All Collections
Wordpress
Pieni WordPress-tietoturvaopas

Pieni WordPress-tietoturvaopas

Tietoturvaopas WordPress-verkkosivustoa koskevan tietoturvan parantamiseksi
Ilmari Tyrkkö avatar
Written by Ilmari Tyrkkö
Updated over a week ago

1. Salasana ja käyttäjätunnus

  • Käytä monimutkaista salasanaa
  • Käytä pitkää salasanaa (väh. 8 merkkiä)
  • Vältä yleisiä salasanoja, kuten esim. ”password”, ”salasana”, ”123456”
  • Jokaiselle sivustolle oma salasana
  • Vältä yleisiä käyttäjätunnuksia kuten Admin tai administrator

2. Pidä WordPress päivitettynä

  • Pidä huoli siitä, että WordPress-versio on päivitettynä aina uusimpaan mahdolliseen
  • Hanki lisäosa WordPress-version automaattista päivitystä varten tai muokkaa wp-config.php tiedostoa koodinpätkällä, joka mahdollistaa WordPress-version automaattisen päivityksen (koodinpätkän tietoturvaoppaan alta)

3. Pidä WordPress-laajennukset päivitettyinä

  • Kuten WordPress-version kanssa, pidä huoli, että laajennukset ovat päivitettynä aina uusimpaan mahdolliseen versioon
  • Tarkasta lisäosien päivitykset viikoittain manuaalisesti, lataa lisäosa laajennusten automaattista päivitystä varten, tai lisää wp-config.php tiedostoon koodinpätkät, jotka mahdollistavat laajennusten automaattisen päivityksen (koodinpätkät löydät tietoturvaoppaan alta)

4. Suosi vain luotettuja teemoja ja lisäosia

  • Lataa teemat ja lisäosat vain luotetuista lähteistä
  • Varmista että lisäosaa päivitetään säännöllisesti
  • Poista tarpeettomat laajennukset WordPressistäsi (jokainen laajennus on uusi tietoturvariski)

5. Tietokannan etuliitteet

  • Muuta tietokantojen etuliitteet muodosta ’wp_’ johonkin toiseen

6. Varmuuskopioi tai varmista varmuuskopioiden saatavuus palveluntarjoajalta

  • Lisäosien ja teeman päivitys saattaa vaikuttaa sivuston ulkonäköön
  • Varmuuskopiot tuovat turvaa, ”jos” tapauksia varten
  • Ongelmien sattuessa on mahdollista palauttaa varmuuskopiosta

7. Lisää tietoturvaa lisäosilla

  • Ota käyttöön kaksivaiheinen tunnistautuminen
  • Oletuskirjautumisosoite on /wp-login.php ja /wp-admin. Määritä kirjautumissivu uudelleen, jotta hyökkääjä ei löydä helppoa luukkua Brute-force -hyökkäyksille.
  • Rajoita kirjautumisyrityksiä

8. Tilaa ja asenna sivustollesi käyttöön SSL-sertifikaatti

  • Tilaa sertifikaatti sivustollesi (useilta palveluntarjoajilta saa tilattua SSL:n)
  • SSL-sertifikaatti salaa sivustolla tapahtuvan liikenteen
  • SSL-sertifikaatilla varustetun sivuston tunnistaa https:// -alkuisesta osoitteesta sekä lukon kuvasta osoiterivillä
  • Google suosii HTTPS-alkuisia verkkosivustoja

9. Pidä huoli PHP-version päivityksestä

  • Tarkista osoitteesta https://www.php.net/supported-versions.php onko PHPversiosi enää tuettu.
  • Pyydä palveluntarjoajaasi vaihtamaan PHP-versio uusimpaan ➢ Uusimmat PHP-versiot ovat turvallisempia ja suorituskykyisempiä

10. Roskapostin estäminen

  • Mikäli sivuilla on lomake, suosittelen ottamaan käyttöön CAPTCHA-varmenteen, joka karsii pois robotit
  • Ota käyttöön yksi näkymätön kenttävaihtoehto lisää lomakkeille, joka erottelee botit ihmisistä

11. Wp-config

  • Estä pääsy wp-config.php tiedostoon htaccessin kautta (komento löytyy liitteestä 2)
  • Siirrä wp-config.php yhtä pykälää ylemmäs kansiohakemistossa

12. WordPress-version piilotus

  • Poista readme.html tiedosto, jotta WordPress-asennuksen versio ei ole helposti saatavilla

Tietoturvaoppaan avauksessa mainitut komennot ja lisäosat suorine linkkeineen

Tietokantojen etuliitteiden vaihtoon suoritettavat komennot ovat seuraavat:

  • RENAME table `wp_commentmeta` TO `xx_commentmeta`;
  • RENAME table `wp_comments` TO `xx_comments`;
  • RENAME table `wp_links` TO `xx_links`;
  • RENAME table `wp_options` TO `xx_options`;
  • RENAME table `wp_postmeta` TO `xx_postmeta`;
  • RENAME table `wp_posts` TO `xx_posts`;
  • RENAME table `wp_termmeta` TO `xx_termmeta`;
  • RENAME table `wp_terms` TO `xx_terms`;
  • RENAME table `wp_term_relationships` TO `xx_term_relationships`;
  • RENAME table `wp_term_taxonomy` TO `xx_term_taxonomy`;
  • RENAME table `wp_usermeta` TO `xx_usermeta`;
  • RENAME table `wp_users` TO `xx_users`;

  • UPDATE `xx_options` SET `option_name`=REPLACE(`option_name`,'wp_','xx_') WHERE `option_name` LIKE '%wp_%';
  • UPDATE `xx_usermeta` SET `meta_key`=REPLACE(`meta_key`,'wp_','xx_') WHERE `meta_key` LIKE '%wp_%';



Tietoturvaoppaan avauksessa mainitut lisäosat suorine latauslinkkeineen:

Askel numero 2:

Askel numero 7:

Askel numero 9:

Askel numero 10:


Htaccess tiedostoon lisättävät koodirivit, toimintoa varten, joka estää pääsyn wp-config.php tiedostoon:

<files wp-config.php> order allow,deny deny from all </files>

Did this answer your question?