Domain247 - koti sivuillesi
Asiakassivut
wordpress tietoturva

WordPress tietoturva tiivistetysti – näin suojaat kotisivusi

Tässä artikkelissa käymme läpi, miten WordPress-tietoturva hoituu helposti, jopa ilman ylimääräisiä lisäosia. Kotisivujen turvallisuus on tärkeää, jotta omat ja asiakkaasi tiedot pysyvät tallessa. Listaamme yleisimmät tietoturvauhat sekä jaamme yksinkertaiset vinkit, joiden avulla varmistat, että kotisivujen tietoturva riittää omien ja asiakkaiden tietojen turvaamiseen.

Yleisimmät tietoturvauhat ja niiden haitat verkkoliiketoiminnalle

Monet yleisimmät tietoturvauhat ovat valitettavan tuttuja sekä käyttäjille että verkkosivuston omistajille. Listasimme alle niistä muutamia.

Yksittäisen henkilön tietoturvauhat 

  • Huijaukset ja kalastelu. Kyseessä ovat muun muassa sähköpostit ja viestit, joissa vastaanottajia houkutellaan paljastamaan henkilökohtaisia tietoja, kuten salasanoja ja luottokorttitietoja.
  • Salasanojen heikkous. Moni suojaa omat tilinsä tietämättään huonosti. Heikot salasanat ovat alttiita murroille. 
  • Identiteettivarkaus. Rikolliset voivat varastaa henkilökohtaisia tietoja, ja käyttää niitä huijatakseen tai tehdäkseen lisää rikoksia nimelläsi.
  • Haittaohjelmat. Haittaohjelmat, kuten virukset ja vakoiluohjelmat, voivat tunkeutua tietokoneellesi ja varastaa tietoja tai aiheuttaa muuta vahinkoa.
  • Julkisen Wifi:n käyttö. Yhteydet julkisissa Wifi-verkoissa saattavat olla helposti haavoittuvia, mikä mahdollistaa tietojenkalastelun tai tietojen sieppauksen.

Tietoturvauhat verkkosivun omistajan näkökulmasta

  • Palvelunestohyökkäykset ovat kohdennettuja toimia, joissa yritetään ylikuormittaa verkkosivuston resursseja, mikä johtaa palvelun saatavuuden heikentymiseen.
  • Haitallista koodia voidaan syöttää verkkosivustolle esimerkiksi lomakkeiden kautta, mikä mahdollistaa tietojen varastamisen tai sivuston haavoittuvuuden hyväksikäytön.
  • Tietovuodot. Mikäli verkkosivustolla olevat asiakastiedot tai arkaluontoiset tiedot varastetaan, se voi aiheuttaa yrityksen maineen vahingoittumista ja oikeudellisia seurauksia.
  • Sivuston hakkerointi. Jos hyökkääjät saavat pääsyn verkkosivuston hallintapaneeliin tai palvelimelle, he voivat muokata sisältöä tai varastaa tietoja.
  • Päivitysten laiminlyönti. Kun verkkosivuston käyttämää ohjelmistoa tai alustaa ei päivitetä säännöllisesti, saattaa ajan myötä ilmetä haavoittuvuuksia, joita hyökkääjät voivat käyttää hyväkseen.
  • Huono tietosuoja. Tapauksissa, joissa verkkosivustolla ei ole asianmukaisia tietosuojakäytäntöjä, voi joutua ongelmiin tietosuoja-asetusten rikkomisesta.

Tietojenkalastelu on mahdollista välttää – toimi näin

Yksittäisiin ihmisiin vaikuttavista tietoverkkorikoksista, tietojenkalastelu on edelleen yleisin tietoturvauhka. Se on kuitenkin useimmiten mahdollista välttää vahvojen sekä tilikohtaisten salasanojen avulla.

Nykyisin esimerkiksi WordPress pyrkii huolehtimaan siitä, että käyttäjien salasanat ovat vahvoja, mutta se ei pysty mitenkään varmistamaan sitä, etteikö samaa vahvaa salasanaa olisi käytetty muualla. 

Domain247:n kokemusten mukaan suurin osa tietoturvaloukkauksista aiheutuu juuri sen johdosta, että verkkosivustolla on käytetty kirjautumissähköpostina sivuston domainilla nimettyä sähköpostia sekä salasanaa, joka on käytössä myös jossakin muussa palvelussa. 

Jos sivuston osoite on esimerkkisivu.fi ja käyttäjänä on nimi@esimerkkisivu.fi, ei hakkeroijalta vaadita valitettavasti suuriakaan taitoja käydä kokeilemassa vuodettujen salasanojen listalta löytynyttä nimi@esimerkkisivu.fi:n salasanaa osoitteessa https://esimerkkisivu.fi/wp-admin/.

