Siirry pääsisältöön
Kaikki kokoelmatWordPress
Pieni WordPress-tietoturvaopas
Pieni WordPress-tietoturvaopas

Tietoturvaopas WordPress-verkkosivustoa koskevan tietoturvan parantamiseksi

Kenneth Nyman avatar
Tekijä: Kenneth Nyman
Päivitetty yli vuosi sitten

1. Salasana ja käyttäjätunnus

  • Käytä monimutkaista salasanaa

  • Käytä pitkää salasanaa (väh. 8 merkkiä)

  • Vältä yleisiä salasanoja, kuten esim. ”password”, ”salasana”, ”123456”

  • Jokaiselle sivustolle oma salasana

  • Vältä yleisiä käyttäjätunnuksia kuten Admin tai administrator

2. Pidä WordPress päivitettynä

  • Pidä huoli siitä, että WordPress-versio on päivitettynä aina uusimpaan mahdolliseen

  • Hanki lisäosa WordPress-version automaattista päivitystä varten tai muokkaa wp-config.php tiedostoa koodinpätkällä, joka mahdollistaa WordPress-version automaattisen päivityksen (koodinpätkän tietoturvaoppaan alta)

3. Pidä WordPress-laajennukset päivitettyinä

  • Kuten WordPress-version kanssa, pidä huoli, että laajennukset ovat päivitettynä aina uusimpaan mahdolliseen versioon

  • Tarkasta lisäosien päivitykset viikoittain manuaalisesti, lataa lisäosa laajennusten automaattista päivitystä varten, tai lisää wp-config.php tiedostoon koodinpätkät, jotka mahdollistavat laajennusten automaattisen päivityksen (koodinpätkät löydät tietoturvaoppaan alta)

4. Suosi vain luotettuja teemoja ja lisäosia

  • Lataa teemat ja lisäosat vain luotetuista lähteistä

  • Varmista että lisäosaa päivitetään säännöllisesti

  • Poista tarpeettomat laajennukset WordPressistäsi (jokainen laajennus on uusi tietoturvariski)

5. Tietokannan etuliitteet

  • Muuta tietokantojen etuliitteet muodosta ’wp_’ johonkin toiseen

6. Varmuuskopioi tai varmista varmuuskopioiden saatavuus palveluntarjoajalta

  • Lisäosien ja teeman päivitys saattaa vaikuttaa sivuston ulkonäköön

  • Varmuuskopiot tuovat turvaa, ”jos” tapauksia varten

  • Ongelmien sattuessa on mahdollista palauttaa varmuuskopiosta

7. Lisää tietoturvaa lisäosilla

  • Ota käyttöön kaksivaiheinen tunnistautuminen

  • Oletuskirjautumisosoite on /wp-login.php ja /wp-admin. Määritä kirjautumissivu uudelleen, jotta hyökkääjä ei löydä helppoa luukkua Brute-force -hyökkäyksille.

  • Rajoita kirjautumisyrityksiä

8. Tilaa ja asenna sivustollesi käyttöön SSL-sertifikaatti

  • Tilaa sertifikaatti sivustollesi (useilta palveluntarjoajilta saa tilattua SSL:n)

  • SSL-sertifikaatti salaa sivustolla tapahtuvan liikenteen

  • SSL-sertifikaatilla varustetun sivuston tunnistaa https:// -alkuisesta osoitteesta sekä lukon kuvasta osoiterivillä

  • Google suosii HTTPS-alkuisia verkkosivustoja

9. Pidä huoli PHP-version päivityksestä

  • Tarkista osoitteesta https://www.php.net/supported-versions.php onko PHPversiosi enää tuettu.

  • Pyydä palveluntarjoajaasi vaihtamaan PHP-versio uusimpaan ➢ Uusimmat PHP-versiot ovat turvallisempia ja suorituskykyisempiä

10. Roskapostin estäminen

  • Mikäli sivuilla on lomake, suosittelen ottamaan käyttöön CAPTCHA-varmenteen, joka karsii pois robotit

  • Ota käyttöön yksi näkymätön kenttävaihtoehto lisää lomakkeille, joka erottelee botit ihmisistä

11. Wp-config

  • Estä pääsy wp-config.php tiedostoon htaccessin kautta (komento löytyy liitteestä 2)

  • Siirrä wp-config.php yhtä pykälää ylemmäs kansiohakemistossa

12. WordPress-version piilotus

  • Poista readme.html tiedosto, jotta WordPress-asennuksen versio ei ole helposti saatavilla

Tietoturvaoppaan avauksessa mainitut komennot ja lisäosat suorine linkkeineen

Tietokantojen etuliitteiden vaihtoon suoritettavat komennot ovat seuraavat:

  • RENAME table `wp_commentmeta` TO `xx_commentmeta`;

  • RENAME table `wp_comments` TO `xx_comments`;

  • RENAME table `wp_links` TO `xx_links`;

  • RENAME table `wp_options` TO `xx_options`;

  • RENAME table `wp_postmeta` TO `xx_postmeta`;

  • RENAME table `wp_posts` TO `xx_posts`;

  • RENAME table `wp_termmeta` TO `xx_termmeta`;

  • RENAME table `wp_terms` TO `xx_terms`;

  • RENAME table `wp_term_relationships` TO `xx_term_relationships`;

  • RENAME table `wp_term_taxonomy` TO `xx_term_taxonomy`;

  • RENAME table `wp_usermeta` TO `xx_usermeta`;

  • RENAME table `wp_users` TO `xx_users`;

  • UPDATE `xx_options` SET `option_name`=REPLACE(`option_name`,'wp_','xx_') WHERE `option_name` LIKE '%wp_%';

  • UPDATE `xx_usermeta` SET `meta_key`=REPLACE(`meta_key`,'wp_','xx_') WHERE `meta_key` LIKE '%wp_%';



Tietoturvaoppaan avauksessa mainitut lisäosat suorine latauslinkkeineen:

Askel numero 2:

Askel numero 7:

Askel numero 9:

Askel numero 10:


Htaccess tiedostoon lisättävät koodirivit, toimintoa varten, joka estää pääsyn wp-config.php tiedostoon:

<files wp-config.php> order allow,deny deny from all </files>

Vastasiko tämä kysymykseesi?