0
WordPress-sivuston tietoturvan parantaminen

WPGuideGuy-tiimi

Julkaistu 22.4.2023

WordPress-sivuston tietoturvan parantaminen

Käytä vain vahvoja salasanoja

Käytä vain vahvoja salasanoja WordPress-sivustollasi. Tämä on erittäin tärkeää sivustosi turvallisuuden kannalta ja ehkäisee hyvin, että sivustosi joutuisi hakkeroiduksi. Salasanan pitäisi olla ainakin 21 merkkiä pitkä ja sisältää erilaisia merkkejä, kuten isoja ja pieniä kirjaimia, symboleita ja numeroita.

Uutta salasanaa luodessa on hyvä käyttää esimerkiksi WordPressin omaa salasanan luomismekanismia (löytyy ”Muokkaa profiilia” => alhaalla on ”Aseta uusi salasana” -panike => ”Päivitä käyttäjätiedot”) tai sitten vaihtoehtoisesti voit käyttää Lastpassin salasana generaattoria täällä.

Vahvasalasana kannattaa lopuksi tallentaa tietoturvalliseen paikkaan, josta voit aina käydä hakemassa salasanan, kun kirjaudut WordPress-sivustollesi.

Rajoita kirjautumisyrityksiä

Kirjautumisyritysten rajoittaminen WordPress-sivustolla on yksi hyvä mekanismi vaikeuttaa hakkereiden pääsyä sivustollesi. Tällä tavoin voidaan vaikeuttaa jatkuvaa kirjautumispommitusta sivustollesi, kun annetaan vain tietyn määrän yrittää kirjautua ja sen jälkeen lukita IP-osoitteesta kirjautuminen tietyksi ajaksi. Tämä estää hyvin myös bottien kirjautumisyrityksiä, joita tapahtuu paljon WordPress-sivustoille.

Voit rajoittaa kirjautumisyrityksiä WordPress-sivustollasi tällä lisäosalla:

Poista turhat lisäosat ja teemat

Turhien lisäosien ja teemojen pitäminen WordPress-sivustolla on tietoturvan kannalta huonoa ja ne voivat mahdollisesti vaikuttaa negatiivisesti sivustosi suorituskykyyn. On tärkeää käyttää vain tarpeellisia lisäosia ja teemoja sekä päivittää ne säännöllisesti, sillä päivittämättömät lisäosat tai teemat voivat sisältää tietoturva-aukkoja, joita hakkerit voivat käyttää hyväkseen.

Yksi yleisimmistä syistä miksi WordPress-sivusto hakkeroidaan on juurikin päivittämätön lisäosa tai vanhentunut teema.

On hyvä myös muistaa, että mahdollisesti ajan tasallakin olevat lisäosat saattavat sisältää tietoturva-aukkoja, joten mitä enemmän lisäosia tai teemoja sivustollasi on, sitä enemmän saattaa olla tietoturva-aukkoja.

Päivitä lisäosat, teema ja WordPress säännöllisesti

WordPress-sivustosi lisäosat, teema ja WordPressin ydin kannattaa päivittää säännöllisesti. Tai aina, kun uusi päivitys on saatavilla. Näin saat pidettyä sivustosi tietoturvallisena ja vähennettyä mahdollisia tietoturva-aukkoja.

Ota varmuuskopio säännöllisesti ja ennen päivityksiä

Suositeltavaa on aina ennen isompia päivityksiä (esim. ennen WordPress-version päivitystä) ottaa sivustostasi varmuuskopio. Sekä, että osaat palauttaa varmuuskopion, mikäli sellaiselle tulee tarve. Aina kun teet isoja päivityksiä tai mikäli sivustosi on muuten monimutkainen, on päivitykset hyvä tehdä ensiksi kehitysympäristössä, joka vastaa täysin samaa kuin livenä oleva sivusto on.

Näin pystyt turvallisin mielin päivittämään WordPress-sivustosi, eikä sinun tarvitse pelätä, että jotain menee rikki.

Sivustosi varmuuskopioinnista kannattaa muutenkin huolehtia säännöllisin väliajoin ja säilyttää varmuuskopiota vähintään kahdessa eri lokaatiossa. Näin varmistat sivustosi jatkuvuuden, vaikka nykyinen palvelin tuhoutuisi missä WordPress-sivustosi sijaitsee.

Poista ylimääräiset käyttäjät sivustoltasi

WordPress-sivustolla ei kannata pitää ylimääräisiä käyttäjiä, varsinkaan ylimääräisiä käyttäjiä joilla on isot oikeudet sivustolle. Koska mikäli jonkun ei-aktiivisen käyttäjän käyttäjätunnus ja salasana saadaan haltuun jonkun ulkopuolisen toimesta, on heillä silloin pääsy WordPress-sivustollesi. Suositeltavaa on säännöllisin väliajoin tarkistaa WordPress-sivustosi käyttäjät ja poistaa mahdolliset turhat tai ei enää käytössä olevat käyttäjät.

