miten WordPress-verkkosivustot hakkeroidaan
Johtuen laajasta suosiostaan CMS-järjestelmänä WordPress on myös suosittu kohde hakkereille.
Hakkerointihyökkäykset ovat enimmäkseen pikemminkin opportunistisia kuin kohdennettuja (vaikkakin isojen tuotemerkkien verkkosivustot voivat olla nimenomaisesti kohteena). Useimmat hyökkäykset ovat automatisoituja, ja botit etsivät Internetistä korkealta ja matalalta tietoturvaheikkouksia hyödynnettäväksi.
Hyökkäyksiä tehdään usein:
- Turvattoman verkkosivuston hostingin kautta
- Kirjautumistietojen kautta – esimerkiksi yrittämällä useita satunnaisia käyttäjätunnuksen ja salasanan yhdistelmiä
- CMS-, lisäosien tai teemojen ohjelmistojen tietoturvaheikkouksien kautta – yleensä silloin, kun niitä ei ole päivitetty
Hakkerien motiiveja on monenlaisia, mutta usein kyse on voitosta. Sivustojen hakkerointi haittaohjelmien levittämiseksi, käyttäjätietojen hankkimiseksi, roskapostiviestien lähettämiseksi tai verkkosivuston kävijöiden uudelleenohjaamiseksi voi olla erittäin tuottoisaa.
Tällaisilla tietoturvaloukkauksilla voi olla erittäin kielteinen vaikutus verkkosivustollesi ja liiketoiminnallesi – ne heikentävät käyttäjien luottamusta, aiheuttavat lainrikkomuksia ja saattavat maksaa tuhansia puntia. On siis elintärkeää suojata WordPress-sivustosi hakkerointia vastaan.
onko WordPress-sivustoni altis hakkeroinnille?
WordPress-aloittelijat ja pienten sivustojen omistajat ajattelevat usein, ettei heidän tarvitse huolehtia tietoturvasta. He olettavat, että heidän sivustonsa on liian pieni ja merkityksetön kiinnostamaan hakkereita.
Tämä oletus on väärä.
Kaiken kokoisia WordPress-sivustoja hakkeroidaan. Hakkerit käyttävät automatisoituja botteja etsiessään internetistä sivustoja, joissa on tietoturvaheikkouksia, ja hakkeroivat kaikkialla, missä siihen on mahdollisuus.
Toinen tärkeä asia, joka on ymmärrettävä, on se, että et välttämättä edes tiedä, milloin hakkerit yrittävät murtautua sivustollesi. Ellet saa säännöllisiä tietoturvailmoituksia hakkerointiyrityksistä, huomaat sen luultavasti vasta, kun hakkerointi onnistuu ja jotakin sivustollasi menee pieleen.
Viimeinen viesti on, että kaikki sivustot ovat alttiita hakkeroinnille – ja ennaltaehkäisy on parempi kuin hoito. Varmista, että asennat tietoturvaliitännäisen ja toteutat muita ennaltaehkäiseviä turvatoimia, jotta sivustosi pysyy turvassa.
Miten voit voittaa WordPress-hakkerit
Jaamme nyt 10 tärkeintä tapaa, joilla voit pitää WordPress-sivustosi turvassa ja estää sen hakkeroinnin.
1) Valitse turvallinen isännöintipalveluntarjoaja
Kaikkiin hyviin isännöintipalveluntarjoajiin sisältyy tietoturvasuojaus, jonka avulla voit varmistaa, että sivustosi tiedot pysyvät turvassa niiden palvelimilla.
Valitsemalla hosting-palveluntarjoajaa varmista, että tarkistat, mitä turvatoimia heillä on (kuten palomuurit ja suojattu FTP), miten he valvovat palvelinverkkoa ja miten he reagoivat mahdollisiin tietoturvaloukkauksiin.
WordPress-sivustosi voi olla erityisen haavoittuvainen hakkeroinnille, jos sinulla on jaettu hosting-paketti, sillä hakkerit voivat mahdollisesti käyttää samalla palvelimella olevia muita sivustoja päästäkseen käsiksi omaan sivustoosi.
Turvallisin – mutta myös kallein – hosting-vaihtoehto on oma palvelin. Tätä kannattaa harkita, jos sinulla on erityisen paljon liikennettä tai säilytät sivustollasi arkaluonteisia tietoja.
2) Hanki tietoturvaliitännäinen
Laadukkaan tietoturvaliitännäisen hankkiminen on ehdoton edellytys, jotta WordPress-sivustosi ei joutuisi hakkeroiduksi.
