Vältä yrityksesi WordPress-kotisivujen hakkerointi – Näin varmistat tietoturvan
WordPress-kotisivuihin kohdennetaan yhä enemmän hyökkäyksiä ja kalasteluja, joilla pyritään löytämään aukkoja sivustoista. Varsinkin päivittämättömät WordPress-verkkosivustot ovat alttiita niille. Jos rikollinen taho löytää aukon, sivusto todennäköisesti on hyvin nopeasti hakkeroitu ja tehty käyttökelvottamaksi.
Meille Telialle tulee usein kyselyjä ”miksi yrityksemme sivut eivät toimi enää?” Hakkeroitujen sivustojen tuhot ilmenevät hyvin nopeasti sivustodataa palvelimelta tutkiessa ja logeja katsoessa. Yleensä ne ovat mittavia ja vaativat useiden tuntien työn sivuston kuntoon saamiseksi.
”Miksi yrityksen kotisivut ovat nurin?”
Aloittelevana WordPress-kotisivujen käyttäjänä et välttämättä ole saanut riittävästi tietoa palvelun suojaamisesta. Oppaita aiheesta toki löytyy ja niiden tutkimiseen saisit helposti uhrattua päivän jos toisenkin. Neuvot voivat kuitenkin olla myös ristiriidassa keskenään.
Tärkeimmät asiat WordPress-kotisivujen ylläpidossa ovat:
- Suojaa sivusto salasanalla.
- Pidä WordPress-kotisivujen päivitykset ajan tasalla.
- Päivitä lisäosat ja teemat aina ajan tasaisesti.
- Varmuuskopioi sivusto ja tietokannat.
Tästä artikkelista löydät tietoa WordpPess-kotisivujen suojaamisesta aloitusvaiheessa ja vinkkejä myös jatkoa ajatellen.
Huomioi tietoturva jo WordPress-kotisivujen käyttöönottovaiheessa
- Käyttäjätunnuksen luominen ja admin-salasanan asettaminen
WordPress-sivuston asennuksen jälkeen perusasioihin kuuluu käyttäjätunnuksen luonti sekä admin-salasanan asettaminen. Paras keino luoda salasana on tehdä jollakin Strong Password Generaattorilla vähintään 16-merkkinen satunnaisia merkkejä sisältävä salasana (Esimerkki vahvasta salasanasta: ZL3)i;28b7DU)\w5UzI8). - WordPress-verkkosivuston tietokanta
Myös sivuston tietokanta asetetaan käyttöön alkuvaiheessa. Varmista, että luot myös tietokannalle vahvan salasanan, mielellään yli 16 satunnaista merkkiä. Tietokanta on sivuston tärkein yksittäinen osa ja sitä voisi kutsua tukipilariksi sivustolle. Wordpressin osalta tärkeimmät asiat tapahtuvat tietokannan sisällä, koska sivustodata kirjoitetaan tietokantaan asetuksineen ja teksteineen. - Varmuuskopiointi
Muista varmuuskopiointi! Usein varmuuskopioita kysellään meiltä Telialta. Nämä ovat vanhemmissa palveluissa yleensä asiakkaan omalla vastuulla, koska vanhemmat palvelut eivät välttämättä sisällä varmuuskopiointipalvelua. Sivustoja voidaan hätätapauksissa palauttaa asiantuntijatyönä palvelimen varmuuskopioista, mutta monesti nämäkään eivät ole sivustoa enää pelastaneet.
Muista päivittää WordPress aina ajan tasalle
Tärkeintä käyttäjän ja ylläpitäjän kannalta on pitää WordPressin päivitykset aina ajan tasalla. Muistathan huolehtia myös lisäosien päivittämisestä.
WordPressin omilla toiminnoilla taataan paras tietoturva sen ydintoimintojen osalta, joten ethän unohda perussääntöä ”älä lataa lisäosia, joita et tarvitse”. WordPress on suhteellisen helppo suojata ilman tietoturvaa ”lisääviä” lisäosia.
Sivuston automaattisiin päivityksiin liittyy myös ongelmia. Monet suosivatkin sivuston päivittämistä itse, jotta he pystyvät reagoimaan sivustossa mahdollisesti ilmeneviin ongelmiin jo päivityksen yhteydessä. Pahimmassa tapauksessa päivityksen suorittaminen ilman valvontaa voi aiheuttaa sivustoon toimimattomuutta tai rikkoa sen ulkoasun hetkellisesti.
Varmuuskopioinnilla varmistat, että sivusto on palautettavissa pisteeseen, jossa se oli varmuuskopiointihetkellä.
PHP on tärkeä osa WordPress-sivuston tietoturvaa
WordPress on rakennettu PHP-ohjelmointikielellä. Se on toinen tukipilari tietokannan ohella ja se määrittää myös sivuston tietoturvaa.
Liian vanha PHP-versio on alttiina hyökkäyksille ja hyökkäyksiä voidaan kohdentaa vanhassa PHP-versiossa olevien tietoturva-aukkojen kautta. Huolehdithan, että sivustosi PHP-versio on tuorein tarjolla oleva. Jos sivustollasi on käytössä versioita 5.6-7.x, kannattaa tarkistaa tukeeko sivustosi uudempaan päivittämistä ja päivittää se ajan tasalle.
PHP:n päivittämiseen on pari nyrkkisääntöä:
- Älä päivitä PHP-versiota ennen kuin sivusto on tarkastettu ja varmuuskopioitu.
- Tarkista onko sivustolla elementtejä (mm. lisäosat ja teemat) jotka eivät tue uudempaa PHP-versiota.
- Päivitä Wordpress sekä lisäosat ennen PHP-version päivittämistä uusimpaan mahdolliseen versioon, jonka päivitys sallii.
Meiltä Telialta saat tilattua TLS/SSL-varmenteen sivustollesi erilliseen hintaan.
”Avaimet käteen” -palvelu WordPress-verkkosivuston käyttöönottoon
Halutessasi voit tilata meiltä asiantuntijatyönä WordPress -sivuston käyttöönoton. Voit tehdä tilauksen palvelupyyntönä MyNebulan kautta. Asennamme tällöin tilaamaasi palveluun WordPress julkaisujärjestelmän, asennamme sovitulla tavalla varmuuskopiointipalvelun ja päivitämme kaiken valmiiksi käyttöönottoa varten. Sinulle jää vain sivuston sisällön luominen ja ylläpito.
Tulemme tarjoamaan tulevaisuudessa lyhyen oppaan WordPress-verkkosivuston ylläpitoon, josta saat apua sivuston käyttöönoton jälkeen. Oppaassa kerrotaan, mitä rutiineita on hyvä tehdä sopivin väliajoin, minkälaisia asioita kannattaa aika-ajoin tarkistaa ja miten teet tarvittaessa varmuuskopioinnin itse.
Varsinaisen käyttöönoton jälkeen vastuu sivuston ylläpidosta siirtyy aina käyttäjälle tai sivuston ylläpitäjälle, joka on usein asiakas itse tai yrityksessä nimetty henkilö.
Kun hoidat WordPress-kotisivuja hyvin, se toimii luotettavasti ja vältyt tietoturvauhkilta.
