← Back

Pieni WordPress-tietoturvaopas

Tietoturvaopas WordPress-verkkosivustoa koskevan tietoturvan parantamiseksi


1. Salasana ja käyttäjätunnus

  • Käytä monimutkaista salasanaa
  • Käytä pitkää salasanaa (väh. 8 merkkiä)
  • Vältä yleisiä salasanoja, kuten esim. ”password”, ”salasana”, ”123456”
  • Jokaiselle sivustolle oma salasana
  • Vältä yleisiä käyttäjätunnuksia kuten Admin tai administrator

2. Pidä WordPress päivitettynä

  • Pidä huoli siitä, että WordPress-versio on päivitettynä aina uusimpaan mahdolliseen
  • Hanki lisäosa WordPress-version automaattista päivitystä varten tai muokkaa wp-config.php tiedostoa koodinpätkällä, joka mahdollistaa WordPress-version automaattisen päivityksen (koodinpätkän tietoturvaoppaan alta)

3. Pidä WordPress-laajennukset päivitettyinä

  • Kuten WordPress-version kanssa, pidä huoli, että laajennukset ovat päivitettynä aina uusimpaan mahdolliseen versioon
  • Tarkasta lisäosien päivitykset viikoittain manuaalisesti, lataa lisäosa laajennusten automaattista päivitystä varten, tai lisää wp-config.php tiedostoon koodinpätkät, jotka mahdollistavat laajennusten automaattisen päivityksen (koodinpätkät löydät tietoturvaoppaan alta)

4. Suosi vain luotettuja teemoja ja lisäosia

  • Lataa teemat ja lisäosat vain luotetuista lähteistä
  • Varmista että lisäosaa päivitetään säännöllisesti
  • Poista tarpeettomat laajennukset WordPressistäsi (jokainen laajennus on uusi tietoturvariski)

5. Tietokannan etuliitteet

  • Muuta tietokantojen etuliitteet muodosta ’wp_’ johonkin toiseen

6. Varmuuskopioi tai varmista varmuuskopioiden saatavuus palveluntarjoajalta

  • Lisäosien ja teeman päivitys saattaa vaikuttaa sivuston ulkonäköön
  • Varmuuskopiot tuovat turvaa, ”jos” tapauksia varten
  • Ongelmien sattuessa on mahdollista palauttaa varmuuskopiosta

7. Lisää tietoturvaa lisäosilla

  • Ota käyttöön kaksivaiheinen tunnistautuminen
  • Oletuskirjautumisosoite on /wp-login.php ja /wp-admin. Määritä kirjautumissivu uudelleen, jotta hyökkääjä ei löydä helppoa luukkua Brute-force -hyökkäyksille.
  • Rajoita kirjautumisyrityksiä 

8. Tilaa ja asenna sivustollesi käyttöön SSL-sertifikaatti

  • Tilaa sertifikaatti sivustollesi (useilta palveluntarjoajilta saa tilattua SSL:n)
  • SSL-sertifikaatti salaa sivustolla tapahtuvan liikenteen
  • SSL-sertifikaatilla varustetun sivuston tunnistaa https:// -alkuisesta osoitteesta sekä lukon kuvasta osoiterivillä
  • Google suosii HTTPS-alkuisia verkkosivustoja

9. Pidä huoli PHP-version päivityksestä

  • Tarkista osoitteesta https://www.php.net/supported-versions.php/ onko PHPversiosi enää tuettu.
  • Pyydä palveluntarjoajaasi vaihtamaan PHP-versio uusimpaan ➢ Uusimmat PHP-versiot ovat turvallisempia ja suorituskykyisempiä

10. Roskapostin estäminen

  • Mikäli sivuilla on lomake, suosittelen ottamaan käyttöön CAPTCHA-varmenteen, joka karsii pois robotit
  • Ota käyttöön yksi näkymätön kenttävaihtoehto lisää lomakkeille, joka erottelee botit ihmisistä

11. Wp-config

  • Estä pääsy wp-config.php tiedostoon htaccessin kautta (komento löytyy liitteestä 2)
  • Siirrä wp-config.php yhtä pykälää ylemmäs kansiohakemistossa

12. WordPress-version piilotus

  • Poista readme.html tiedosto, jotta WordPress-asennuksen versio ei ole helposti saatavilla

 

 

Tietoturvaoppaan avauksessa mainitut komennot ja lisäosat suorine linkkeineen

Tietokantojen etuliitteiden vaihtoon suoritettavat komennot ovat seuraavat:

  • RENAME table `wp_commentmeta` TO `xx_commentmeta`;
  • RENAME table `wp_comments` TO `xx_comments`;
  • RENAME table `wp_links` TO `xx_links`;
  • RENAME table `wp_options` TO `xx_options`;
  • RENAME table `wp_postmeta` TO `xx_postmeta`;
  • RENAME table `wp_posts` TO `xx_posts`;
  • RENAME table `wp_termmeta` TO `xx_termmeta`;
  • RENAME table `wp_terms` TO `xx_terms`;
  • RENAME table `wp_term_relationships` TO `xx_term_relationships`;
  • RENAME table `wp_term_taxonomy` TO `xx_term_taxonomy`;
  • RENAME table `wp_usermeta` TO `xx_usermeta`;
  • RENAME table `wp_users` TO `xx_users`;

 

 

  • UPDATE `xx_options` SET `option_name`=REPLACE(`option_name`,'wp_','xx_') WHERE `option_name` LIKE '%wp_%';
  • UPDATE `xx_usermeta` SET `meta_key`=REPLACE(`meta_key`,'wp_','xx_') WHERE `meta_key` LIKE '%wp_%';



Tietoturvaoppaan avauksessa mainitut lisäosat suorine latauslinkkeineen:

Askel numero 2:

Askel numero 7:

Askel numero 9: 

Askel numero 10:


Htaccess tiedostoon lisättävät koodirivit, toimintoa varten, joka estää pääsyn wp-config.php tiedostoon:

<files wp-config.php> order allow,deny deny from all </files>

                                                                                    Copyright (c) 2017-2019, All Rights Reserved. Euronic Oy
                                                                                    Tämä websivusto on tehty Woo® -kotisivukoneella.
                                                                                    1322851
                                                                                    Tämä verkkosivu voi käyttää evästeitä
                                                                                    Tämä verkkosivu voi käyttää evästeitä verkkosivujen toiminnan parantamiseksi. Voit estää evästeiden käytön oman selaimesi asetuksissa. Käyttäessäsi verkkosivujamme hyväksyt myös evästeiden käytön.
                                                                                    Evästeiden tiedot
                                                                                    Tämä verkkosivu voi käyttää evästeitä verkkosivujen toiminnan parantamiseksi. Voit estää evästeiden käytön oman selaimesi asetuksissa. Käyttäessäsi verkkosivujamme hyväksyt myös evästeiden käytön.
                                                                                    OK, ymmärrän