Jos et ole varma, onko käyttäjälle edelleen tarvetta ja haluat pitää hänet käyttäjänä, voit laskea käyttäjän roolia ’Tilaajaksi’, jolloin käyttäjällä on vain kirjautumisoikeus WordPress-sivustollesi. Voit lukea täältä tarkemmin eri käyttäjäroolien oikeuksista.

Valitse palveluntarjoaja huolellisesti

Hyvä tietoturvakäytäntö alkaa jo palveluntarjoajan huolellisesta valinnasta. On tärkeää, että valitset kotisivuillesi palveluntarjoajan, joka on sitoutunut pitämään huolta tietoturvasta ja joka toteuttaa asianmukaisia turvallisuuskäytäntöjä. Palveluntarjoajan tulee noudattaa alan standardeja ja säännöksiä, ja sen tulee olla pätevä ja luotettava, kun puhutaan tietoturvasta.

Huolellinen palveluntarjoajan valinta on erityisen tärkeää silloin, jos kotisivusi käsittelee tai sisältää arkaluontoisia tietoja, kuten henkilökohtaisia tietoja tai pankkitietoja. Tietoturvan huomioiminen jo palveluntarjoajan valinnassa auttaa varmistamaan, että käyttäjien tietoja käsitellään asianmukaisesti ja että niiden turvallisuus on taattu.

Yleensä palveluntarjoajat jotka ovat sitoutuneet noudattamaan ja kehittämään tietoturvaansa ovat avoimia tämän asian suhteen, eli kertovat siitä mielellään, että heillä huolehditaan tietoturvasta.

Kaksivaiheisen tunnistautumisen käyttäminen

Kaksivaiheisen tunnistautumisen käyttöönotto WordPress-sivustollasi parantaa huomattavasti sivustosi tietoturvallisuutta, koska vaikka joku saisi haltuun käyttäjätunnuksen ja salasanan WordPress-sivustollesi, he eivät voi kirjautua tilille ilman toista todennusvaihetta. Tämä auttaa estämään pääsyn hakkereilta sivustollesi, jotka yrittävät murtautua sinne.

Kaksivaiheisen tunnistautumisen käyttöönotto kannattaa ottaa ainakin ylläpitäjille, koska heillä on laajimmat oikeudet WordPress-sivustollasi. Mikäli haluat tiukentaa sivustosi tietoturvaa, voit aina luodessa uutta käyttäjää muokata käyttäjien tietoja niin, että he käyttävät kaksivaiheista tunnistautumista. Katso täältä ohjeet kaksivaiheisen tunnistautumisen käyttöönottoon.

Tällä lisäosalla saat käyttöön kaksivaiheisen tunnistautumisen WordPress-sivustollesi:

Älä lataa epämääräisistä paikoista teemoja ja lisäosia

WordPressin lisäosia ja teemoja kannattaa vain ladata WordPressin sisältä tai WordPressin viralliselta sivustolta, eli täältä: https://wordpress.org/download/. Mitään lisäosia tai teemoja ei kannata ladata oudoilta sivustoilta, koska lisäosaan tai teemaan on saatettu syöttää saastunutta koodia, joka avaa hakkereille pääsyn verkkosivustollesi. Yleensä muuten maksulliset lisäosat tai teemat saattavat olla jollain hämärillä sivuilla ladattavissa ilmaiseksi ja yleensä juurikin näissä lisäosissa tai teemoissa on saastunutta koodia, koska se saa käyttäjän lataamaan, kun tarjolla on ilmaiseksi se, mikä muuten maksaisi.

Joten mieluimmin maksa lisäosan tai teeman hinta virallisia reittejä pitkin, kuin että vaarannat sivustosi mahdollisesti saastuneella lisäosalla tai teemalla.

WPGuideGuy-tiimi ylläpitää sivustoa ja tuottaa sisältöä sivustolle.

Kommentit

Näyttää siltä, että sinulla on mahdollisuus olla ensimmäinen kommentoija! Jäikö jotain kysyttävää artikkelista tai haluatko antaa palautetta? Jätä kommentti ja aloita kekustelu.

Jätä kommentti

Kommenttikäytäntö: Kommentointi on tervetullutta ja arvostamme aikaa, jonka lukijat käyttävät ideoiden jakamiseen ja palautteen antamiseen. Kaikki kommentit kuitenkin valvotaan manuaalisesti ja roskapostiksi tai yksinomaan myynninedistämistarkoituksessa pidetyt kommentit poistetaan.