Turvaliitännäiset sisältävät yleensä:
- palomuurin, joka estää epäilyttävän liikenteen
- harkean suojan useita satunnaisia kirjautumisyrityksiä vastaan
- skannerin, joka tarkastaa tiedostojasi, teemojasi ja liitännäisiäsi tietoturvaongelmien varalta
- säännölliset tietoturva-ilmoitukset
Suosituksemme koskee Wordfenceä – erinomaista ilmaista tietoturva-lisäosaa. Kun olet asentanut sen, ’Wordfence’ ilmestyy WordPress-kojelautasi vasempaan valikkoon. Voit napsauttaa tätä milloin tahansa skannataksesi sivustosi, nähdä viimeisimmät ilmoitukset ja saada suosituksia sivuston turvallisuuden parantamiseksi.
3) Valitse turvallinen teema
Oikean teeman valitseminen sivustollesi on ratkaisevan tärkeää. Siinä on tietenkin oltava organisaatiollesi sopiva ulkoasu ja ominaisuudet. Mutta sen on myös oltava vankka ja turvallinen.
Turvallisen teeman on:
- Ole päivitetty ja korjattu säännöllisesti
- Pitäydyttävä hyvissä koodausstandardeissa
- Ei siihen liity bugeja tai yhteensopivuusvirheitä
Kun saatavilla on yli 7000 WordPress-teemaa, voi olla hankalaa tietää, mistä aloittaa!
Paras tapa valita turvallinen teema on etsiä WordPress.org-sivustolta. Siellä voit selata teema-arvosteluja, tarkistaa, kuinka monta asennusta teemalla on ollut, ja nähdä, milloin teema on viimeksi päivitetty – kaikki hyviä merkkejä turvallisuudesta.
Voit myös kysyä WordPress-toimistoltasi teemasuosituksia, jotka vastaavat juuri sinun verkkosivustosi ja organisaatiosi tarpeita.
4) Pidä WordPress ajan tasalla
WordPressin pitäminen ajan tasalla on toinen tärkeä turvallisuustoimenpide. WordPress-ohjelmistopäivityksiä tehdään säännöllisesti suorituskyvyn optimoimiseksi ja tietoturvaongelmien korjaamiseksi sitä mukaa, kun niitä havaitaan.
Useimpiin WordPressin ydinversioihin on mahdollista soveltaa automaattisia päivityksiä, jolloin sivustosi päivittyy taustalla ilman, että sinun tarvitsee tehdä mitään. Suurempia julkaisuja on kuitenkin edelleen toteutettava manuaalisesti – muista varmuuskopioida sivustosi ensin!
Päivitystiedotteet näkyvät WordPressin kojelaudallasi heti, kun ne ovat saatavilla. Klikkaa niitä vain toimiaksesi. Myös laajennuksia ja teemoja kannattaa päivittää säännöllisesti.
5) Käytä turvallisia kirjautumistietoja
Kuten edellä mainittiin, yksi tärkeimmistä tavoista, joilla hakkerit pääsevät käsiksi WordPress-sivustoosi, on automatisoidut ”arvatut” kirjautumisyritykset. Mitä ilmeisempiä käyttäjätunnuksesi ja salasanasi ovat, sitä todennäköisemmin nämä yritykset onnistuvat.
Hakkeroinnin estämiseksi varmista, että valitset epätyypillisen käyttäjätunnuksen. Tämä tarkoittaa periaatteessa sitä, ettet käytä käyttäjätunnusta ”admin”, joka on niin yleinen, että se on yleensä ensimmäinen käyttäjätunnus, jota hakkerit kokeilevat.
Toiseksi, valitse turvallinen salasana, joka sisältää kirjainten, symbolien ja numeroiden yhdistelmän. Maksimaalisen turvallisuuden takaamiseksi salasanan tulisi olla vähintään 12 merkkiä, eikä se saisi sisältää sanakirjasanoja.
Varmista WordPress-kojelaudan sisäänkirjautuminen ja varmista, että valitset turvalliset käyttäjätunnukset ja salasanat myös muille verkkosivustoon liittyville tileillesi, kuten mukautetulle sähköpostiosoitteellesi. Muuten myös näitä voidaan käyttää sivustosi hakkerointiin.
6) Lisää kaksitekijätodennus
Voit vahvistaa WordPress-kirjautumistasi entisestään ottamalla käyttöön kaksitekijätodennuksen. Tämä on erityisen hyödyllistä, jos sinulla on useita käyttäjiä kirjautumassa sivustosi back-endiin.
Kahden tekijän todennuksen avulla käyttäjät kirjautuvat sisään kahdessa vaiheessa. Ensin he syöttävät käyttäjätunnuksensa ja salasanansa. Sitten heidän on syötettävä kertakäyttöinen salasana henkilöllisyytensä todentamiseksi.
Kaksifaktorinen todennus on helppo ottaa käyttöön edellä suosittelemallamme Wordfence-suojauslisäosalla. Se käyttää autentikointisovellusta luodakseen käyttäjille salasanoja.
