Nettisivujen tietoturva kuntoon, osa 1

WordPress on kiistämättä maailman yleisin ja monen mielestä myös paras ja helpoiten laajennettavin alusta nettisivujen tekemiseen ja ylläpitoon.

Itse asiassa yli puolet kaikista jollain sisällönhallintajärjestelmällä tehtävistä sivustoista on tehty WordPressillä.

WordPressin suosion ”huono” puoli on kuitenkin se, että sen suosion vuoksi erittäin suuri osa verkossa tehtävistä hakkerointi- tai sivumurtoyrityksistä kohdistetaan juuri WordPress-sivustoihin.

Oman sivuston hakkeroinnista voi aiheutua todella paljon ikävyyksiä. Hyvässä tapauksessa siitä selviää varmuuskopion palauttamisella, mutta huonossa tapauksessa voi menettää tekstejä, kuvia ja kaikenlaista dataa.

Todella huonolla tuurilla voi jopa joutua ongelmiin palveluntarjoajan kanssa, jos esimerkiksi kaapatun sivustosi kautta lähetetään valtava määrä roskapostia. Tämä voi nimittäin aiheuttaa sen, että palveluntarjoajan sähköpostipalvelimet joutuvat mustilla listoille ja tällöin heidän muiden asiakkaiden meilit mene perille ennen kuin ongelma on ratkaistu ja palvelimen ”maine puhdistettu”.

Jos siis haluat välttyä ongelmilta ja turhalta työltä, lue tämä artikkeli ja tee tässä kuvatut asiat välittömästi tai anna ne sivujesi ylläpitäjälle tehtäväksi.

Varmista nämä asiat WordPress-sivustollasi

Käyn tässä kirjoituksessa nämä menetelmät lyhyesti läpi ja käsittelen ne erikseen tarkemmin tulevissa kirjoituksissa tai ohjevideoissa.

Jos haluat lisätietoja sivustosi suojaamisesta, ota rohkeasti yhteyttä.

Pidä WordPress ja lisäosat ajan tasalla

Erittäin suuri osa WordPress-sivustojen murroista tehdään vanhentuneiden WordPress-sivustojen tai vanhentuneiden lisäosien tunnettujen tietoturva-aukkojen kautta.

Jos sivustosi WordPressin tai jonkin sillä käytettävän lisäosan versio on vanhentunut, sivustosi voidaan kaapata sen kautta. Tällöin millään seuraavilla ei ole juuri vaikutusta. Pidä siis sivustosi ja lisäosat ajan tasalla, niin sivustosi on huomattavasti vaikeampi hakkeroida.

Jos WordPress tai lisäosa on vanhentunut ja siinä on aukko, suojausmenetelmillä ei ole juuri väliä. Klikkaa ja Twiittaa

Valitse siis jokin seuraavista menetelmistä:

  • ota WordPressin automaattiset päivitykset käyttöön,
  • asenna lisäosa, joka ilmoittaa päivitysten saatavuudesta ja tee päivitykset itse, tai
  • tarkista ja asenna saatavilla olevat päivitykset vähintään kerran viikossa

Jos olet huolehtinut päivittäisestä varmuuskopionnista, automaattiset päivitykset ovat hyvä vaihtoehto, koska jos joku päivitys ”rikkoo” sivustosi, voit aina palauttaa edellisen toimivan version varmuuskopioistasi.

Ota varmuuskopio sivustostasi päivittäin ja selvitä myös sen palautus

Varmuuskopion palauttaminen on nopein ja varmin tapa saada sivusto takaisin omaan hallintaan, sillä koskaan ei pysty tietämään, mitä takaportteja mahdollinen murtautuja on jättänyt.

Varmuuskopioiden ottamiseen on useita eri lisäosia ja palveluita. Suosittelen kuitenkin, että valitset palvelun, joka ottaa varmuuskopiot automaattisesti ja jonka avulla palauttaminen onnistuu sinulta nopeasti ja ilmaiseksi.

Jos ulkopuolinen taho, esim. webhotellipalvelun tarjoaja hoitaa varmuuskopioinnin, selvitä palautuksen hinta etukäteen. Jotkut palveluntarjoajat saattavat mainostaa ilmaista päivittäistä varmuuskopiointia mutta voivat veloittaa varmuuskopion palauttamisesta jopa yli 100 euroa.

Maksullisissa palveluissa on yleensä ajastusmahdollisuus ja niistä saa tarvittaessa teknistä apua, joten muutama euro kuussa on erittäin kannattava investointi.

Tässä muutama vaihtoehto:

Älä koskaan käytä ”admin” käyttäjätunnusta

WordPress asettaa oletuksena ylläpitäjän tilin käyttäjätunnukseksi ”admin”, joten se on ensimmäinen, joka yritetään murtaa koneellisella Brute force -menetelmällä. Muista siis käyttää jotain muuta tunnusta.

Jos sinulla on jo luotuna ”admin”-tunnuksella oleva tili, luo uusi käyttäjätili ja poista ”admin”-käyttäjä.

Älä käytä käyttäjätunnusta, joka on mahdollista arvata esimerkiksi omasta, yrityksesi tai sivustosi nimestä.

Älä käytä helppoa salasanaa

Valitettavan usein murrot onnistuvat liian heikon salasanan vuoksi. Varmista siis, että salasanasi on riittävän pitkä ja mahdoton arvata tai johtaa mistään.

Hyviä tapoja on esimerkiksi käyttää vaikka kokonaista lausetta tyyliin ”TanneEiOleMuillaAsiaa!”.

Kaksivaiheinen todennus eli Two Factor Authentication on myös erittäin tehokas ja suositeltava menetelmä sivuston suojaamiseen. Käsittelen tätä aihetta piakkoin julkaistavassa kirjoituksessa.

Jos tekniikka ei pelota niin käytän omilla sivuillani seuraavia:

Piilota WordPressin kirjautumissivu

Kenelläkään muulla kuin sinulla ja sivujesi ylläpitäjällä ei tule olla mitään asiaa WordPressin kirjautumissivulle.

Kirjautumissivun oletusarvoinen osoite on jokaisen murtoja yrittävän tiedossa, joten vaihda WordPressin kirjautumissivun osoite joksikin muuksi ja estä oletusosoitteiden käyttö.

Tämä onnistuu useilla lisäosilla, mutta suosittelen itse Cerber Security & Limit Login Attempts -nimistä lisäosaa, jolla voi tehdä myös muitakin suojauksia. Lisäosan Main Settings -asetuksista löytyy kohta Custom login URL, jossa voit määrittää kirjautumissivun uuden osoitteen.

Anna välitön porttikielto kirjautumissivuille yrittäville

Cerber Security & Limit Login Attempts -lisäosan (ja monen muunkin lisäosan) asetuksissa on myös toiminnot, joilla voit asettaa kirjautumissivulle siirtymistä yrittäneen käyttäjän IP-osoitteen heti estolistalle. Suosittelen tehostamaan tätä niin, että estät samalla IP-osoitteen koko C-luokan.

Tämä esto ei siis estä edellisessä kohdassa määrittämäsi kirjautumissivun käyttöä.

Keskustele aiheesta

Hannu Jaatinen

Lähes kaiken kantapään kautta oppinut WordPress- ja nettisivuasiantuntija, joka auttaa yrityksiä, organisaatioita ja henkilöbrändejä saamaan enemmän hyötyä nettisivuista ja muista verkon tarjoamista mahdollisuuksista ... ja lupaa yrityksen nimestä huolimatta että et joudu kuuntelemaan sanaakaan turhaa jargonia.