Hyppää sisältöön

Viisi tärkeää keinoa WordPress-sivuston turvaamiseksi

WordPressillä on sitkeä maine tietoturvattomana julkaisujärjestelmänä. Olen viimeisen vuoden aikana käynyt puhumassa useasti asiakkaille tästä aiheesta ja ajattelin nyt kirjoittaa siitä myös blogissamme.

Jaakko Alajoki, 15.08.2022

Photo by Markus Spiske on Unsplash.

Alkuun on hyvä lähteä kertaamalla WordPressin arkkitehtuuria. WordPress koostuu ytimestä ja siihen asennettavista lisäosista ja teemoista.

Ydin itsessään on hyvin turvallinen – siitä pitää huolen 50:n hengen tietoturvatiimi, joka koostuu kehittäjistä ja tietoturva-alan asiantuntijoista. Lisäksi avoimen lähdekoodin yhteisö on valppaana tietoturva-aukkojen suhteen. Tärkeimpänä on nopea päivityssykli, jonka ansiosta löytyneet aukot paikataan nopeasti.

Lisäosat ovatkin sitten toinen juttu. Kuka tahansa voi tehdä WordPressiin lisäosan ja julkaista sen netissä. Viralliseen rekisteriin hyväksytyt lisäosat käyvät läpi hyvin kevyen tietoturvatarkastuksen, mutta ei ollenkaan niin tarkkaa kuin ytimen osalta. Laaja lisäosatarjonta on yksi WordPressin hienouksista, mutta se tuo myös vastuuta sivuston kehittäjälle. Wordfence-lisäosan kehittäjät kartoittivat muutama vuosi sitten millä keinoin sivustoille murtauduttiin ja selvitetyistä murtotapauksista 70 prosenttia tehtiin lisäosien tietoturvaongelmia hyödyntäen.

WordPressin teemoihin pätevät periaatteessa samat ongelmat kuin lisäosiinkin. Meidän toteuttamillamme sivustoilla ei kuitenkaan käytetä valmiita teemoja ja teemme ulkoasut aina alusta alkaen itse. Noudatamme hyviä tietoturvakäytäntöjä ja voimme ottaa itse vastuun toteuttamiemme teemojen turvallisuudesta.

Suurin osa WordPressiin kohdistuvista hyökkäyksistä on täysin automaattisia. Automaattibotit skannaavat sivustoja tunnettujen haavoittuvuuksien varalta ja hyödyntävät niitä. Useimmiten sivustolle yritetään ujuttaa piilolinkkejä ja muita vippaskonsteja, joilla liikennettä pyritään ohjaamaan hyökkääjän omille sivustoille. Hyvin harvoin tietoja pyritään aktiivisesti tuhoamaan – se kun ei hyödytä hyökkääjä mitenkään.

43% prosenttia maailman 10 miljoonasta suurimmasta webbisivuista pyörii WordPressin päällä, joten on selvää, että joukkoon mahtuu hyvin monenlaista sivustoa. Sivustomassa tarjoaa hakkereille laajan tarttumapinnan ja joukosta löytyy tukuittain hyviä kohteita. Huonosti ylläpidettyjä sivustoja murretaan ja syyttävä sormi kääntyy WordPressin suuntaan – vaikka syy olisikin jossain ihan muualla.

Olen nyt listannut viisi omasta mielestäni tärkeintä asiaa, jotka sivuston suojaamiseksi kannattaa tehdä:

  1. Minimoi hyökkäyspinta. Tämä tarkoittaa sitä, että mitä vähemmän käytät lisäosia, sitä todennäköisemmin vältyt ongelmilta. Pyrimme rakentamaan sivustot aina niin, että lisäosia käytetään vain jos se on hyvin perusteltua. Usein jonkin lisäosan tarjoama toiminnallisuus voidaan toteuttaa itse hyvinkin yksinkertaisella tavalla. Tällöin voidaan itse varmistua siitä, että toteutus on turvallinen, eikä olla kolmannen osapuolen varassa.
  2. Käytä vain luotettavia lähteitä. Lisäosat kannattaa asentaa vain luotetuista lähteistä – käytännössä WordPressin omasta lisäosarekisteristä. Edellytämme, että lisäosalla on paljon käyttäjiä ja sen ylläpito on avointa ja aktiivista. Meitä pyydetään aina silloin tällöin asentamaan melko hämäriltä vaikuttavia lisäosia sivustoillemme. Suhtaudumme näihin aina varauksella.
  3. Pidä versiot ajan tasalla. Kun valitut lisäosat on otettu käyttöön, on todella tärkeää pitää päivitykset ajan tasalla. Suurin osa hyökkäyksistä hyödyntää vanhentuneiden versioiden tunnettuja tietoturva-aukkoja.
  4. Huolehdi hyvistä salasanoista. Tämä saattaa kuulostaa yksinkertaiselta ja päivänselvältä, mutta silti edellä mainitussa Wordfencen kyselyssä 16 prosenttia murroista onnistui kokeilemalla riittävän pitkään eri vaihtoehtoja ylläpitäjän salasanaksi (ns. brute force -hyökkäys). Huolehdimme aina, että ylläpitäjän käyttäjänimi ei ole vakio ja suosittelemme vahvojen salasanojen käyttöä.
  5. Suojaa ylläpito automaattisilta hyökkäyksiltä. Edellä mainittuun kohtaan liittyen suojaamme ylläpidon automaattisilta hyökkäyksiltä, jotta salasanoja ei voi arvata rajattomasti.

Mietityttääkö sinua sivustosi turvallisuus? Ota meihin yhteyttä, niin autamme!

Haku