Kotisivujen tietoturva – mistä tietää, että sivustoni on hakkeroitu?

Kun kotisivujen tietoturva ei ole kunnossa, saattaa verkkosivuston omistaja huomata kotisivuillaan normaalista poikkeavia asioita, kuten:

  • sivun sisältö on yllättäen muuttunut
  • WordPressin käyttäjälistaan on ilmestynyt tuntemattomia käyttäjiä tai 
  • olet saanut sähköpostiisi äkillisesti useita tuntemattomia viestejä

Sähköpostiviestit voivat kertoa, että viestisi lähetys ei ole onnistunut. Epäonnistuneiden viestien vastaanottaja ja sisältö on sinulle kuitenkin tuntematonta. Tällöin joku on mitä luultavimmin onnistunut murtautumaan sähköpostiisi ja onnistunut lähettämään nimissäsi omia markkinointiviestejään. On myös mahdollista, että sähköpostiosoitettasi on käytetty viestin lähettäjänä jostain toisesta sähköpostipalvelimesta, mutta tämä on nykyisin epätodennäköistä.

Epäturvallisella sivustolla vierailleen asiakkaan luottamus on vaikea palauttaa 

Useimmiten haavoittuneita sivustoja sotketaan, ja sisältö vaihdetaan tukemaan hakkerin omia etuja. Tämä voi tarkoittaa esimerkiksi sitä, että verkkoliikenne käännetään haitalliselle sivustolle tai jaetaan haitallinen sisältö suoraan saastutetulta sivustolta. 

Toinen yleinen tapa on lisäosien lataaminen, joilla voidaan lähettää roskapostia sivuston nimissä ulkopuolisille.

Verkkoliiketoiminnalle tällaisella on valtava merkitys. Huonoon valoon joutuminen sivustoon kohdistuneen hyökkäyksen vuoksi vie vain hetken. Asiakkaan luottamuksen palautuminen sekä yrityksen nostaminen takaisin luotettavaksi verkossa toimivaksi yrityksesi voi viedä kuukausien sijaan jopa vuosia.

WordPress-tietoturva on kuitenkin helposti nostettavissa paremmalle tasolle, muutamien asetusten sekä säännöllisten päivitysten myötä.

WordPress-tietoturva kuntoon – 6 tietoturvavinkkiä

Tärkeimmät WordPressin tietoturvaohjeet liittyvät muun muassa Ylläpitäjät-ryhmään sekä ohjelmien ja lisäosien päivityksiin.

  1. Pidä Ylläpitäjät-ryhmän käyttäjät rajallisina, ja huolehdi, että kaikilla on vahvat ja uniikit salasanat. Uniikki tarkoittaa sitä, että käyttäjä ei ole käyttänyt kyseistä salasanaa missään muualla.
  1. Mikäli sinulla ei ole tarvetta antaa käyttäjien rekisteröityä sivustolle, älä myöskään salli tätä WordPressin asetuksissa. Muutamissa tietoturvaloukkauksissa on käytetty menetelmää, missä haavoittuvuutta on hyödynnetty nostamalla tavallisesti rekisteröitynyt WordPress-käyttäjä ylläpitäjäksi.
  1. Liity globaaleja WordPress-uhkia kartoittavien tietoturvayritysten postituslistalle. Yksi tällaisista uutiskirjeiden lähettäjistä on esimerkiksi WordFence, joka tiedottaa tilaajia normaalia suurempia ongelmia aiheuttavista tietoturvauhista. Tällaisia ongelmia aiheuttavat esimerkiksi suositut WordPressin lisäosat, joista löytyy haavoittuvuus.
  1. Salli WordPressin lähettää sinulle sähköpostia, mikäli uusi käyttäjä lisätään käyttäjälistalle. Saat tiedon heti, kun uusi ylläpitotasolla oleva käyttäjä on lisätty.
  1. Poista kaikki turhat lisäosat ja teemat. Sen lisäksi, että ne hidastavat WordPressin käynnistymistä ja toimintaa, ne nakertavat tietoturvaketjua, ja saattavat olla sen heikoin lenkki.
  1. Pidä palvelimen PHP-ympäristö sekä WordPress lisäosineen päivitettynä jatkuvasti. Helpoiten tämä onnistuu sallimalla automaattiset päivitykset. Tämä vaatii sen, että esimerkiksi viikoittaiset varmuuskopiot otetaan tällöin automaattisesti, jotta mahdollisessa päivityksen ongelmatilanteessa on helppo palata edelliseen versioon.

