» » » WordPressin tietoturvaopas

WordPressin tietoturvaopas

Kategoria: Koulutus, WordPress | 0

Lataa WordPressin tietoturvaopas

Miksi pelkkä julkaisujärjestelmän päivittäminen ei enää riitä?

Tämän oppaan on tarkoitettu kaikille, jotka ovat kohdanneet ongelmia WordPressin tietoturvan kanssa ja haluavat oppia suojaamaan WordPress-sivustonsa nykyaikaisin menetelmin. Oppaasta on sinulle hyötyä riippumatta siitä, onko sinulla teknistä osaamista vai ei.

WordPress Market Share 2015
W3techs.com 2015

Kun WordPress-pohjainen sivusto on ollut toiminnassa jonkin aikaa, sen tietoturvaa on varmasti kokeiltu ja sivustoon hyökätty moneen kertaan. Voit suhtautua tähän ikävänä asiaan, merkkinä että sivustosi on saavuttanut jonkinlaisen aseman. Mutta jos sivustosi olisi huomaamaton, kukaan ei olisi kiinnostunut sen hakkeroinnista.

Ongelma

Digitaalinen rikollisuus on ollut ongelmana siitä lähtien kun aloimme käyttää internetiä. Internetin pimeällä puolella varastetut luottokortti- ja henkilökohtaiset tiedot sekä salasanat ovat myytävänä ostajalle sopivaan hintaan.

Verkkorikollisuuden lisäksi myös eräs toinen asia aiheuttaa huolta. Innokkaiden nörttien kunnian hetki on muuttaa pieni aukko tietoturvassa kammottavaksi railoksi. Ja kun on tarpeeksi aikaa ja osaamista, lähes mikä tahansa verkkosivuston tietoturva on murrettavissa.

Nykyään hakkerointi tehdään usein automaattisten ohjelmistojen, eli bottien, avulla. Tämä on nopeuttanut hakkerien työtä, kun he voivat kokeilla niin nopeasti kuin mahdollista tuhansia eri salasanoja ja lomakkeita.

Samalla julkaisujärjestelmien teemojen ja lisäosien tietoturva-aukoista otetaan kaikki mahdollinen hyöty irti, ja muista että hakkeroinnin taustalla on harvoin henkilökohtaista kaunaa sinua kohtaan.

Tietoturvan haavoittuvuudet

Verkkohotelli

Useimmiten tietoturvariskit löytyvät verkkohotellista. Jos nettisivusi sijaitsee jaettulla palvelimella, jota ei päivitetä tarpeeksi usein tai jonka tarkkailu on vajavaista, hakkerit hyödyntävät heikon palvelimen tietoturvaa päästäksesi sivustosi kimppuun.

Ratkaisu: Valitse aina käyttämäsi webhotelli huolella. Suosi palvelua, jolla on paljon kokemusta sivujen hallinnoimisesta. Testaa myös webhotellin asiakastukea tietääksesi, että he vastaavat nopeasti ja ovat halukkaita auttamaan sinua. Itse suosin Dedikoitu palvelin jossa DDOS suojaukset, ssl-sertifikaatit sekä palomuuri- ja virustorjuntamekanismit ajan tasalla.

Teemat

Jotkut teemat käyttävät kirjasto-tyypistä koodinpätkää, joka on luotu tiettyä tehtävää varten. Monet teemat voivat käyttää samaa kirjasto, kuvien koon muuttamiseen. Heti kun haavoittuvuus löydetään niistä, kaikki sitä käyttävät teemat ovat vaarassa tulla hakkeroiduksi.

Ratkaisu: Suosi säännöllisesti päivitettäviä teemoja ja pidä päivitykset ajan tasalla.

Lisäosat

Lisäosat kärsivät samasta ongelmasta kuin teemat. Kehittäjät käyttävät tiettyjä kirjasto-tyyppisiä koodinpätkiä, joita yritetään hyötyä mahdollisimman laajasti. Jos lisäosa on tarpeeksi suosittu ja hakkereiden kannalta kiinnostava, kuten esimerkiksi verkkokaupan lisäosat, iso joukko hakkereita keskittyy saamaan kaiken irti lisäosan heikkouksista.

Ratkaisu: Pidä lisäosat päivitettynä. Tämä on erityisen tärkeää silloin, jos käytössäsi on minkäänlainen asiakastietoja keräävä sivusto, verkkokaupat vielä erikseen mainittuna. Jälkimmäisessä tapauksessa suosittelen yhteydenottoa ammattimaiseen sivuston ylläpitäjään.

Salasanat

Jos salasanasi on lyhyt tai käyttää sanakirjasta löydettäviä sanoja, se on vaarassa tulla “arvaatuksi” brute force -hyökkäyksessä, jossa hakkerit kokeilevat automaattisten bottien avulla suurta määrää käyttäjätunnuksia ja salasanoja. Lopulta salasana murretaan ja hakkerit pääsevät käsiksi sivustoosi. Suosittelen strongpasswordgenerator.com salasanageneraattori-palvelua jos ei ole saatavana itse julkaisujärjestelmässä sisäänrakennettua salasanageneraattoria.

Ratkaisu: Salasanasi tulisi olla vähintään 10 merkkiä pitkä ja sisältää numeroita, isoja ja pieniä kirjaimia sekä erikoismerkkejä. Jos sinulla on vaikeuksia muistaa salasanoja, käytä LastPass.com tai muuta vastaava palvelua salasanojen varastointiin, eli sellainen palvelu joka luo ja huolehtii kullekin sivustollesi yksilöllisen salasanan.

Turvallinen WordPress asennus

Kunnolla asennettu ja konfiguroitu WordPress-pohjainen julkaisujärjestelmä on turvallinen, vaikka välillä  ilmaantuu tietoturva-aukkoja. Lisäksi WordPressillä on nykyään automaattinen päivitysmekanismi ja WordPress -pohjaisen julkaisujärjestelmän päivitys on ollut helppoa viimeiset kuusi vuotta.

Ratkaisu: Pidä WordPress päivitettynä. Tarjoamme ammattimaisen ylläpito- ja päivitys palvelun, joten otathan  Somea Oy:n yhteyttä, jos tarvitset apua WordPressin tietoturva-asioissa.

Tietokannat

On tiettyjä toimenpiteitä, joilla voit turvata WordPress-tietokannan. Esimerkiksi vaihtamalla asennuksen yhteydessä  tietokantataulun etuliitteen (table prefix): Oletuksena annetaan wp_, joka on tietenkin kaikkien tiedossa ja täten tietoturvariski. Valitse etuliitteeksi satunnainen merkkijono, ja olet yhden askeleen lähempänä turvallista WordPress-tietokantaa.

Ratkaisu: Tietokannan haavoittuvuuksien korjaus vaatii osaamista. Tietyt lisäosat auttavat tässä asiassa. Katso WordPressin yleisimmät tietoturvan lisäosat.

Oman sivuston turvaaminen

Tarjolla on monia lisäosia, jotka on suunniteltu suojaamaan verkkosivustoja boteilta ja pahantahtoisilta käyttäjiltä. WordPressin tietoturvasta on puhuttu paljon, joten uusia tietoturvalisäosia entistä edistyneemmillä ominaisuuksilla ilmestyy koko ajan. Tietoturvalisäosat joutuvat usein hyökkäysten kohteeksi siitä yksinkertaisesta syystä, että hakkerit kokevat haasteena tietoturva-lisäosan suojauksen murtamisen.

WordPressin yleisimmät tietoturva lisäosat

Ohessa lista tietoturvalisäosista, joita käytämme itse omilla ja asiakkaitteni sivustoilla.

All in One WP Security & Firewall

Vahvuudet

  • Ohjausnäkymän mittarit antavat helpon näkymän sivustosi turvatasosta.
  • Jokainen toiminto on selitetty hyvin, joten saat tietoa ennen toiminnon päälle kytkemistä

Heikkoudet

  • Tarjolla on muutama toiminto, jolla voit helposti rikkoa sivustosi.

WordFence Security

Vahvuudet

  • WordFence on korkein arvostettu tietoturva lisäosista, josta on saatavana myös Premium versio.
  • Voi tarkastaa sekä sivustosi että WordPressin alkuperäiset tiedostot varmistaakseen, että tiedostoissa ei ole tapahtunut muutosta.
  • Voi tarkastaa WordPress-hakemiston ulkopuoliset tiedostot, kuten teemat, lisäosat ja ydin-tiedostot.
  • Todella edistyksellisiä ominaisuuksia, kuten kirjautumismahdollisuus älypuhelimella.
  • Maksullinen versio on aktivoinnin arvoinen.

Heikkoudet

  • Oikeiden asetusten tekeminen voi olla hieman hankalaa.

Muut lisäosat

Tarjolla on paljon tietoturvalisäosia, joista paras on yleensä suosituin tai korkeimmalle pisteytetty. Suosioon vaikuttaa se, että kehittäjä on panostanut lisäosan kehitykseen ja päivitettynä pitämiseen.

Tietoturvalisäosien päivitys tulee olla säännöllistä, joten jos huomaat lisäosan päivityksestä kuluneen jo hyvän aikaa, kannattaa tietoturvalisäosa vaihtaa tuoreempaan versioon.

Jos testaat ja havaitset tietoturvalisäosien ilmaisversiot hyviksi, maksulliseen versioon siirtyminen kannattaa: Se auttaa kehittäjiä pysymään ajan tasalla ja antaa taloudellista tukea lisäosan kehittämiseen.

.

Katso myös:

WordPress Security Checklist
Securing WordPress: A simple step-by-step list