WordPress on käytetyin sisällönhallintajärjestelmä maailmassa. Tällä hetkellä noin 25% kaikista verkkosivuista käyttää WordPressiä. Valitettavasti suuresta suosiostaan johtuen, se on myös suosittu hakkeroinnin kohde. Suosittelemme siksi parantamaan WordPress -sivusi turvallisuutta pienentääksesi hakkeroiduksi joutumisen riskiä.
- Pidä aina huolta päivittämisestä
- Poista lisäosat ja teemat, joita et käytä
- Suojaa wp-admin -kansio salasanalla
- Luo mukautettu käyttäjänimi hallinnoimista varten.
- Estä PHP lataushakemistossasi
Pidä aina huolta päivittämisestä
Osa WordPressin päivityksistä ovat turvallisuuden parannuksia mahdollisia haavoittuvuuksia vastaan, joita hakkerit voivat käyttää hyväkseen. Siksi on hyvin tärkeää päivittää aina kun vain mahdollista. Voit päivittää WordPressin hallintapaneelin kautta. Jos sinulla ei ole pääsyä WordPressin hallintapaneeliin, voit päivittää myös manuaalisesti.
WordPress -version päivittämisen lisäksi kannattaa myös pitää silmällä liitännäisille ja teemoille saatavilla olevia uusia päivityksiä. Poista kaikki liitännäiset ja teemat, joita et käytä. Voit aina asentaa ne myöhemmin takaisin.
Vinkki: Jos tahdot välttyä manuaalisen päivittämisen hankaluuksilta, voit asentaa liitännäisen nimeltä Easy Updates Manager. Se pitää huolta WordPressin päivityksistä puolestasi.
Poista lisäosat ja teemat, joita et käytä
Kaikki asentamasi lisäosat ja teemat ovat mahdollisia turvariskejä, joten mitä vähemmän sinulla niitä on, sitä parempi.
Suosittelemme poistamaan kaikki teemat, joita et käytä, paitsi WordPressin oletusteemat (2017, 2018, jne). Sama pätee lisäosiin, joita et enää tarvitse.
Poista kaikki vanhat WordPress -asennukset verkkolevytilastasi, joita olet käyttänyt esimerkiksi varmuuskopiona tai kokeilutarkoituksiin. Nämä ovat haavoittuvaisia hakkeroinnille.
Vinkki: Asenna lisäosia ja teemoja ainoastaan luotettavista lähteistä. Jos löydät ilmaisen version teemasta josta on yleensä maksettava, on hyvin mahdollista, että sen mukana tulee "ilmainen" haittaohjelma.
Suojaa wp-admin -kansio salasanalla
Toinen tapa torjua hakkereita on suojata wp-admin -kansiosi salasanalla. Näin voit lisätä yhden lisäturvallisuuskäytännön osaksi WordPress -sivuston hallintaa.
Voit seurata opastamme sivustosi suojaamisesta .htaccessin avulla. Varmistathan, että asetat suojauksen vain wp-admin kansioon, etkä koko sivustolle, sillä se estää kävijöiden pääsyn sivustollesi. Laita tiedostot wp-admin -kansioon.
Huom.: Jos wp-admin -kansiossa on jo valmiiksi .htaccess tiedosto, lisää saamasi koodi jo olemassa olevaan tiedostoon. Älä korvaa sitä.
Luo mukautettu käyttäjänimi hallinnoimista varten.
Hakkerit yrittävät usein saada pääsyn WordPress -hallintapaneeliisi käyttäen niin sanottua Brute Force -hyökkäystä. Siinä robotit kokeilevat miljoonia eri salasanojen ja käyttäjänimien yhdistelmiä kirjautuakseen sisään. Tehdäksesi kirjautumistietojesi arvaamisen vaikeammaksi suosittelemme luomaan uniikin käyttäjätunnuksen.
Voit muuttaa hallinnoivan käyttäjänimesi phpMyAdminissa taulukossa wp_users. Katso oppaamme kuinka päästä sisälle tietokantaasi.
Kun olet kirjautuneena sisään:
- Etsi taulukko nimeltä wp_users (se saattaa myös olla 0_users).
- Etsi hallinnoiva käyttäjänimesi ja napsauta Edit.
- Kohdan user-login alla lisää käyttäjänimesi Value -tekstilaatikkoon.
- Napsauta Go tallentaaksesi.
Estä PHP lataushakemistossasi
Jos olet asentanut WordPressin manuaalisesti, suosittelemme PHP:n suorittamisen estämistä latauskansiossa. Jos olet käyttänyt 1 napsautuksen asennusohjelmaa, voi ohittaa tämän osion. 1 napsautuksen WordPress -asennuksissa suoritus on oletuksen mukaan estetty.
On yleistä, että PHP-takaovi sijaitsee lataushakemistossa. Sieltä haittaohjelma leviää muihin sivustosi sijainteihin. Et voi estää takaoven latausta, mutta estämällä PHP:n voit estää sen leviämisen muualle.
Voit estää PHP:n suorittamisen lisäämällä nämä ohjelmarivit latauskansion (wp-content/uploads) .htaccess-tiedostoon.
# Estä suoritettavat
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
kiellä kaikilta
</FilesMatch>
Katso oppaastamme, miten .htaccess-tiedosto luodaan ja tiedoston suorittaminen estetään.
Huomaa: Jos sinulla on jo .htaccess-tiedosto verkkolevytilassasi, sinun ei tarvitse luoda uutta tiedostoa. Sen sijaan voit kopioida koodin olemassa olevaan tiedostoon.
Liittyvät aiheet:
