1. Salasana ja käyttäjätunnus
- Käytä monimutkaista salasanaa
- Käytä pitkää salasanaa (väh. 8 merkkiä)
- Vältä yleisiä salasanoja, kuten esim. ”password”, ”salasana”, ”123456”
- Jokaiselle sivustolle oma salasana
- Vältä yleisiä käyttäjätunnuksia kuten Admin tai administrator
2. Pidä WordPress päivitettynä
- Pidä huoli siitä, että WordPress-versio on päivitettynä aina uusimpaan mahdolliseen
- Hanki lisäosa WordPress-version automaattista päivitystä varten tai muokkaa wp-config.php tiedostoa koodinpätkällä, joka mahdollistaa WordPress-version automaattisen päivityksen (koodinpätkän tietoturvaoppaan alta)
3. Pidä WordPress-laajennukset päivitettyinä
- Kuten WordPress-version kanssa, pidä huoli, että laajennukset ovat päivitettynä aina uusimpaan mahdolliseen versioon
- Tarkasta lisäosien päivitykset viikoittain manuaalisesti, lataa lisäosa laajennusten automaattista päivitystä varten, tai lisää wp-config.php tiedostoon koodinpätkät, jotka mahdollistavat laajennusten automaattisen päivityksen (koodinpätkät löydät tietoturvaoppaan alta)
4. Suosi vain luotettuja teemoja ja lisäosia
- Lataa teemat ja lisäosat vain luotetuista lähteistä
- Varmista että lisäosaa päivitetään säännöllisesti
- Poista tarpeettomat laajennukset WordPressistäsi (jokainen laajennus on uusi tietoturvariski)
5. Tietokannan etuliitteet
- Muuta tietokantojen etuliitteet muodosta ’wp_’ johonkin toiseen
6. Varmuuskopioi tai varmista varmuuskopioiden saatavuus palveluntarjoajalta
- Lisäosien ja teeman päivitys saattaa vaikuttaa sivuston ulkonäköön
- Varmuuskopiot tuovat turvaa, ”jos” tapauksia varten
- Ongelmien sattuessa on mahdollista palauttaa varmuuskopiosta
7. Lisää tietoturvaa lisäosilla
- Ota käyttöön kaksivaiheinen tunnistautuminen
- Oletuskirjautumisosoite on /wp-login.php ja /wp-admin. Määritä kirjautumissivu uudelleen, jotta hyökkääjä ei löydä helppoa luukkua Brute-force -hyökkäyksille.
- Rajoita kirjautumisyrityksiä
8. Tilaa ja asenna sivustollesi käyttöön SSL-sertifikaatti
- Tilaa sertifikaatti sivustollesi (useilta palveluntarjoajilta saa tilattua SSL:n)
- SSL-sertifikaatti salaa sivustolla tapahtuvan liikenteen
- SSL-sertifikaatilla varustetun sivuston tunnistaa https:// -alkuisesta osoitteesta sekä lukon kuvasta osoiterivillä
- Google suosii HTTPS-alkuisia verkkosivustoja
9. Pidä huoli PHP-version päivityksestä
- Tarkista osoitteesta https://www.php.net/supported-versions.php onko PHPversiosi enää tuettu.
- Pyydä palveluntarjoajaasi vaihtamaan PHP-versio uusimpaan ➢ Uusimmat PHP-versiot ovat turvallisempia ja suorituskykyisempiä
10. Roskapostin estäminen
- Mikäli sivuilla on lomake, suosittelen ottamaan käyttöön CAPTCHA-varmenteen, joka karsii pois robotit
- Ota käyttöön yksi näkymätön kenttävaihtoehto lisää lomakkeille, joka erottelee botit ihmisistä
11. Wp-config
- Estä pääsy wp-config.php tiedostoon htaccessin kautta (komento löytyy liitteestä 2)
- Siirrä wp-config.php yhtä pykälää ylemmäs kansiohakemistossa
12. WordPress-version piilotus
- Poista readme.html tiedosto, jotta WordPress-asennuksen versio ei ole helposti saatavilla
Tietoturvaoppaan avauksessa mainitut komennot ja lisäosat suorine linkkeineen
Tietokantojen etuliitteiden vaihtoon suoritettavat komennot ovat seuraavat:
- RENAME table `wp_commentmeta` TO `xx_commentmeta`;
- RENAME table `wp_comments` TO `xx_comments`;
- RENAME table `wp_links` TO `xx_links`;
- RENAME table `wp_options` TO `xx_options`;
- RENAME table `wp_postmeta` TO `xx_postmeta`;
- RENAME table `wp_posts` TO `xx_posts`;
- RENAME table `wp_termmeta` TO `xx_termmeta`;
- RENAME table `wp_terms` TO `xx_terms`;
- RENAME table `wp_term_relationships` TO `xx_term_relationships`;
- RENAME table `wp_term_taxonomy` TO `xx_term_taxonomy`;
- RENAME table `wp_usermeta` TO `xx_usermeta`;
- RENAME table `wp_users` TO `xx_users`;
- UPDATE `xx_options` SET `option_name`=REPLACE(`option_name`,'wp_','xx_') WHERE `option_name` LIKE '%wp_%';
- UPDATE `xx_usermeta` SET `meta_key`=REPLACE(`meta_key`,'wp_','xx_') WHERE `meta_key` LIKE '%wp_%';
Tietoturvaoppaan avauksessa mainitut lisäosat suorine latauslinkkeineen:
Askel numero 2:
Askel numero 7:
Askel numero 9:
Askel numero 10:
Htaccess tiedostoon lisättävät koodirivit, toimintoa varten, joka estää pääsyn wp-config.php tiedostoon:
<files wp-config.php> order allow,deny deny from all </files>