Turvallinen WordPress sivusto

Käsi pystyyn, kuinka monella on hakkeroitu WordPress sivusto? Aika monella arvaan ja niin on käynyt aikoinaan myös minulle. Yksi tekemäni sivusto hakkeroitiin, koska en ottanut tarpeeksi selvää WordPressin turvallisuudesta. Miksi? Yksi huono syy oli rajallinen aika ja muiden töiden kasaantuminen - tosin sain käyttää enemmän aikaa sivuston korjaamiseen, kuin olisin joutunut käyttämään sivuston turvallisuuden varmistamiseen ihan alunpitäenkin. Toinen ja suurempi syy holtittomuuteeni oli se, että olen aikaisemmin käyttänyt Textpatternin CMS:ää sivujen pohjalla, enkä ollut täysin tietoinen siitä kuinka paljon haavoittuvaisempia WordPress sivustot ovat.

Osaksi tämä johtuu siitä, että WordPress on paljon suositumpi ja käytetympi kuin Textpattern ja siksi myös hakkerit käyttävät enemmän aikaa WP-sivujen kaatamiseen kuin etsivät harvemmin käytettyä TXP:tä.

Miten sitten sain korjattua sivuston? No onneksi olin tehnyt jotain oikein ja varautunut tulevaan, olin nimittäin ottanut sivustosta backupin, joten eikun lataamaan ja palauttamaan kaikki samannäköiseksi kuin aikaisemmin. Tämän jälkeen alkoi varsinainen suojaustyö, johon kuului mm. FTP-salasanojen vaihto ja WP-admin salasanojen vaihto.

Yhtä kokemusta rikkaampana ajattelin jakaa keräämäni tiedon suomeksi (englanniksi näitä löytyy paljon). Listaan alle asioita, mitä kannattaa tehdä oman sivustonsa suojaamiseksi.

Näin teet WordPress sivustostasi turvallisen

1. Turvallinen salasana ja käyttäjätunnus

Tiedän, tätä toitotetaan joka paikassa, mutta silti...
Älä käytä mitään vanhoja salasanojasi, vaikka ne olisivat niin mukavan helppoja muistaa. Tee salasanastasi sellainen, että se sisältää numeroita ja isoja sekä pieniä kirjaimia. Sinun ei tarvitse muistaa salasanaa - tallenna ne johonkin järkevään paikkaan, josta saat ne helposti käsiisi.

Muista myös vaihtaa admin -käyttäjä toiseksi, sillä lokeista näkee, että tämän avulla tosi moni yrittää päästä käsiksi sivustoosi. Miten se sitten tehdään ? Kirjaudu sisään ja luo uusi käyttäjä admin-oikeuksin > kirjaudu ulos > kirjaudu sisään uusilla tunnuksilla ja tarkista että ne toimivat oikein > poista käyttäjä ‘admin’.

2. Päivitä WP, pluginit ja teemat ajallaan uusimpiin versioihin

Päivityksissä korjataan turvallisuusriskejä sekä mahdollisia bugeja ja bonuksena tulee aina jotain uusia kivoja lisäominaisuuksia.

Jos pelkäät päivitysten rikkovan jotain sivustossasi tai teemassasi, niin ota backup ja opettele myös käyttämään sitä. Voit tehdä sen manuaalisesti itse tai jonkun pluginin avulla. Toisaalta jos teemasi ei tue uusinta WP:n päivitystä, niin kannattaako sitä käyttää ? Suosittelen käyttämään teemaa ja plugineja, joita pävitetään säännöllisesti WP:n päivitysten yhteydessä. No mistä sitten tietää päivittäjien aktiivisuuden ? Katso WordPress plugin -sivustossa olevia tietoja; koska plugin on viimeksi päivitetty, onko päivittäjä vastannut aktiivisesti tukipyyntöihin jne...

3. Käytä hyviä plugineja

Kuten TXP:llä, myös WP:llä on "must have" pluginit, joita kannattaa käyttää. Tässä lista muutamasta hyväksihavaitusta:

Siinä vain muutama esimerkki, oma hyvä "must have" -lista koostuu sivuston tarpeiden mukaan ja siitä onko kyseessä yrityssivusto vai blogi.

4. Tarkista tiedosto-oikeudet (File Permissions)

Pystyt tarkistamaan tiedosto-oikeudet esim. FTP:n avulla. Kaikkiin tiedostoihin ei saa olla täysiä kirjoitusoikeikeuksia muilla kuin sinulla. Täydet oikeudet koostuvat yleensä numerosarjasta 777 tai 666.

Juurihakemisto (root) : vain sinun käyttäjätunnuksellasi käytettävä, ei ryhmän tai muun maailman.

Wp-admin -kansio: vain sinun käyttäjätunnuksellasi käytettävä, ei ryhmän tai muun maailman.
   
Wp-includes: vain sinun käyttäjätunnuksellasi käytettävä, ei ryhmän tai muun maailman.
   
Wp-content: OSAKSI kaikkien käyttäjien käyttämä  (owner/user, group, and public).

Wp-content/themes: vain sinun käyttäjätunnuksellasi käytettävä, ei ryhmän tai muun maailman. Jos haluat käyttää WP:n sisäistä editoria tiedostojen muokkaamiseen, tälle kansiolle tai muokattaville tiedostoille pitää antaa myös täydet ryhmäaoikeudet. Kannattaa kuitenkin muokkausten jälkeen käydä muuttamassa oikeudet takaisin vain sinun käyttäjätilillesi

wp-content/plugins: vain sinun käyttäjätunnuksellasi käytettävä, ei ryhmän tai muun maailman.

5. Tarkista palveluntarjoajasi (host)

Netistä löytyy monia hyviä palveluja, jotka tarjoavat alustoja nimenomaan WP-sivujen käyttäjille esim. Synthesis. Tämä on aiheellista esim. jos aiot tehdä useita sivustoja WP -alustalle ja olet vastuussa niiden toimivuudesta asiakkaillesi.

Näiden perusjuttujen lisäksi on vielä paljon erilaisia konsteja, mutta niistä kertyisi jo liian pitkä artikkeli, joten ...

Muutama linkki, joita kannattaa aiheeseen liittyen lueskella

Hardening WordPress

Synthesis - WordPress hosting

WordPress security checklist

Wordfence

Turvallisuuden kannalta molemmat CMS:t ovat käyttökelpoisia, kunhan tietää niiden haavoittuvuudet ja osaa varautua.

Loppuuntulema vastakkainasettelulle WordPress vs. Textpattern ? No winner there! Molemmissa on hyvät ja huonot puolensa; WordPressissä saa tehtyä kaikkea kivaa vain napin painalluksella, kuten asennettua teemoja ja kaikenlaisia hauskoja lisäosia - kunnes sitten "helppous" kaatuu siihen, että jokin osa ei toimikaan niinkuin pitää ja huomaan käyneeni läpi suuren määrän ohjesivustoja ja selvittäneeni mitä kaikki muut sanovat lisäosan toiminnasta. Eli vaikka WordPress voisi aluksi vaikuttaa helpolta, niin loppupeleissä sinun pitääkin tietää paljon paljon enemmän asioita, kuin aluksi luulit.

Textpatternissa rakastan sen yksinkertaisuutta ja toimivuutta, html-sivupohjia ja TXP-merkkausta. Ne on aluksi hankalampi opetella, kuin WordPress, mutta jatkokäyttö on minusta helpompaa. Textpatternilla on myös hiukan pienempi sekä tiiviimpi yhteisö, all for one and one for all -henkeen. Puolueellisuuteni Textpatterniin johtunee myös siitä, että aloitin sillä CMS:n käytön ja ylipäänsä opin ymmärtämään, mitä CMS tarkoittaa.

Jos sinulle on käynyt huonosti ja sivustosi tarjoaa vain tekstiä "hacked by a hacker", lue WP-sivuston ohjeita, kysy foorumilla ja voit kysyä myös minulta neuvoja - koitan auttaa parhaani mukaan virtuaalisia kelmejä vastaan.

- Katri

Kaikki kirjoitukset:
Viivakoodin tekeminen 8.08.13
Miten estää Drupalin roskaposti 28.06.13
Näin tehdään Favicon 2.06.13
The Pile of Rock Tour - konsertin markkinointi 3.04.13
Onnistunut tapahtumamarkkinointi vaatii hyvää suunnittelua 2.04.13
Ilmainen pullovektori 4.01.13
Turvallinen WordPress sivusto 11.12.12
Mustikkamaan kalenteri 2013 6.11.12
Yhdistyksen graafiset materiaalit 27.03.12
Yritysilmeen vaikutus toimintaan 27.03.12