Asettaaksesi asiat, siirry WordPressin kojelaudan Wordfence > Login Security -kohteeseen ja kopioi annettu avain. Lataa sitten Google Authenticator (tai jokin muu autentikointisovellus) ja syötä tämä avain.
Tässä vaiheessa sovellus antaa kuusinumeroisen koodin. Syötä tämä takaisin WordPressin kojelautaan ja napsauta ”Aktivoi”.
Kaksitekijätodennus on nyt käytössä. Tämä tarkoittaa, että aina kun yrität kirjautua sisään WordPressiin, sinua kehotetaan siirtymään autentikointisovellukseesi ja keräämään salasana.
7) Poista tiedostojen muokkaus käytöstä
WordPressissä on koodieditori, jonka avulla voit muokata sivustosi tiedostoja kojelaudan kautta. Vaikka tämä on tietenkin hyödyllinen ominaisuus, se on myös valtava rasite hakkeroinnin kannalta. Siksi suosittelemme sen kytkemistä pois päältä.
Toinen tapa estää tiedostojen muokkaus on poistaa PHP-tiedostojen suoritus käytöstä /wp-content/uploads/-kansioissa. Avaa tätä varten Notepad – tai vastaava tekstieditori – ja liitä seuraava:
<Files *.php>
deny from all
</Files>
Jos tallennat tämän muodossa .htaccess ja lataat tiedoston verkkosivustosi /wp-content/uploads/-kansioihin, se estää myös hakkereita tekemästä takaporttihyökkäyksiä PHP-suoritukseesi.
8) Skannaa verkkosivustosi ja tietokoneesi
On tärkeää skannata verkkosivustosi säännöllisesti haittaohjelmien, virusten ja epäilyttävän koodin tarkistamiseksi. Jos käytät Wordfence-lisäosaa, tämä voidaan tehdä siirtymällä kohtaan Wordfence > Skannaa ja napsauttamalla ”Aloita uusi skannaus”.
Jos ongelmia ilmenee, Wordfence ehdottaa, miten ne korjataan ja saat sivustosi jälleen turvalliseksi. Suosittelemme skannausta vähintään kerran kuukaudessa – jos voit tehdä sen useammin, vielä parempi!
Ei kuitenkaan kannata luottaa turvalliseen sivustoon, jos tietokone, josta käsin käytät sivustoa, on salakuuntelun kohteena tai saanut tartunnan. Varmista siis, että myös tietokoneesi tai laitteesi tarkistetaan säännöllisesti.
Käytät laitteessasi hyvää virustorjuntaohjelmaa ja varmistat, että päivität järjestelmäsi säännöllisesti. Suosittelemme myös tarkistamaan selaimesi tietosuoja-asetukset, jotta vältyt hakkeroinnilta internetiä selatessasi.
9) Käytä HTTPS:ää
HTTPS-sivuston käyttäminen tarkoittaa, että verkkosivustosi ja käyttäjien selaimien välinen viestintä on salattua. Tämä on siis toinen keskeinen tapa estää hakkerointi.
Jos sinulla ei vielä ole HTTPS-sivustoa, sen siirtäminen on hyvin helppoa. Sinun tarvitsee vain hankkia SSL-varmenne (Secure Sockets Layer), joka on saatavilla kaikille verkkosivustoille ilmaiseksi Let’s Encryptistä.
Jos sinulla on jo SSL-varmenne, muista asettaa kalenteriin muistutus sen uusimisesta kahden vuoden välein. Muuten se on helppo unohtaa ja antaa sivustosi HTTPS-statuksen – ja hyvien tietoturvatietojen – raueta.
10) Varmuuskopioi, varmuuskopioi, varmuuskopioi!
Viimeinen vinkkimme ei varsinaisesti estä hakkerointia, mutta se on luultavasti tärkein askel siltä varalta, että sivustosi joutuu joskus hakkeroinnin kohteeksi.
Tehdäksesi sivustostasi säännöllisin väliajoin varmuuskopioita voit palauttaa sivustosi takaisin nopeasti, jos se on joskus tarpeen. Ilman varmuuskopiointia voit menettää kaiken, mitä olet koskaan suunnitellut, julkaissut tai kirjoittanut sivustollesi.
Miten varmuuskopioida WordPress-sivustosi riippuu siitä, minkälainen hosting-järjestelmä sinulla on. Varmista, että puhut hosting-palveluntarjoajasi kanssa; he saattavat sisällyttää varmuuskopioinnin osaksi hosting-pakettiasi.
Vaihtoehtoisesti voit puhua WordPress-toimistosi kanssa tai asentaa varmuuskopiointilaajennuksen. Riippumatta siitä, millä tavalla teet sen, varmista, että varmuuskopioit WordPress-sivustosi säännöllisesti ja säilytä varmuuskopiotiedostot turvallisesti, jotta tiedät, että ne ovat siellä, jos joskus tarvitset niitä.