
Paranna WordPress sivuston tietoturvaa
- Joonas Vanhatapio
- 12.4.2019
- WordPress
WordPress julkaisujärjestelmä joutuu aika ajoin erilaisten hakkerointi- ja tietoturvahyökkäysten kohteeksi, kuten kaikki muutkin eri julkaisujärjestelmillä toteutetut kotisivut. Jokainen voi onneksi myös itse minimoida WordPress-sivuston tietoturvauhkia.
Yksi tärkeimmistä keinoista tietoturvauhkien minimoimiseen on valita WordPress-kotisivuille luotettava ja turvallinen hostingratkaisu. Zonerilla on panostettu turvallisiin ja toimintavarmoihin palvelimiin. Webhotellien palvelinten toimintaa valvotaan 24/7 ja sen ansiosta mahdollisiin ongelmiin puututaan nopeasti. Zonerin WP-Cloudissa valvotaan palvelimen lisäksi myös jokaisen yksittäisen sivun toimintaa.
Päivitä WordPress, lisäosat ja teemat säännöllisesti
On tärkeää valita vain sellaisia lisäosia ja teemoja, joita ylläpidetään jatkuvasti. Laajan käyttäjäyhteisön ansiosta mahdolliset tietoturvahaavoittuvuudet huomataan nopeasti ja vastuulliset kehittäjät luovat niitä paikkaavia päivityksiä.
Automaattiset WordPress-päivitykset vähentävät riskiä

WordPress security-lisäosat
SUCURI
WORDFENCE
MIKSI TIETOTURVALISÄOSIA EI KANNATA KÄYTTÄÄ?
Tällaisia kolmannen osapuolen ratkaisuja ovat esimerkiksi Cloudflare ja Sucuri. Kyseessä ei siis ole ilmainen Sucuri-lisäosa, vaan erikseen ostettava Sucurin tarjoama palvelu. Käytännössä sivuston liikenne ohjataan kolmannen osapuolen palvelinten kautta, jolloin sivustoa suojataan ja liikennettä valvotaan sen avulla.
Valitse turvalliset käyttäjätunnukset ja salasanat
Vahva salasana on sivujen turvallisuuden kannalta äärimmäisen tärkeä, eikä sen merkitystä voi liikaa korostaa. Vahva salasana on 30-merkkiä pitkä uniikki, pitkä ja sisältää mielellään kirjaimia, numeroita sekä erikoismerkkejä. Lue lisää vahvoista salasanoista ja vinkkejä salasanojen hallintaan täältä.

Ota SSL-salaus käyttöön
Huolehdi varmuuskopiot
Valvo tiedostoja ja rajoita kirjautumisyritysten määrää
Vinkki: Bottien jättämiä roskakommentteja vastaan voi suojautua tehokkaasti myös Akismet-lisäosan avulla.

Vahvista WordPress asennuksen turvallisuutta
wp-admin-kansion suojaus
htpasswd -c /home/user/private/.htpasswd kayttajanimitahan
AuthName "Rajoitettu"
AuthUserFile /home/user/private/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user kayttajanimitahan
Order allow,deny
Allow from all
Satisfy any
WP-INCLUDES-KANSION SUOJAUS
# Estä wp-includes kansion suora PHP-suoritus
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

wp-content/uploads-kansion suojaaminen
# Estä PHP-tiedostojen suoritus uploads-kansiossa
deny from all
WP-CONFIG-TIEDOSTON SUOJAUS
order allow,deny
deny from all
TIEDOSTOJEN MUOKKAUKSEN ESTO WORDPRESS-HALLINNASTA
## Poista käytöstä WordPressin oma PHP-tiedostojen muokkain ohjausnäkymästä
define('DISALLOW_FILE_EDIT', true);
XML-RPC:N KAUTTA TULEVILTA HYÖKKÄYKSILTÄ SUOJAUTUMINEN
order deny,allow
deny from all
location ~* ^/xmlrpc.php$ {
return 403;
}