WordPress on käytetyin sisällönhallintajärjestelmä maailmassa. Tällä hetkellä noin 40 % kaikista verkkosivustoista käyttää WordPressiä. Valitettavasti suuresta suosiostaan johtuen se on myös erittäin suosittu hakkeroinnin kohde. Suosittelemme siksi parantamaan WordPress-sivusi turvallisuutta pienentääksesi hakkeroiduksi joutumisen riskiä.
Alla olemme koonneet luettelon suosituksista, jotka voit toteuttaa turvallisemman WordPress-sivuston takaamiseksi:
- Pidä aina huolta päivittämisestä
- Poista lisäosat ja teemat, joita et käytä
- Tarkkaile verkkosivustosi tilaa
- Suojaa wp-admin -kansio salasanalla
- Luo mukautettu käyttäjänimi hallinnoimista varten.
- Estä PHP lataushakemistossasi
Pidä aina huolta päivittämisestä
Osa WordPress-päivityksistä korjaa tietoturvaongelmia, joita hakkerit voivat hyödyntää, joten on tärkeää päivittää mahdollisimman pian. Voit helposti päivittää WordPress-versiosi, laajennukset ja teemat WordPressin hallintapaneelin kautta. Jos sinulla ei ole pääsyä WordPressin hallintapaneeliin, voit päivittää myös manuaalisesti.
- Miten pidän WordPress-sivustoni ajan tasalla?
- Päivitä WordPress manuaalisesti (ilman WP-järjestelmänvalvojan käyttöoikeuksia)
WordPress -version päivittämisen lisäksi on myös tärkeää pitää silmällä säännöllisesti asennetuille liitännäisille ja teemoille saatavilla olevia uusia päivityksiä.
Vinkki: Jos et halua, että manuaalisesta päivityksestä on vaivaa, lue lisää one.comin Hallitusta WordPressistä ja sen integroidusta Update Managerista.
Poista lisäosat ja teemat, joita et käytä
Kaikki asentamasi lisäosat ja teemat ovat mahdollisia turvariskejä, joten mitä vähemmän sinulla niitä on, sitä parempi.
Suosittelemme poistamaan kaikki käyttämättömät teemat paitsi WordPress-oletusteemat (Twenty Nineteen, Twenty Twenty jne.). Sama koskee lisäosia, joita et enää tarvitse. Voit poistaa ne suoraan WP-hallintapaneelin kautta tai poistaa ne verkkotilastasi.
Poista kaikki vanhat WordPress -asennukset verkkolevytilastasi, joita olet käyttänyt esimerkiksi varmuuskopiona tai kokeilutarkoituksiin. Nämä ovat haavoittuvaisia hakkeroinnille.
Vinkki: asenna laajennuksia ja teemoja vain luotettavista lähteistä. Jos löydät ilmaisen version teemasta, josta sinun on normaalisti maksettava, on olemassa suuri riski, että sen mukana tulee "ilmainen" haittaohjelma.
Tarkkaile verkkosivustosi tilaa
Varmista, että sinulla on ilmainen one.com -emolaajennus asennettuna, jotta voit hyötyä sen hyödyllisistä verkkosivustojen analysointiominaisuuksista, kuten Health Monitor.
Health Monitor suorittaa verkkosivuston perustarkistuksia, esimerkiksi jos käytät uusinta WordPress-versiota. Tämän työkalun avulla voit pitää silmällä tärkeitä tietoturva- ja suorituskyvyn tarkistuspisteitä ja tiedottaa ongelmista, jotka on korjattava. Riippuen siitä, onko kaikki hyvin, saat joko ilmoituksen "Kaikki OK" tai luettelon suositeltavista tehtävistä.
Vinkki: Health Monitor Prolla, joka sisältyy Managed WordPress -lisäosaan, voit korjata tällaiset ongelmat yhdellä hiiren napsautuksella.
Suojaa wp-admin -kansio salasanalla
Torju hakkereita ja suojaa wp-admin -kansiosi salasanalla. Näin voit lisätä yhden lisäturvallisuuskäytännön osaksi WordPress -sivuston hallintaa.
Voit seurata opastamme sivustosi suojaamisesta .htaccessin avulla. Varmistathan, että asetat suojauksen vain wp-admin kansioon, etkä koko sivustolle, sillä se estää kävijöiden pääsyn sivustollesi. Laita tiedostot wp-admin -kansioon.
Huom.: Jos wp-admin -kansiossa on jo valmiiksi .htaccess tiedosto, lisää saamasi koodi jo olemassa olevaan tiedostoon. Älä korvaa sitä.
Toinen tapa estää hakkereita hyödyntämästä WordPress-sivustoasi on ohjata WordPress-kirjautumissivusi ohjauspaneelisi kautta Advanced Login Protection -sovelluksella.
Luo mukautettu käyttäjänimi hallinnoimista varten.
Hakkerit yrittävät usein saada pääsyn WordPress -hallintapaneeliisi käyttäen niin sanottua Brute Force -hyökkäystä. Siinä robotit kokeilevat miljoonia eri salasanojen ja käyttäjänimien yhdistelmiä kirjautuakseen sisään. Suosittelemme luomaan yksilöllisen käyttäjätunnuksen, jotta kirjautumistietojesi arvaaminen on vaikeampaa.
Voit muuttaa hallinnoivan käyttäjänimesi phpMyAdminissa taulukossa wp_users. Katso oppaamme kuinka päästä sisälle tietokantaasi.
Kun olet kirjautuneena sisään:
- Etsi taulukko nimeltä wp_users (se saattaa myös olla 0_users).
- Etsi hallinnoiva käyttäjänimesi ja napsauta Edit.
- Kohdan user-login alla lisää käyttäjänimesi Value -tekstilaatikkoon.
- Napsauta Go tallentaaksesi.
Estä PHP lataushakemistossasi
Jos olet asentanut WordPressin manuaalisesti, suosittelemme estämään PHP:n latauskansiossa. Jos olet käyttänyt yhden napsautuksen asennusohjelmaa, voit ohittaa tämän osion. Yhden napsautuksen WordPress-asennuksissa PHP-suoritus on oletuksena poistettu käytöstä.
On yleistä, että PHP-takaovi sijaitsee lataushakemistossa. Siitä eteenpäin haittaohjelmat leviävät sivustosi muihin paikkoihin. Et voi estää takaoven lataamista, mutta voit estää sen leviämisen muualle poistamalla PHP-suorituksen käytöstä.
Voit estää PHP:n suorittamisen lisäämällä nämä ohjelmarivit latauskansion (wp-content/uploads) .htaccess-tiedostoon.
# Estä suoritettavat <FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$"> kiellä kaikilta </FilesMatch>
Tutustu oppaaseemme .htaccess-tiedoston luomisesta ja poista tiedoston suorittaminen käytöstä kaikkien tarvittavien vaiheiden suorittamiseksi.
Huomaa: Jos sinulla on jo .htaccess-tiedosto verkkolevytilassasi, sinun ei tarvitse luoda uutta tiedostoa. Sen sijaan voit kopioida koodin olemassa olevaan tiedostoon.
Liittyvät aiheet: