Paranna WordPress sivuston tietoturvaa | Zoner.fi

Katso myös

Paranna WordPress sivuston tietoturvaa

WordPress-sivustot, kuten muutkin eri julkaisujärjestelmillä toteutetut kotisivut, joutuvat aika ajoin erilaisten hakkerointi- ja tietoturvahyökkäysten kohteeksi.

Kuinka hakkeroinnilta voi suojautua? Muutamilla yksinkertaisilla ja muutamalla hieman edistyneemmillä keinoilla, sivuston tietoturvauhkia on helppo minimoida.

WordPressin päivittäminen on tärkeää

Kaikista tärkein työ tietoturvassa on kuitenkin WordPress -julkaisujärjestelmän ja sen käyttämien lisäosien ja teemojen säännöllinen päivittäminen omasta WordPress -hallinnastasi. Tietoturva-aukot tulevat laajan yhteisön ansiosta nopeasti tietoisuuteen ja vastuulliset kehittäjät myös luovat niitä paikkaavia päivityksiä.

On myös tärkeää valita ja käyttää vain sellaisia lisäosia ja ulkoasuteemoja, joita ylläpidetään jatkuvasti. Kannattaakin tarkkaan katsoa mitä lisäkilkkeitä sivustolleen asentelee ja miettiä, voisiko halutun toiminnon saavuttaa ilman erillistä lisäosaa.

Mikäli käytät Zonerin webhotellipalvelua, voit lisäksi automatisoida julkaisujärjestelmän päivitykset ja varmuuskopioinnin, webhotellista löytyvän Installatron -asennustyökalun avustuksella.

Lisäturvaa WordPress asennukseen

wp-tietoturva
WordPressin virallisilla kotisivuilla on julkaistu konkreettinen ohjeistus tietoturvan parantamiseen:
http://codex.wordpress.org/Hardening_WordPress

Suosittelen kiinnittämään erityisesti huomiota ohjeistuksen kohtiin 11-14

11. wp-admin -kansion suojaus

Huomiota kannattaa kiinnittää etenkin käyttäjätunnusten ja salasanojen riittävään vahvuuteen.

Zonerin webhotellissa, wp-admin kansion voi myös suojata helposti htaccessin avulla. Näin palvelin saadaan kysymään salasanaa jo ennen mahdollista kirjautumisyritystä itse wordpress-sivuston hallintaan.

Tämä toiminnallisuus saattaa hajottaa, joidenkin WordPress -asennusten toimintaa. Suositeltavaa on lisätä wp-admin kansioon luotavaan .htaccess -tiedostoon myös määritys:

wp-admin ajax

Jos asennus ei, määrityksestä huolimatta, toimi .htaccess suojauksen jälkeen, kannattaa sitä yksinkertaisesti olla käyttämättä.

Vinkki:
Älä ikinä käytä käyttäjätunnuksena, oletuksena tarjottavaa, admin muotoa.

12. wp-includes kansion suojaus

Lisäsuojaa asennukseen saa muokkaamalla sivuston .htaccess tiedostoa, lisäten ohjeistuksessa mainitut rivit, joiden tarkoituksena on estää ylimääräisten skriptien ajo WP-includes kansioon lisättyjen haittaohjelmien avulla.

Vinkki:
Suojaa myös /wp-content/uploads/ kansio luomalla sinne oma .htaccess tiedosto seuraavin määrityksin:
htaccess-suojaus

13. wp-config -tiedoston suojaus

Voit myös suojata asennuksesi juuresta löytyvää wp-config -tiedostoa monin tavoin. Yksi vaihtoehto on siirtää tiedosto oletuksena toimivasta juuresta yhden kansion ylöspäin.

Myös .htaccessia muokkaamalla voidaan estää ylimääräiset yritykset päästä sivuston kimppuun tämän tiedoston kautta. Tämä onnistuu seuraavalla määrityksellä:

<files wp-config.php>
order allow,deny
deny from all
</files>

14. Tiedostojen muokkauksen esto WordPress -hallinnasta

WordPressin hallinta, eli Dashboard, tarjoaa jo oletuksena muokata sivuston .php tiedostoja suoraan tiedostoeditorin avulla. Tämän mahdollisuuden estämällä voidaan hieman rajoittaa vuotaneen kirjautumisen kautta tapahtuvia väärinkäyttöjä.

, ,

Zoner Oy on osa Zoner Group -konsernia.