Search
Close this search box.
Blogi

WordPress tietoturva

WordPress tietoturva pysyy kunnossa, kun muistat seuraavat asiat.

Sisällysluettelo

WordPress tietoturva

WordPress tietoturvaa voidaan parantaa muistamalla seuraavat asiat ja toimimalla alla olevien ohjeiden mukaan. Myös verkkosivuston käytön seuranta ja poikkeuksien havaitseminen etupainotteisesti auttaa tietoturvan parantamisessa.

WordPress sisäänkirjautuminen

WordPress verkkosivuston sisäänkirjautumissivu eli login sivu löytyy aina osoitteesta:

https://www.yritys.fi/wp-login.php

Tämä on ongelma, koska kaikki hakkerit tietävät kyseisen osoitteen ja löytävät sen helposti. Tämän takia riittävästä tietoturvasta tulee huolehtia seuraavilla tavoilla.

WordPress käyttäjätunnus

Käyttäjätunnuksen pitää olla sellainen kirjain jono, joka ei liity mitenkään verkkosivun aiheeseen tai osoitteeseen eikä esimerkiksi käyttäjän etunimeen tai sukunimeen. Sen pitää olla kuin salasana, jota kukaan ei pysty arvaamaan eikä mitenkään päättelemään. Tee itsellesi niin vaikea käyttäjätunnus, että joudut kirjoittamaan sen muistiin paperille, Wordiin tai Exceliin. Valitse näppäimistöltä todella nopeasti 10 konsonanttia aivan sekalaisessa järjestyksessä, niin että joudut lopuksi katsomaan mitä oikein tuli kirjoitettua. Nyt sinulla on todella vaikeasti muistettava käyttäjätunnus, jonka voit tallettaa paikkaan jonka vain sinä tiedät.

WordPress salasana

Käytä WordPress salasanana sitä monimutkaista, vaikeaa ja pitkää salasanaa, jonka WordPress salasana generaattori arpoo. Tällä tavalla salasana on vahva ja tarpeeksi pitkä merkkijono, jossa on isoja kirjaimia, pieniä kirjaimia, numeroita ja erikoismerkkejä. WordPress muodostaa uudelle käyttäjälle 24 merkkiä pitkän salasanan, joka sisältää pieniä kirjaimia, isoja kirjaimia ja erikoismerkkejä. Salasana ei saa olla mikään sana tai merkitys eli merkit täysin sattumanvaraisessa järjestyksessä. Jos hakkeri saa selville salasanasi hän tietää jo 50% tarvittavista tiedoista tietomurtoa varten.

Kaksivaiheinen tunnistautuminen

WordPress tietoturvaa voidaan parantaa kaksivaiheisella tunnistautumisella eli ”Two Factor Authentication 2FA”. Kaksivaiheinen tunnistautuminen lisää tietoturvaa siten, että käyttäjätunnuksen ja salasanan jälkeen kysytään vielä 6 numeroinen koodi, joka muuttuu muutaman sekunnin välein. Tätä kannattaa ehdottomasti käyttää kaikilla WordPress verkkosivuilla vaikka tämä lisää yhden vaiheen sisäänkirjautumisessa. Tämä voidaan toteuttaa WordPress lisäosalla Wordfence. Käyttäjän puhelimeen asennetaan ”Google Authenticator” applikaatio. Katso tarkemmat ohjeet Wordfence 2FA aktivointiin.

Wordfence lisäosa

WordPress verkkosivustolle kannattaa asentaa Wordfence lisäosa. Wordfence lisäosaan tehdyillä asetuksilla voidaan parantaa WordPress tietoturvaa.

Muita WordPress tietoturvaan vaikuttavia asioita

WordPress tietoturvaan vaikuttaa myös seuraavat asiat.

  • Luotettava hosting palvelu on hyvä lähtökohta WordPress verkkosivujen tietoturvaan. Esimerkiksi Louhi Net Oy, Zoner, yms …
  • Laajat käyttöoikeudet eli Ylläpitäjä (Administrator) kannattaa antaa vain 1-2 henkilölle. Lopuille käyttäjille riittää pienemmät oikeudet esimerkiksi blogin kijoitukseen yms pienempiin tehtäviin. Tämä rajaus parantaa tietoturvaa.
  • Kommentointi mahdollisuus kannattaa ottaa pois blogi artikkeleista, ellei se ole aivan välttämätön toiminto liiketoiminnan kannalta.
  • Tietoturvan kannalta on erityisen tärkeää päivittää aktiivisesti WordPress julkaisujärjestelmä, WordPress teemat, WordPress lisäosat. Tärkeää on myös hoitaa kriittisten päivitysten ajantasaisuus verkkopalvelimella.
  • Kun verkkosivusto käyttää https yhteyttä on yhteys salattu. Https saadaan SSL-sertifikaatin avulla. Nykyään hyvissä webhotelleissa on jo vakiona ilmainen SSL-sertifikaatti, joka mahdollistaa https-suojauksen omalle verkkotunnukselle.
  • Tietojen palauttaminen tulee olla mahdollista varmuuskopioiden avulla kaikkien vikatilanteiden varalle.
  • Turhien ja pois käytöstä olevien WordPress teemojen ja lisäosien poistaminen kokonaan on suositeltavaa, sillä tämä lisää tietoturvaa.
  • Väärät käyttäjät voidaan estää automaattisesti maksimissaan 2 kuukaudeksi siten, että nämä väärät IP-osoitteet estetään automaattisesti, jos käyttäjätunnus on väärä tai salasana on väärä. Väärät IP-osoitteet voidaan myös estää lopullisesti manuaalisesti. Tästä johtuen myös oikeat käyttäjät voivat tulla estetyksi, jos oikea henkilö kirjoittaa vahingossa käyttäjätunnuksen tai salasanan väärin.
  • Osoitteita /wp-admin ja /wp-login ei kannata piilottaa, sillä tietoturva voi oikeasti huonontua. Laadukkaissa webhotelleissa suojaukset on tehty juuri näihin osoitteisiin, joten botit voi päästää rummuttelemaan huoletta. Suojaukset eivät nimittäin siirry toiseen osoitteeseen, vaikka osoitteiden muutokset tehtäisiin mukamas tietoturvaa parantamaan.
80 / 100

Piditkö sisällöstä?

Jaa tämä sivu sosiaaliseen mediaan.

LinkedIn
Facebook
Twitter
Pinterest
WhatsApp
Email

Etsitkö hyvää yhteistyökumppania?

Ota yhteyttä, niin keskustellaan lisää sinun tarpeista, toiveista ja tavoitteista.

Ota yhteyttä

Pyrin vastaamaan sinulle vuorokauden kuluessa
Juha Savilaakso

Juha Savilaakso

DI, KTM, Yrittäjä, Toimitusjohtaja

Juha Savilaakso on diplomi-insinööri ja kauppatieteiden maisteri Oulun yliopistosta. Juhalla on myös jatko-opinnot Aalto yliopiston koulutusohjelmista Financial Executive ja Liiketoiminta 360 sekä yrittäjän ammattitutkinto Careeriasta. Nyt hän auttaa yrittäjiä ja yrityksiä menestymään digitaalisen markkinoinnin avulla.

Katso tapahtumat

Kalenterista löydät kaikki tapahtumat. Rekisteröidy tapahtumaan ja tule mukaan oppimaan lisää digimarkkinoinnista.