WordPressin ydin on hyvin turvallinen. Suurin osa uutisissa olleista WordPress-murtautumisista on tehty erittäin vanhoille WordPress-versioille, joita ei ole syystä tai toisesta pidetty ajan tasalla. Toinen hyvin yleinen syy murtautumisille on heikot salasanat. Tällä kertaa käymme läpi, miten teet omasta WordPress-asennuksestasi vieläkin turvallisemman.

Better WP Security

Käytämme turvallisuuden parantamiseen Better WP Security -lisäosaa, joka tarjoaa yhdessä paketissa hyvin paljon tärkeitä turvallisuutta parantavia toiminnallisuuksia. Lisäosalla voi esimerkiksi pakottaa vahvat salasanat. Lisäosa estää myös raa’alla voimalla tehdyt kirjautumisyritykset.

Lisäosa tarjoaa asennuksen jälkeen mahdollisuuden ottaa käyttöön perusasetukset. Tämän jälkeen kaikkia asetuksia voi säätää vielä omien tarpeiden mukaan. Kannattaa huomioida, että jotkin asetukset saattavat rajoittaa muita lisäosia tai teemoja. Tämän takia lisäosaa ei kannata asentaa suoraan tuotantoon vaan se kannattaa ensin testata testiympäristössä.

Vaikka lisäosa parantaakin turvallisuutta, se ei tee sivustostasi 100% turvallista.

Katso alta video lisäosasta.

 


Videon käsikirjoitus

Tervetuloa WordPress-oppaan pariin. Tällä kertaa käymme läpi Better WP Security –lisäosan, jonka avulla WordPress-asennuksen turvallisuutta saa parannettua.

WordPressin ydin on turvallinen. Suurin osa ongelmista johtuu siitä, ettei WordPressiä pidetä ajan tasalla. WordPress on Open Source -tuote, joten kuka tahansa pystyy näkemään jokaisen version lähdekoodin. Tämän takia asennus tulisi aina pitää ajan tasalla. Toinen yleinen syy ongelmiin ovat huonot salasanat.

Olen jo asentanut Better WP Securityn WordPressin lisäosat osiosta. Lisäosa on siis ilmainen. Lisäosa lisää ylläpidon valikkoon uuden Security-kohdan. Ennen kuin lisäosaa voi konfiguroida, se kysyy otetaanko tietokannasta varmuuskopio. Suosittelen, että ennen lisäosan käyttöönottoa otat varmuuskopion sekä tietokannasta että tiedostoista. Lisäosa kannattaa ehdottomasti ottaa ensin käyttöön testiympäristössä.

Seuraavaksi lisäosa tiedustelee, asettaako se valmiiksi jo perusturvalliset asetukset. Tähän kannattaa vastata kyllä. Tämän jälkeen meillä onkin jo huomattavasti turvallisempi sivusto käytössä.

Lisäosa listaa järjestelmän statuksen eri asioiden suhteen. Yleensä kannattaa pyrkiä siihen, ettei punaisia kohtia listalla ole ollenkaan. Kaikkien kohtien ei välttämättä tarvitse olla vihreitä. Käydään vielä jokainen kohta läpi.

Ensimmäisenä on salasanan vahvuus. Huonot salasanat ovat yksi suurimmista syistä erilaisiin tietomurtoihin missä tahansa järjestelmässä. Siksi on erittäin suositeltavaa, että vahvat salasanat pakotetaan kaikille käyttäjille.

WordPressin headerHeader Header tarkoittaa generaalisti sivuston ylintä osiota eli yläpalkkia missä myös ns. Päävalikko on.-osiossa paljastetaan jonkin verran tietoja. Nämä kannattaa yleensä poistaa. Kannattaa huomioida, että jotkin asetukset saattavat vaikuttaa negatiivisesti toisten lisäosien toimintaan. Tämän takia asetukset kannattaa testata ensin testiympäristössä.

Perusasetukset estävät muita käyttäjiä näkemästä saatavilla olevia järjestelmäpäivityksiä.

Asennuksessani ei ole admin-tunnusta, mutta mikäli sinulta kyseinen tunnus löytyy, se kannattaa vaihtaa joksikin muuksi tällä lisäosalla, koska raa’alla voimalla kirjautumisia yrittävät botit yleensä kokeilevat ensimmäisenä admin-käyttäjätunnusta.

Tietokannassa on vielä käyttäjä, jonka id on yksi. Tämän saa vaihdettua helposti nappia painamalla.

Oletuksena WordPressin tietokantataulujen etuliite on wp_. Tämä kannattaa muuttaa heti asennuksen yhteydessä, mutta se onnistuu myöhemminkin tällä työkalulla. Kuten näkyy, lisäosa muutti etuliitteen satunnaiseksi merkkijonoksi.

Lisäosa herjaa, ettei varmuuskopioita ole ajastettu. En suosittele varmuuskopioinnin käyttöön tätä työkalua, sillä se ei kopioi ollenkaan tiedostoja. Olen jo aiemmin käynyt läpi, miten sekä tietokannan että tiedostot saa talteen Dropboxiin.

