen edellyttää kirjautumisen yhteydessä salasanan lisäksi toista todennusmenetelmää. Se voi olla yksilöllinen kertakäyttökoodi, joka lähetetään tekstiviestillä puhelinnumeroosi, tai tunnistautumissovelluksen luoma koodi, kuten Google Authenticator.

Joissakin tapauksissa myös sormenjälkeä tai kasvojentunnistusta voidaan käyttää todennuksena, jos puhelimestasi tai tabletistasi löytyvät nämä ominaisuudet.

2FA tarjoaa lisäsuojaa hyökkäyksiä vastaan, koska hakkeri ei pääse verkkosivustollesi, vaikka hän tietäisi salasanasi.

Jos WordPress-sivustosi sijaitsee one.comilla, voit suojata kotisivusi vielä paremmin ottamalla käyttöön Advanced Login Protection -toiminnon suoraan hallintapaneelistasi.

Ota huomioon käyttäjäoikeudet

Onko muillakin henkilöillä pääsy WordPress-sivustoosi? Käyttäjäoikeuksia on tärkeää hallita huolellisesti. Jokainen uusi käyttäjä voi luoda tilaisuuden hakkereille, joten anna käyttäjille vain ne oikeudet, joita he todella tarvitsevat. Jos joku esimerkiksi auttaa sinua sivustosi tekstien oikolukemisessa tai kirjoittamisessa, voit antaa hänelle vain muokkausoikeudet ylläpitäjän oikeuksien sijaan.

WordPress tarjoaa useita eri tilanteisiin sopivia käyttäjärooleja. Jos käyttäjä oikolukee koko sivustosi sisältöä, voit antaa hänelle päätoimittajan (Editor) roolin. Jos käyttäjä kirjoittaa ja muokkaa vain omia artikkeleitaan, hänelle riittää kirjoittajan (Author) rooli.

Käyttäjät kannattaa tarkistaa säännöllisesti, ja turhat käyttäjät on hyvä poistaa.

Valitse vahva WordPress-ylläpitäjän käyttäjätunnus

Salasana ei ole ainoa asia, jonka pitäisi olla vahva ja ainutlaatuinen. Myös WordPress-ylläpitäjän käyttäjätunnuksen tulisi olla uniikki, jotta riskit mahdollisten hyökkäysten suhteen vähenevät. WordPress-sivuston luomisen jälkeen voit vaihtaa käyttäjätunnuksen manuaalisesti phpMyAdminin wp_users-taulukossa. one.comilla tämä työkalu on esiasennettuna hosting-pakettiisi.

Pääset PHP- ja tietokanta-asetuksiin ohjauspaneelisi kohdasta ‘Lisäasetukset’.

1. Etsi wp_users-taulukko (taulukon nimi voi olla myös 0_users).
2. Etsi admin-käyttäjätunnus ja napsauta Muokkaa.
3. Kirjoita user_login-kohdassa Value-kenttään uusi käyttäjätunnus.
4. Tallenna napsauttamalla Go. 

Luo varmuuskopioita

Vaikka WordPress-sivusto olisikin suojattu hyvin, se voi silti vahingoittua teknisen virheen tai kyberhyökkäyksen takia. Niiden varalta sivustoa kannattaa turvata varmuuskopioilla. Varmuuskopion avulla voit palauttaa verkkosivustosi ja sen toiminnot helposti ja estää pitkät käyttökatkokset, jotka voisivat vahingoittaa yrityksesi mainetta ja tuloja.

Vältä vaarallisia lisäosia

WordPressille on tarjolla suuri määrä ilmaisia ja maksullisia WordPress-lisäosia, joilla sivustolle voi lisätä erilaisia toimintoja. Valitettavasti jotkut lisäosat voivat heikentää sivustosi turvallisuutta tai johtaa sellaisiin teknisiin ongelmiin, jotka estävät sivuston toiminnan kokonaan.

WordPress-sivustolle mahdollisesti vaarallisia lisäosia on pitkä lista. Täältä löydät kattavan luettelon WordPress-lisäosista, joita kannattaa välttää.

Suosittelemme seuraavia lisäosia, sillä ne tarjoavat vahvan tietoturvan ja varmistavat, että kotisivujesi suorituskyky on aina huippuluokkaa.

Valikoima turvallisia WordPress-lisäosia:

• Contact Form 7
• Contact Form by WP Forms
• Imagify
• Jetpack
• Site Kit by Google
• Social Media Share Buttons
• WooCommerce
• WP Mail SMTP
• YARPP
• Rank Math SEO
• WP Rocket

Poista lisäosat, joita et enää tarvitse

Turhat lisäosat kannattaa aina poistaa, sillä suuri määrä lisäosia voi heikentää tietoturvaa. Tarkista käyttämäsi lisäosat säännöllisesti ja poista ne, joita et ole käyttänyt pitkään aikaan. Varmista kuitenkin ensin, ettei kyseinen lisäosa sisällä sivustosi tärkeitä toimintoja.

Poista PHP-komentosarjan suoritus

one.comilla voit asentaa WordPressin vain yhdellä napsautuksella. Mikäli käytit tai aiot käyttää yhden napsautuksen asennusta, voit ohittaa tämän kohdan.

Jos asensit WordPressin manuaalisesti, PHP-komentosarjan suoritus on poistettava käytöstä latauskansiossa. Näin estät sellaiset kyberhyökkäykset, joissa haittaohjelmat leviävät PHP:n kautta muualle sivustoosi.

Poista PHP-komentosarjan suoritus käytöstä lisäämällä seuraavat koodirivit .htaccess-tiedostoon, joka löytyy upload-kansiosta (wp-content/uploads).

# Block executables
<FilesMatch ".(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
    deny from all
</FilesMatch>

Haavoittuvuuksien seuranta

Haavoittuvuuksien seuranta tarkastaa WordPress-sivustosi ja etsii siitä mahdolliset haavoittuvuudet, joita hakkerit voivat hyödyntää. Haavoittuvuuksien seuranta tarkastaa kaikki sivustosi osat sen teemat ja lisäosat mukaan lukien, mikä vähentää merkittävästi virheiden ja verkkohyökkäysten riskiä.

Valitsemalla WordPress-hostingpalvelun, joka tarjoaa automaattisen päivittäisen haavoittuvuuksien seurannan, voit varmistaa, että sivustosi on aina suojattu hyökkäysten varalta.

Valitse Managed WordPress ja hyödy vieläkin paremmasta turvallisuudesta

Päivitysten, varmuuskopioiden ja muiden turvatoimien tekeminen itse voi olla aikaa vievää ja vaivalloista. Jos haluat välttää vaiva ja säästää aikaa, valitse jokin Managed WordPress-paketeistamme, joihin kuuluvat mm. seuraavat ominaisuudet:

• Haavoittuvuuksien seuranta automaattisilla tietoturvakorjauksilla
• Automaattiset lisäosa- ja teemapäivitykset visuaalisilla testeillä
• Käytettävyysaikojen seuranta sovelluksen kautta

Managed WordPressin avulla vapautat enemmän aikaa tärkeimpiin projekteihisi, eikä sinun tarvitse huolehtia WordPress-sivujen ylläpidosta.

Tee WordPress-sivuistasi kestävämmät

Noudattamalla tässä artikkelissa kuvattuja vaiheita voit parantaa merkittävästi WordPress-sivujesi tietoturvaa. Säännölliset päivitykset, vahvat ja uniikit salasanat, turvallinen WordPress-hostingpalvelu ja muut mainitut suojaustoimenpiteet pitävät sivustosi ja käyttäjäsi turvassa.