Suositusta WordPress-sisällönhallintajärjestelmästä on tullut hyvin yleinen. Tässä artikkelissa haluamme antaa sinulle muutamia vinkkejä WordPress-asennuksen suojaamiseen.
WordPressin suuren levinneisyyden vuoksi se on valitettavasti myös suosittu hakkerien kohde, ja valitettavasti WordPress-asennuksiin kohdistuu yhä uudelleen automaattisia hyökkäyksiä, joissa tarkistetaan, sisältävätkö ne tunnettuja tietoturva-aukkoja.
Siksi on erittäin tärkeää, että pidät WordPressin aina ajan tasalla. Ammattikäytössä on siis järkevää antaa WordPressin päivittäminen toimiston tehtäväksi ja valita web-hoster, joka käyttää myös palomuuria järjestelmän suojaamiseksi mahdollisimman hyvin tunnetuilta hyökkäyksiltä.
Olemme listanneet tähän tärkeimmät kohdat siitä, miten voit suojata WordPress-asennuksesi.
[tie_list type="checklist"]- Pidä WordPress aina ajan tasalla
WordPress ei ole vain blogien ohjelmisto, vaan se voidaan myös varustaa monilla erilaisilla toiminnoilla niin sanottujen laajennusten avulla. Monet käyttäjät käyttävät erityisiä lisäosia ja malleja (teemoja) yksittäisiä verkkosivustoja varten. Hyökkäysten suurin ongelma on asennusten päivitysten puute.
Vihje: Jos mahdollista, valitse WordPress-asennusta varten web-isäntä, jossa on hallintakäyttöliittymä, joka auttaa sinua päivittämään WordPressiä ja lisäosia. Suosituksemme on käyttää Plesk hallintaohjelmistona.
Aktivoi WordPressin automaattinen päivitys.
Ohjelmisto pysyy aina ajan tasalla. Tämä on mahdollista myös monille Plusinsille.
On suositeltavaa kirjautua WordPressin hallintakäyttöliittymään säännöllisesti ja tarkistaa ohjelmiston nykyinen tila. WordPress näyttää suoraan, onko päivityksiä saatavilla.
Ongelmallisempia ovat teemat eli valmiit mallit, jotka yleensä sisältävät maksullisia lisäosia. Näitä teemoja ei yleensä asenneta automaattisesti, vaan ne on päivitettävä manuaalisesti. Tätä varten sinun on ladattava teeman nykyinen versio valmistajalta ja kopioitava se themes-hakemistoon. Päivityksen jälkeen teeman hallinnassa on yleensä tehtävä vain muutamia asetuksia.
[tie_list type="checklist"]- Käytä salattuja yhteyksiä.
WordPressin kirjautumistiedot ovat erittäin haluttuja, ja niitä voidaan helposti vakoilla turvattomassa verkossa, esimerkiksi kirjautuessasi ravintolan tai hotellin avoimeen wlaniin.
Sen vuoksi kotisivuja varten on aina käytettävä varmenteita. On parasta valita web-hoster, joka voi perustaa varmenteen puolestasi. Tämä maksaa vain muutaman euron vuodessa, kun asennuksesi suojataan ammattimaisesti.
Varmista aina, että sinulla on salattu pääsy WordPress-asennukseesi osoitteessa https:// sekä suojattu sähköpostiyhteys ja tarvittaessa turvallinen kirjautuminen FTP-pähkinän kautta. Kun olet käyttänyt salaamatonta yhteyttä, suosittelemme, että vaihdat kaikki salasanat välittömästi.
[tie_list type="checklist"]- Tallenna wp-login.php-tiedosto.
Voit myös nimetä wp-admin-hakemiston uudelleen, mutta tämä voi aiheuttaa ongelmia WordPressin toiminnallisuuden kanssa. Helppo tapa suojautua useimpia bruteforce-hyökkäyksiä vastaan, joissa salasanat yksinkertaisesti arvataan, on sisällyttää koodi .htaccess-tiedostoon. Tämä voidaan yhdistää hyvin salasanasuojaukseen.
[tie_list type="checklist"]- Suojaa hallintahakemisto salasanalla.
Lisäksi tämä hakemisto on suojattava salasanalla. Palveluntarjoajasi tarjoaa mahdollisuuden asettaa hakemistosuojaus tietyille hakemistoille. Suojaa hallintahakemisto monimutkaisella käyttäjänimellä ja salasanalla, joka on vähintään 12 merkkiä pitkä ja sisältää erikoismerkkejä. Älä koskaan valitse salasanoja, jotka ovat vain 8 merkkiä pitkiä. Niitä pidetään nykyään yleisesti turvattomina, ja ne voidaan yleensä murtaa nopeasti, koska ne on jo valmiiksi laskettu salaustyypistä riippuen.
Avaa .htaccess-tiedosto salasanasuojauksen jälkeen ja lisää seuraava koodi:
ErrorDocument 401 "Lukittu
ErrorDocument 403 "Lukittu
# Salli liitännäisten pääsy admin-ajax.php:hen salasanasuojauksesta huolimatta.
<Files admin-ajax.php>
Määräys sallia,kieltää
Sallitaan kaikilta
Tyydyttää kaikki
</Files>
Näin varmistetaan, että WordPress-liitännäiset voivat edelleen kutsua tiedostoja.
[tie_list type="checklist"]- Käytä mahdollisimman paljon laajasti saatavilla olevia laajennuksia ja teemoja.
Liitännäiset ovat yleensä vastuussa WordPressin tietoturva-aukoista. Liitännäiset ja teemat ovat pieniä ohjelmistopaketteja, joita tarjoavat kolmannen osapuolen tarjoajat. Periaatteessa ajatus on hyvä, mutta nykyään on monia epäilyttäviä palveluntarjoajia ja myös palveluntarjoajia, joilla ei yksinkertaisesti ole tietoa ja jotka siksi luovat ohjelmistoja, joissa on tietoturva-aukkoja. Maallikolla ei ole käytännössä mitään suojaa tätä vastaan. Siksi suosittelemme käyttämään vain sellaisia lisäosia, jotka on jo asennettu hyvin usein ja joilla on hyvä luokitus.
Älä käytä ilmaisia teemoja, jotka voit ladata miltä tahansa verkkosivustolta. Osta teema esimerkiksi Themeforestista tai Templatemonsterista niin sanotulta eliittitoimittajalta, eli ammattimaisilta ohjelmointitiimeiltä, jotka ovat tuottaneet suuren liikevaihdon.
Kiinnitä huomiota myös viimeisimmän asennuksen päivämäärään. Palveluntarjoajia, jotka eivät päivitä laajennuksiaan ja teemojaan tai jotka ovat jo lopettaneet kehityksen, ei suositella.
[tie_list type="checklist"]- Poista käyttämättömät teemat ja laajennukset
Kun verkkosivustosi on valmis ja haluat aloittaa, suosittelemme aina käyttämättömien lisäosien ja teemojen poistamista kokonaan. Tämä koskee myös WordPressin omia teemoja, joita ei voi poistaa yhtä helposti. Mahdolliset hyökkääjät haluavat piilottaa tiedostonsa näihin vakiohakemistoihin, joten on suositeltavaa poistaa käyttämättömät tiedostot kokonaan. Voit tehdä tämän hallintaliittymän tai FTP:n kautta. Poista vain teemahakemistosta ne hakemistot, joita et käytä.
[tie_list type="checklist"]Käytä sovellusten palomuuria
[/tie_list]Jos mahdollista, kannattaa käyttää sovelluspalomuuria. Tämä on ohjelmisto, joka tarkistaa jokaisen yhteyden ja tarjoaa monia mahdollisuuksia mahdollisten hyökkäysten estämiseksi.
Monilla palveluntarjoajilla on ilmaisia vaihtoehtoja, kuten fail2ban (suositellaan), mod_security Käytä WAF:ia tunnettujen hyökkäysten tai epäilyttävien tunnettujen IP-osoitteiden estämiseen. Jaetuissa hosting-ympäristöissä, eli pienillä hosting-tileillä, tämä ei yleensä ole mahdollista, koska niissä on liikaa erityisominaisuuksia, joita ei voi asettaa globaalisti. Ammattikäyttöön suosittelemme joka tapauksessa hallinnoitua V-palvelinta, eli erillistä ympäristöä vain verkkosivustoa varten.
Joillakin premium-palveluntarjoajilla voit myös käyttää ulkoista palomuuriratkaisua verkkosivustollesi. Barracudan, Sonicwallin tai Impervan järjestelmät ovat saatavilla täällä. Nämä suodattavat liikenteen ennen kuin se saapuu verkkopalvelimelle ja estävät siten useimmat hyökkäykset. Tällainen ratkaisu on kuitenkin suhteellisen kallis, 50-250 euroa kuukaudessa, ja se soveltuu vain ammattikäyttöön.
Johtopäätös: verkkosivuston luominen itse on erittäin helppoa WordPressin avulla. Automaattiset päivitykset, joita monet web-isännät tarjoavat, ovat myös hyödyllisiä verrattuna muihin sisällönhallintajärjestelmiin. Jos varmistat aina, että laajennukset ovat ajan tasalla (vähintään kerran viikossa), sinulle ei voi tapahtua paljon mitään.
Se, mikä ei maksa mitään, on myös hyödytöntä. Valitettavasti tämä pätee moniin lisäosiin ja teemoihin. Huomaa, että monet huijarit saastuttavat teemoja haitallisella koodilla ja levittävät niitä sitten ilmaiseksi omina teemoinaan. Heti kun olet asentanut jotain tällaista, verkkosivustoasi käytetään nopeasti lähettämään Roskaposti tai hyökkäyksiä muita kohtaan.