Lisäosalla voi myös säädellä sitä, milloin ylläpitoon pääsee kirjautumaan. Jos siis tiedät, ettei ylläpitoon tarvitse tiettyihin aikoihin päästä, voit määrittää rajoituksen. Kannattaa kuitenkin huomioida, että jos rajoituksen aikaan tulee jokin hätätilanne, et pääse tällöin ylläpitoon muuta kuin poistamalla lisäosan käsin palvelimelta.

Lisäosalla voi myös estää liikenteen esimerkiksi tietyistä ip-osoitteista. HackRepair.comin lista kannattaa ottaa käyttöön. Tämän lisäksi osoitteita voi määrittää itse.

Lisäosa estää raa’alla voimalla tehtävät kirjautumisyritykset. Jos siis joku epäonnistuu kirjautumisessa liian monta kertaa lyhyen ajan sisään, hänen ip-osoitteensa blokataan hetkeksi kokonaan. Sääntöjä voi muokata login kohdasta. Oletusasetukset ovat ok, mutta niitä voi muuttaa tarpeen vaatiessa. Huomaa, että voit myös määrittää sähköpostiosoitteen, johon lähetetään aina ilmoitus kun jokin ip-osoite on blokattu.

Kirjautumis- ja rekisteröitymissivujen osoitteen voi myös muuttaa. Tämä estää hieman automaattisia botteja, jotka yleensä yrittävät pommittaa esimerkiksi wp-admin osoitetta. Tämä ei kuitenkaan takaa sitä, etteikö botti voisi kirjautumissivua löytää.

Htaccess-tiedosto kannattaa turvata paremmin. Tosin tämä saattaa joskus aiheuttaa ongelmia muiden lisäosien tai teemojen kanssa.

Lisäosa osaa seurata 404-virhesivuja. Jos virheilmoituksia tulee tietystä osoitteesta liian paljon lyhyen ajan sisään, kyseinen osoite blokataan. Automaattiset botit yrittävät monesti löytää haavoittuvuuksia etsimällä satunnaisista osoitteista, joita sinun sivullasi ei välttämättä ole olemassa. Detect välilehdeltä voi määrittää tämän asetuksen raja-arvoja. Kannattaa huomata, että jos rajan laittaa liian alhaiseksi, saatat myös blokata ihan oikeita käyttäjiä. Myös näistä blokkauksista on saatavilla sähköposti-ilmoitus.

Lisäosa osaa myös seurata sitä, ovatko WordPressin tiedostot muuttuneet. Jos kräkkeri pääsee sivuille, on hyvin yleistä, että hän korvaa jotakin tiedostoja yrittäessään tehdä pahaa. Myös tästä tarkistuksesta on saatavilla sähköposti-ilmoitus. Jos käytät sivustollasi välimuistitus-lisäosaa, tällöin välimuistitiedostojen hakemisto kannattaa lisätä listalle, jotta sitä ei tarkasteta, tai muutoin ilmoituksia tulee päivittäin.

Yleensä hyvin pitkät url-osoitteet kannattaa myös estää.

Lisäosien ja teemojen muokkain kannattaa ehdottomasti ottaa pois käytöstä.

Wp-config ja htaccess tiedostoista voi ottaa kirjoitusoikeudet pois, mutta kannattaa muistaa, että monet lisäosat muokkaavat htaccess-tiedostoa. Jos kirjoitusoikeutta ei ole, nämä lisäosat eivät pysty htaccess-sääntöjä tiedostoon kirjoittamaan.

Lisäosien ja teemojen versionumerot kannattaa piilottaa.

Lisäosan avulla voi myös vaihtaa wp-content -hakemiston nimen, mutta en suosittele tätä, sillä se aiheuttaa pahimmillaan paljon ongelmia.

Viimeisenä ylläpitoon voi asettaa salatun SSL-yhteyden. SSL suojaa tietoliikennettä, mutta sitä varten tarvitaan SSL-sertifikaatti, joka on maksullinen. Jos siis sinulla ei ole sertifikaattia, älä ota ominaisuutta käyttöön, tai muuten et enää pääse ylläpitoon ollenkaan. SSL:n hankkiminen ei ole välttämätöntä normaaleilla sivustoilla.

Lisäosan Logs-kohdassa on vielä nähtävillä vanhat lokitiedot.

Nyt sivusto on huomattavasti turvallisempi kuin aikaisemmin. Kannattaa kuitenkin muistaa pitää WordPress ajan tasalla tai muutoin tästäkään lisäosasta ei välttämättä hyötyä ole.

Kirjoittaja Niko Vittaniemi

Hei, Olen Niko Vittaniemi. Olen WP-oppaan ylläpitäjä, WPWoofin perustaja ja puuhamies täällä valoisassa nörttiluolassa Keminmaassa. Myyntivetoiset WordPress ja WooCommerce sivustot ovat lähellä sydäntäni Jos koet, että voin auttaa sinua, yhteystietoni löydät kotisivuiltani.

Lisää uusi kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *