Paranna WordPress -sivustosi turvallisuutta

WordPress on käytetyin sisällönhallintajärjestelmä maailmassa. Tällä hetkellä noin 40 % kaikista verkkosivustoista käyttää WordPressiä. Valitettavasti suuresta suosiostaan johtuen se on myös erittäin suosittu hakkeroinnin kohde. Suosittelemme siksi parantamaan WordPress-sivusi turvallisuutta pienentääksesi hakkeroiduksi joutumisen riskiä.

Alla olemme koonneet luettelon suosituksista, jotka voit toteuttaa turvallisemman WordPress-sivuston takaamiseksi:

• Pidä aina huolta päivittämisestä
• Poista lisäosat ja teemat, joita et käytä
• Tarkkaile verkkosivustosi tilaa
• Suojaa wp-admin -kansio salasanalla
• Luo mukautettu käyttäjänimi hallinnoimista varten.
• Estä PHP lataushakemistossasi

---

Pidä aina huolta päivittämisestä

Osa WordPress-päivityksistä korjaa tietoturvaongelmia, joita hakkerit voivat hyödyntää, joten on tärkeää päivittää mahdollisimman pian. Voit helposti päivittää WordPress-versiosi, laajennukset ja teemat WordPressin hallintapaneelin kautta. Jos sinulla ei ole pääsyä WordPressin hallintapaneeliin, voit päivittää myös manuaalisesti.

• Miten pidän WordPress-sivustoni ajan tasalla?
• Päivitä WordPress manuaalisesti (ilman WP-järjestelmänvalvojan käyttöoikeuksia)

WordPress -version päivittämisen lisäksi on myös tärkeää pitää silmällä säännöllisesti asennetuille liitännäisille ja teemoille saatavilla olevia uusia päivityksiä.

Vinkki: Jos et halua, että manuaalisesta päivityksestä on vaivaa, lue lisää one.comin Hallitusta WordPressistä ja sen integroidusta Update Managerista. 

---

Poista lisäosat ja teemat, joita et käytä

Kaikki asentamasi lisäosat ja teemat ovat mahdollisia turvariskejä, joten mitä vähemmän sinulla niitä on, sitä parempi.

Suosittelemme poistamaan kaikki käyttämättömät teemat paitsi WordPress-oletusteemat (Twenty Nineteen, Twenty Twenty jne.). Sama koskee lisäosia, joita et enää tarvitse. Voit poistaa ne suoraan WP-hallintapaneelin kautta tai poistaa ne verkkotilastasi.

Poista kaikki vanhat WordPress -asennukset verkkolevytilastasi, joita olet käyttänyt esimerkiksi varmuuskopiona tai kokeilutarkoituksiin. Nämä ovat haavoittuvaisia hakkeroinnille.

Vinkki: asenna laajennuksia ja teemoja vain luotettavista lähteistä. Jos löydät ilmaisen version teemasta, josta sinun on normaalisti maksettava, on olemassa suuri riski, että sen mukana tulee "ilmainen" haittaohjelma.

---

Tarkkaile verkkosivustosi tilaa

Varmista, että sinulla on ilmainen one.com -emolaajennus asennettuna, jotta voit hyötyä sen hyödyllisistä verkkosivustojen analysointiominaisuuksista, kuten Health Monitor.

Health Monitor suorittaa verkkosivuston perustarkistuksia, esimerkiksi jos käytät uusinta WordPress-versiota. Tämän työkalun avulla voit pitää silmällä tärkeitä tietoturva- ja suorituskyvyn tarkistuspisteitä ja tiedottaa ongelmista, jotka on korjattava. Riippuen siitä, onko kaikki hyvin, saat joko ilmoituksen "Kaikki OK" tai luettelon suositeltavista tehtävistä.

Vinkki: Health Monitor Prolla, joka sisältyy Managed WordPress -lisäosaan, voit korjata tällaiset ongelmat yhdellä hiiren napsautuksella.

---

Suojaa wp-admin -kansio salasanalla

Torju hakkereita ja suojaa wp-admin -kansiosi salasanalla. Näin voit lisätä yhden lisäturvallisuuskäytännön osaksi WordPress -sivuston hallintaa.

Voit seurata opastamme sivustosi suojaamisesta .htaccessin avulla. Varmistathan, että asetat suojauksen vain wp-admin kansioon, etkä koko sivustolle, sillä se estää kävijöiden pääsyn sivustollesi. Laita tiedostot wp-admin -kansioon.

• Miten verkkosivusto suojataan salasanalla?

Huom.: Jos wp-admin -kansiossa on jo valmiiksi .htaccess tiedosto, lisää saamasi koodi jo olemassa olevaan tiedostoon. Älä korvaa sitä.

Toinen tapa estää hakkereita hyödyntämästä WordPress-sivustoasi on ohjata WordPress-kirjautumissivusi ohjauspaneelisi kautta Advanced Login Protection -sovelluksella.

• Mikä on WordPressin Advanced Login Protection?

---

Luo mukautettu käyttäjänimi hallinnoimista varten.

Hakkerit yrittävät usein saada pääsyn WordPress -hallintapaneeliisi käyttäen niin sanottua Brute Force -hyökkäystä. Siinä robotit kokeilevat miljoonia eri salasanojen ja käyttäjänimien yhdistelmiä kirjautuakseen sisään. Suosittelemme luomaan yksilöllisen käyttäjätunnuksen, jotta kirjautumistietojesi arvaaminen on vaikeampaa.

Voit muuttaa hallinnoivan käyttäjänimesi phpMyAdminissa taulukossa wp_users. Katso oppaamme kuinka päästä sisälle tietokantaasi.

• Miten tietokanta avataan phpMyAdminin avulla?

Kun olet kirjautuneena sisään:

• Etsi taulukko nimeltä wp_users (se saattaa myös olla 0_users).
• Etsi hallinnoiva käyttäjänimesi ja napsauta Edit.
• Kohdan user-login alla lisää käyttäjänimesi Value -tekstilaatikkoon.
• Napsauta Go tallentaaksesi.

---

Estä PHP lataushakemistossasi

Jos olet asentanut WordPressin manuaalisesti, suosittelemme estämään PHP:n latauskansiossa. Jos olet käyttänyt yhden napsautuksen asennusohjelmaa, voit ohittaa tämän osion. Yhden napsautuksen WordPress-asennuksissa PHP-suoritus on oletuksena poistettu käytöstä.

On yleistä, että PHP-takaovi sijaitsee lataushakemistossa. Siitä eteenpäin haittaohjelmat leviävät sivustosi muihin paikkoihin. Et voi estää takaoven lataamista, mutta voit estää sen leviämisen muualle poistamalla PHP-suorituksen käytöstä.

Voit estää PHP:n suorittamisen lisäämällä nämä ohjelmarivit latauskansion (wp-content/uploads) .htaccess-tiedostoon.

# Estä suoritettavat 
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
    kiellä kaikilta
</FilesMatch>

Tutustu oppaaseemme .htaccess-tiedoston luomisesta ja poista tiedoston suorittaminen käytöstä kaikkien tarvittavien vaiheiden suorittamiseksi.

• Estä WordPressin latauskansion tiedostojen suorittaminen

Huomaa: Jos sinulla on jo .htaccess-tiedosto verkkolevytilassasi, sinun ei tarvitse luoda uutta tiedostoa. Sen sijaan voit kopioida koodin olemassa olevaan tiedostoon.

---

Liittyvät aiheet:

• Vaihda WordPress salasanasi tietokannassa
• Mikä SiteLock-paketti minun pitäisi valita?