WordPress on käytetyin sisällönhallintajärjestelmä maailmassa. Tällä hetkellä noin 40 % kaikista verkkosivustoista käyttää WordPressiä. Suuresta suosiostaan johtuen se on valitettavasti myös suosittu hakkeroinnin kohde. Siksi suosittelemme parantamaan WordPress-sivuston turvallisuutta - näin voit pienentää hakkeroinniksi joutumisen riskiä.
Alle olemme koonneet suosituksia, jotka toteuttamalla voit tehdä WordPress-sivustostasi turvallisemman:
- Pidä aina huolta päivittämisestä
- Poista lisäosat ja teemat, joita et käytä
- Tarkkaile verkkosivustosi tilaa
- Suojaa wp-admin-kansio salasanalla
- Luo oma käyttäjänimi hallintapaneelia varten
- Estä PHP:n suorittaminen lataushakemistossasi
Pidä aina huolta päivittämisestä
Osa WordPress-päivityksistä korjaa tietoturvaongelmia, joita hakkerit voivat hyödyntää, joten päivitykset on tärkeää asentaa mahdollisimman pian. Voit helposti päivittää WordPress-versiot, lisäosat ja teemat WordPress-hallintapaneelin kautta. Jos sinulla ei ole pääsyä WordPress-hallintapaneeliin, voit päivittää WordPressin myös manuaalisesti.
- Miten pidän WordPress-sivustoni ajan tasalla?
- Päivitä WordPress manuaalisesti (ilman WP-järjestelmänvalvojan käyttöoikeuksia)
WordPress-version päivittämisen lisäksi tärkeää on myös seurata säännöllisesti asennetuille lisäosille ja teemoille saatavilla olevia uusia päivityksiä.
Tiesitkö?
Jos et halua päivittää kotisivuja manuaalisesti, tutustu one.comin Managed WP -lisäpalveluun, jonka sisältämä Update Manager voi huolehtia päivityksistä puolestasi.
Poista lisäosat ja teemat, joita et käytä
Kaikki asentamasi lisäosat ja teemat ovat mahdollisia tietoturvariskejä, joten mitä vähemmän niitä on, sitä parempi.
Suosittelemme poistamaan kaikki käyttämättömät teemat, paitsi WordPress-oletusteemat (Twenty Nineteen, Twenty Twenty jne.). Sama koskee lisäosia, joita et enää tarvitse. Voit poistaa ne suoraan WP-hallintapaneelin kautta tai voit poistaa ne verkkolevytilastasi.
Poista verkkolevytilastasi myös kaikki vanhat WordPress-asennukset, joita olet käyttänyt esimerkiksi varmuuskopiona tai testaustarkoituksiin. Ne ovat haavoittuvaisia hakkeroinnille.
Vinkki: Asenna lisäosia ja teemoja vain luotettavista lähteistä. Jos löydät ilmaisen version teemasta, joka on normaalisti maksullinen, on hyvin todennäköistä, että sen mukana tulee "ilmainen" haittaohjelma.
Tarkkaile verkkosivustosi tilaa
Varmista, että olet asentanut ilmaisen one.com-lisäosan, jotta voit käyttää sen hyödyllisisä verkkosivuston analysointiominaisuuksia, kuten Health Monitoria.
Health Monitor suorittaa verkkosivuston perustarkistuksia. Se tarkistaa esimerkiksi sen, käytätkä uusinta WordPress-versiota. Tämän työkalun avulla voit pitää silmällä tärkeitä tietoturva- ja suorituskykymittareita ja saada ilmoituksia ongelmista, jotka on korjattava. Työkalu antaa joko ilmoituksen "Kaikki OK" tai luettelon suositeltavista tehtävistä.
Vinkki: Managed WP -lisäpalveluun sisältyvällä Health Monitor Prolla voit korjata tällaiset ongelmat yhdellä klikkauksella.
Suojaa wp-admin-kansio salasanalla
Torju hakkereita ja suojaa wp-admin-kansiosi salasanalla. Näin voit lisätä yhden lisäturvallisuuskäytännön osaksi WordPress-sivuston hallintaa.
Voit seurata opastamme sivustosi suojaamisesta .htaccessin avulla. Varmistathan, että asetat suojauksen vain wp-admin kansioon, etkä koko sivustolle, sillä muuten kävijät eivät pääse sivustollesi. Laita tiedostot wp-admin-kansioon.
Huomaa: Jos wp-admin-kansiossa on jo valmiiksi .htaccess-tiedosto, lisää saamasi koodi jo olemassa olevaan tiedostoon. Älä korvaa sitä.
Toinen tapa estää hakkereita hyödyntämästä WordPress-sivustoa on uudelleenohjata WordPress-kirjautumissivusi one.com-ohjauspaneelin kautta Advanced Login Protection -ominaisuudella.
Luo oma käyttäjänimi hallintapaneelia varten
Hakkerit yrittävät usein murtautua WordPress-hallintapaneeliin käyttäen niin sanottua väsytyshyökkäystä. Väsytyshyökkäyksessä botit kokeilevat miljoonia eri salasanoja ja käyttäjänimiä löytääkseen oikean yhdistelmän, jolla kirjautua sisään. Suosittelemme luomaan yksilöllisen käyttäjätunnuksen, jotta kirjautumistietojesi arvaaminen on vaikeampaa.
Voit muuttaa kirjautumiskäyttäjänimesi phpMyAdminissa taulukossa wp_users. Lue oppaamme siitä, kuinka voit kirjautua tietokantaasi:
Kun olet kirjautuneena sisään:
- Etsi taulukko nimeltä wp_users (se saattaa myös olla 0_users).
- Etsi admin-käyttäjänimesi ja klikkaa Edit.
- Kohdan user-login alla lisää käyttäjänimesi Value-tekstikenttään.
- Tallenna klikkaamalla Go.
Estä PHP:n suorittaminen lataushakemistossasi
Jos olet asentanut WordPressin manuaalisesti, suosittelemme estämään PHP:n suorittamisen lataushakemistossa. Jos olet käyttänyt yhden klikkauksen asennusohjelmaa, voit ohittaa tämän osion. Yhden klikkauksen WordPress-asennuksissa PHP:n suorittamisen on oletuksena poistettu käytöstä.
Usein PHP-takaovi sijaitsee lataushakemistossa. Siitä haittaohjelmat voivat levitä sivustosi muihin paikkoihin. Et voi estää takaoven lataamista, mutta voit estää sen leviämisen muualle poistamalla PHP:n suorittamisen käytöstä.
Voit estää PHP:n suorittamisen lisäämällä nämä ohjelmarivit latauskansion (wp-content/uploads) .htaccess-tiedostoon.
# Estä suoritettavat
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
kiellä kaikilta
</FilesMatch>
Tutustu oppaaseemme .htaccess-tiedoston luomisesta ja poista tiedoston suorittaminen käytöstä.
Huomaa: Jos .htaccess-tiedosto löytyy jo verkkolevytilassasi, sinun ei tarvitse luoda uutta tiedostoa. Voit kopioida koodin olemassa olevaan tiedostoon.
Liittyvät aiheet: