WordPress tietoturva
WordPress tietoturvaa voidaan parantaa muistamalla seuraavat asiat ja toimimalla alla olevien ohjeiden mukaan. Myös verkkosivuston käytön seuranta ja poikkeuksien havaitseminen etupainotteisesti auttaa tietoturvan parantamisessa.
WordPress sisäänkirjautuminen
WordPress verkkosivuston sisäänkirjautumissivu eli login sivu löytyy aina osoitteesta:
https://www.yritys.fi/wp-login.php
Tämä on ongelma, koska kaikki hakkerit tietävät kyseisen osoitteen ja löytävät sen helposti. Tämän takia riittävästä tietoturvasta tulee huolehtia seuraavilla tavoilla.
WordPress käyttäjätunnus
Käyttäjätunnuksen pitää olla sellainen kirjain jono, joka ei liity mitenkään verkkosivun aiheeseen tai osoitteeseen eikä esimerkiksi käyttäjän etunimeen tai sukunimeen. Sen pitää olla kuin salasana, jota kukaan ei pysty arvaamaan eikä mitenkään päättelemään. Tee itsellesi niin vaikea käyttäjätunnus, että joudut kirjoittamaan sen muistiin paperille, Wordiin tai Exceliin. Valitse näppäimistöltä todella nopeasti 10 konsonanttia aivan sekalaisessa järjestyksessä, niin että joudut lopuksi katsomaan mitä oikein tuli kirjoitettua. Nyt sinulla on todella vaikeasti muistettava käyttäjätunnus, jonka voit tallettaa paikkaan jonka vain sinä tiedät.
WordPress salasana
Käytä WordPress salasanana sitä monimutkaista, vaikeaa ja pitkää salasanaa, jonka WordPress salasana generaattori arpoo. Tällä tavalla salasana on vahva ja tarpeeksi pitkä merkkijono, jossa on isoja kirjaimia, pieniä kirjaimia, numeroita ja erikoismerkkejä. WordPress muodostaa uudelle käyttäjälle 24 merkkiä pitkän salasanan, joka sisältää pieniä kirjaimia, isoja kirjaimia ja erikoismerkkejä. Salasana ei saa olla mikään sana tai merkitys eli merkit täysin sattumanvaraisessa järjestyksessä. Jos hakkeri saa selville salasanasi hän tietää jo 50% tarvittavista tiedoista tietomurtoa varten.
Kaksivaiheinen tunnistautuminen
WordPress tietoturvaa voidaan parantaa kaksivaiheisella tunnistautumisella eli ”Two Factor Authentication 2FA”. Kaksivaiheinen tunnistautuminen lisää tietoturvaa siten, että käyttäjätunnuksen ja salasanan jälkeen kysytään vielä 6 numeroinen koodi, joka muuttuu muutaman sekunnin välein. Tätä kannattaa ehdottomasti käyttää kaikilla WordPress verkkosivuilla vaikka tämä lisää yhden vaiheen sisäänkirjautumisessa. Tämä voidaan toteuttaa WordPress lisäosalla Wordfence. Käyttäjän puhelimeen asennetaan ”Google Authenticator” applikaatio. Katso tarkemmat ohjeet Wordfence 2FA aktivointiin.
Wordfence lisäosa
WordPress verkkosivustolle kannattaa asentaa Wordfence lisäosa. Wordfence lisäosaan tehdyillä asetuksilla voidaan parantaa WordPress tietoturvaa.
Muita WordPress tietoturvaan vaikuttavia asioita
WordPress tietoturvaan vaikuttaa myös seuraavat asiat.
- Luotettava hosting palvelu on hyvä lähtökohta WordPress verkkosivujen tietoturvaan. Esimerkiksi Louhi Net Oy, Zoner, yms …
- Laajat käyttöoikeudet eli Ylläpitäjä (Administrator) kannattaa antaa vain 1-2 henkilölle. Lopuille käyttäjille riittää pienemmät oikeudet esimerkiksi blogin kijoitukseen yms pienempiin tehtäviin. Tämä rajaus parantaa tietoturvaa.
- Kommentointi mahdollisuus kannattaa ottaa pois blogi artikkeleista, ellei se ole aivan välttämätön toiminto liiketoiminnan kannalta.
- Tietoturvan kannalta on erityisen tärkeää päivittää aktiivisesti WordPress julkaisujärjestelmä, WordPress teemat, WordPress lisäosat. Tärkeää on myös hoitaa kriittisten päivitysten ajantasaisuus verkkopalvelimella.
- Kun verkkosivusto käyttää https yhteyttä on yhteys salattu. Https saadaan SSL-sertifikaatin avulla. Nykyään hyvissä webhotelleissa on jo vakiona ilmainen SSL-sertifikaatti, joka mahdollistaa https-suojauksen omalle verkkotunnukselle.
- Tietojen palauttaminen tulee olla mahdollista varmuuskopioiden avulla kaikkien vikatilanteiden varalle.
- Turhien ja pois käytöstä olevien WordPress teemojen ja lisäosien poistaminen kokonaan on suositeltavaa, sillä tämä lisää tietoturvaa.
- Väärät käyttäjät voidaan estää automaattisesti maksimissaan 2 kuukaudeksi siten, että nämä väärät IP-osoitteet estetään automaattisesti, jos käyttäjätunnus on väärä tai salasana on väärä. Väärät IP-osoitteet voidaan myös estää lopullisesti manuaalisesti. Tästä johtuen myös oikeat käyttäjät voivat tulla estetyksi, jos oikea henkilö kirjoittaa vahingossa käyttäjätunnuksen tai salasanan väärin.
- Osoitteita /wp-admin ja /wp-login ei kannata piilottaa, sillä tietoturva voi oikeasti huonontua. Laadukkaissa webhotelleissa suojaukset on tehty juuri näihin osoitteisiin, joten botit voi päästää rummuttelemaan huoletta. Suojaukset eivät nimittäin siirry toiseen osoitteeseen, vaikka osoitteiden muutokset tehtäisiin mukamas tietoturvaa parantamaan.