WordPressin suojaaminen lisäosalla vs. palvelintason suojaus

WordPressin tietoturvaa pystytään parantamaan lisäosien sekä palvelinsuojauksen avulla. Seuraavaksi vertaamme näiden suojaustapojen eroja.

WordPressin tietoturva kuntoon lisäosalla

Verkkosivuston suojaukseen suunniteltu lisäosa aktivoituu silloin, kun WordPress käynnistyy käyttäjän vieraillessa sivustolla. Se pystyy esimerkiksi:

  • estämään useat virheelliset kirjautumisyritykset
  • rajoittamaan lähtevien sähköpostien määrää ja 
  • estämään liikenteen WordPressin REST-rajapintaan (ohjelmallinen rajapinta WordPressin tarjoilemaan sisältöön) 

Lisäosien haasteena on, että ne pystytään ohittamaan, mikäli ylläpitäjätasoinen käyttäjätunnus on vaarantunut, ja hyökkääjä pääsee sivustolle poistamaan lisäosan toiminnasta.

Palvelintasoinen WordPressin suojaus

Palvelintasoinen suojaus on toteutettu eri tavoin kuin lisäosan toteuttama suojaus. Domain247:ssä suojausohjelmistojen ohjaus sijaitsee suojattujen VPN-yhteyksien takana, mikä tarkoittaa, että suojausohjelmistot toimivat monta kerrosta WordPressiä alempana.

Palvelintasoinen suojaus valvoo verkkoliikennettä laajemmasta perspektiivistä, ja estää vihamielisen liikenteen. Tämä suojauskeino tutkii myös aktiivisesti esimerkiksi virheellisiä kirjautumisyrityksiä, ja estää tarpeen mukaan liikenteen hetkellisesti (esimerkiksi tunnin ajaksi).

Mikäli vihamielinen liikenne jatkuu, siirretään kyseisen tunnistetiedon sisältävä liikenne pysyvästi mustalle listalle, ja asiasta raportoidaan eteenpäin, jotta muut samoja tietoturvamenetelmiä käyttävät tahot pystyvät hyödyntämään tietoa liikenteensä suodattamisessa.

Lisäksi palvelintasolla pystytään ajamaan skannauksia proaktiivisesti eli silloin, kun jotain on tapahtumassa tai vaihtoehtoisesti ajastetusti. Tällöin webhotellin tiedostot tutkitaan, ja pyritään tunnistamaan, ettei tunnettuja vihamielisiä ohjelmistoja ole päässyt ujuttautumaan käyttäjien tiedostoihin.

WordPress-webhotellin suojaus on palvelintasoinen – et tarvitse lisäosaa

WordPress-sivustosi tietoturva-asiat ovat kunnossa, kun verkkosivusi hyödyntävät Domain247:n WordPressille optimoitua webhotellia.

WordPress-webhotellin avulla sivustosi on automaattisesti suojattu usealla eri tasolla. Tämän vuoksi emme suosittele WordPress-lisäosana asennettavaa erillistä turvallisuusohjelmistoa, kuten WordFence, sillä se saattaa turhaan hidastaa sivustosi toimintaa.

Webhotellipaketteihimme kuuluu nelitasoinen suojausmenetelmä:

  • ClamAV-virustorjunta
  • Imunify360-suojausohjelmisto
  • LiteSpeed-palvelimen brute-force-esto
  • ModSecurity-sovelluspalomuuri

Imunify360:n tehtävä on tarkkailla reaaliajassa muutoksia hakemistosi tiedostoissa, ja havaita mahdolliset hyökkäysyritykset, joissa yritetään murtautua sisään, kokeilemalla eri käyttäjätunnuksia. 

Imunify360 on automatisoitu pistämään saastuneet tiedostot karanteeniin. Hyökkäyksessä käytetyt IP-osoitteet toimitetaan väliaikaiselle estolistalle. Löydät Imunify360:n asetukset cPanelista, kohdasta Suojaus->Imunify360.

Sähköpostitse toimitettaviin haittaohjelmiin erikoistunut ClamAV tarkistaa myös kotihakemiston tiedostot omaa viruskantaansa vasten. ClamAV:n asetukset sijaitsevat cPanelin kohdassa Lisäasetukset->Virustorjuntaohjelma.

WordPress-webhotelleihin kuuluva LiteSpeed-palvelin sisältää WordPress-sivustojen brute-force-hyökkäyksien eston. Suojaus on asetettu niin, että viiden minuutin aikana verkkosivulle ei pysty tekemään kuin maksimissaan 10 kirjautumisyritystä. 

Mitä hyötyä on kirjautumisyritysten rajaamisesta?

Kirjautumisyritysten rajaamisella estetään ns. brute-force-murtautuminen, joka tarkoittaa yleisimpien salasanojen testausta valitulle käyttäjätunnukselle. Rajaaminen estää kirjautumisyritykset tietyksi ajaksi, mikäli virheellinen salasana syötetään esimerkiksi kolmesti peräkkäin.

Muuta kirjautumisyritysten asetuksia itse 

Näin muokkaat sivuston .htaccess-tiedostoa:

  • Kirjaudu cPaneliin.
  • Avaa Tiedostonhallinta (kohdasta Tiedostot).
  • Klikkaa Asetukset oikeasta yläkulmasta ja katso, että Näytä piilotetut tiedostot (dotfiles) on ruksittuna ja klikkaa Save.
  • Valitse vasemmalta sivuston asennushakemisto (public_html).
  • Nyt valitse oikealta .htaccess-tiedosto sekä hiiren oikealla painikkeella Edit.
  • Lisää alla olevat rivit tiedoston alkuun:

<IfModule Litespeed>

WordPressProtect throttle, 5

</IfModule>

  • Voit muuttaa arvon 5 halutuksi määräksi maksimikirjautumisyrityksiä.
  • Klikkaa Tallenna muutokset ja sitten Sulje oikeasta yläkulmasta.

Hyvin hoidetut tietoturva-asiat ovat verkkoliiketoiminnan edellytys

Verkkosivuston sisällön ja toiminnan tulisi aina olla asiallista ja käyttäjille turvallista. Yksikin onnistunut murtautuminen verkkosivustolle saattaa vaarantaa vierailijoiden turvallisuuden ja sitä kautta koko liiketoiminnan.

WordPress-sivuston tietoturvasta pystytään tänä päivänä huolehtimaan yllättävän kätevästi, joten asia kannattaa priorisoida korkealle. Kukapa asiakkaistasi haluaisi vierailla sivustolla, jossa henkilökohtaiset tiedot voivat joutua vääriin käsiin?

Artikkelin on julkaissut kotimainen Domain247-hostingpalvelu, josta löydät sopivan webhotellin itsellesi olet sitten harrastaja, bloggaaja tai yrittäjä. Palvelemme sinua 24/7. Kuulumme kotimaisen Moment Ventures -konsernin Yritys247-perheeseen, joka tarjoaa yrittäjien arkea helpottavia palveluita muun muassa rahoituksen ja perinnän parissa.

Digitaalinen markkinointi
Google Search Consolen käyttö – helpot asennus- ja käyttöohjeet
Google Search Consolen käyttö – helpot asennus- ja käyttöohjeet
Mietityttääkö Google Search Consolen käyttö? Google Search Console on ilmainen...
Lue lisää
Webhotelli
Käyttäjäystävällinen webhotelli – valitse helppo ja tehokas ratkaisu
Käyttäjäystävällinen webhotelli – valitse helppo ja tehokas ratkaisu
Kun valitset webhotellia, on tavoitteenasi varmastikin löytää käyttäjäystävällinen webhotelli, joka...
Lue lisää
Yrityksen perustaminen
Microsoft 365 -ohjelmat – mitä kaikkea Microsoft 365 sisältää?
Microsoft 365 -ohjelmat – mitä kaikkea Microsoft 365 sisältää?
Microsoft 365 -ohjelmat tarjoavat monipuolisen valikoiman sovelluksia ja palveluita, jotka...
Lue lisää
Digitaalinen markkinointi
Sivuston nopeusoptimointi – näin verkkosivujen nopeus kasvaa
Sivuston nopeusoptimointi – näin verkkosivujen nopeus kasvaa
Verkkosivujen nopeus on yksi keskeisimpiä tekijöitä menestyksekkäälle verkkobisnekselle. Nopeasti latautuvat...
Lue lisää

Ollaan yhteydessä!

Lue lisää keitä olemme Yritys-sivultamme.

Tavoitat meidät parhaiten toimistoaikaan klo 8-16 sähköpostilla. Vaihtoehtoisesti voit olla yhteydessä puhelimitse tai oheisella lomakkeella. Jos olet jo asiakkaamme, ole lomakkeen sijaan yhteydessä Omilla sivuilla.

  • Puhelun hinta 8,35 snt+12,85 snt/min
  • Pyhäjärvenkatu 5 A, 2. krs
  • 33200 TAMPERE
  • SUOMI
Facebook Linkedin IteWiki
  • Ilmoitukset tietoturvaongelmasta/-loukkauksesta: tietoturva@domain247.fi

Ota yhteyttä lomakkeella

Tiesithän, että löydät vastaukset useimpiin teknisiin kysymyksiin Tietopankistamme?