WordPress on maailman suosituin julkaisujärjestelmä, ja se on jatkuvasti tietoturvahyökkäysten kohteena siinä missä muutkin julkiseen verkkoon liitetyt järjestelmät. Heikkoja kohtia etsivät skannaukset ovat automatisoituja, internetiin perusluonteeseen kuuluvaa taustakohinaa. Niitä ei voi kokonaan estää, mutta suojautua voi ja kannattaa.
WordPressin tietoturvan taso on tänä päivänä varsin hyvä. Ohjelmiston suuresta suosiosta seuraa kuitenkin se, että sitä kohtaan myös hyökätään paljon. Kun jostain laajasti käytetystä WordPress-laajennuksesta löytyy vakava haavoittuvuus, sen hyväksikäyttö alkaa yleensä hyvin pian.
Hyökkääjien motiivit vaihtelevat, mutta yleensä tavoitteena on päästä hyödyntämään kohdepalvelinta jollain tapaa, usein oman koodin suorittamiseen. Palvelinta saatetaan käyttää esimerkiksi roskapostin lähettämiseen tai kryptolouhintaan. Sisällöstä riippumatta mikä tahansa sivusto on siis kiinnostava kohde.
Tässä julkaisussa käydään läpi WordPressin tietoturvan parantamisen ydinkohdat. Valtaosa hyökkääjistä etsii helppoja kohteita. Kunhan perusasiat ovat kunnossa, väistät jo suuren osan uhkista.
Käyttäjätunnusten ja sisäänkirjautumisten tietoturva
Keskeisimmät parannuskohteet liittyvät ylläpitotunnusten turvallisuuteen. Sisäänkirjautumisesta ylläpito-oikeuksin on tehtävä mahdollisimman vaikeaa. Seuraavassa on listattu muutama keino ylläpitotunnusten suojaamiseen.
- Poista käytöstä oletuskäyttäjätunnus admin.
- Käytä laadukkaita salasanoja. Hyvä lähtökohta on vähintään 12-merkkinen salasana, jossa on pieniä ja suuria kirjaimia, numeroita sekä erikoismerkkejä.
- Rajoita kirjautumisyritysten määrää.
- Ota käyttöön captcha- ja MFA-lisäosat.
WordPressin ylläpitokäyttöliittymä aukeaa oletusarvoisesti osoitteesta www.sivusto.fi/wp-admin. Näitä osoitteita myös etsitään verkosta jatkuvasti, joten harkitse WordPressin ylläpito-osoitteen muuttamista. Salailuun ja piilotteluun perustuva turvallisuus (security by obscurity) ei kuitenkaan koskaan yksinään riitä. Rakenteiden piilottelu voi toimia yhtenä suojauskerroksena, mutta järjestelmän itsessään pitää kestää ulkopuolisen tarkastelu.
WordPress-lisäosien tietoturvallinen käyttö
WordPressiin on saatavilla jo pelkästään virallisen wordpress.org-sivuston plugins-kokoelman kautta noin 60 000 ilmaista laajennusta. Valikoima on laaja, ja valitettavasti myös laatu on vaihteleva. Osan kehitys on lopetettu ja osa on muuten tietoturvattomia. Sama pätee valmiisiin teemoihin. Käytännössä kuka tahansa voi tehdä oman lisäosan tai teeman ja markkinoida sitä verkossa.
Laajennusten tietoturvan tasoa on vaikea nähdä päällepäin. Yleensä kannattaa kuitenkin käyttää suosittuja, jo pidemmän kehityshistorian plugineja. On myös paikallaan kriittisesti miettiä, tarvitseeko jokaista pluginia todella. Suurempi määrä koodia tarkoittaa laajempaa hyökkäyspinta-alaa. Tarpeettomiksi käyneet laajennukset ja teemat kannattaa poistaa kokonaan. Pelkkä käytöstäpoisto ei välttämättä riitä.
Tärkeintä on seurata käytössä olevien pluginien päivityksiä tai ottaa niille käyttöön automaattipäivitykset, jotta tietoturvakorjauksetkin asentuvat automaattisesti. Muista kuitenkin, että ohjelmistojen versiopäivitykset voivat teoriassa aina rikkoa yhteensopivuuksia tai sivuston toimintaa jollain tavoin. Pahimmassa tapauksessa automaattipäivitys rikkoo sivuston kokonaan, eikä sivuston omistaja edes huomaa sitä. Kun sivuston päivitykset hoitaa itse, on helpompaa reagoida mahdollisiin ongelmiin. Varminta on ottaa varmuuskopiot etenkin ennen merkittävimpiä päivityksiä.
Jälleen kerran: Muista varmuuskopiointi
Varmuuskopioinnin tärkeydestä muistutellaan kaikkialla. Muistutus on aiheellinen myös oman verkkosivuston ylläpitäjälle. Varmuuskopioilla varaudutaan esimerkiksi palvelimen rikkoutumiseen, epäonnistuneesta päivityksestä koituviin ongelmiin sekä siihen, että joku ulkopuolinen taho sotkisi tai poistaisi sisältöä. Kiinnitä huomiota myös varmuuskopioiden säilytyspaikkaan. Jos kopiot ovat samalla palvelimella ja samalla levyllä kuin varsinainen verkkosivustosi, palvelinongelmat voivat viedä mukanaan myös varmuuskopiosi.
Palveluntarjoajasta ja palvelinympäristöstä riippuen WordPressin varmuuskopiointiin voi olla moniakin tapoja. Kaksi kenties ääripäätä ovat koko palvelimen levyn kopiointi talteen ns. snapshottina, ja helppokäyttöisten WordPress-lisäosien käyttö. Yksi suosituimmista WordPress-lisäosista varmuuskopiointiin on All-in-One WP Migration, jolla voi sekä ottaa varmuuskopioita että palauttaa sisältöä niistä.
Vielä yksi vinkki
Viimeisenä vinkkinä nostettakoon esiin WordPressin sisäänrakennetun file editorin eli tiedostomuokkaimen rooli. Harva peruskäyttäjä tarvitsee WordPressin tiedostoeditoria, joka on tarkoitettu lähinnä kehittäjille ja muille, jotka tahtovat tehdä sivustoonsa hienosäätöä koodia itse kirjoittamalla.
File editor on kuitenkin oletusarvoisesti auki WordPressin ohjausnäkymässä eli dashboardissa. Jos hyökkääjän jotenkin onnistuu päästä dashboardiin, hänellä on mahdollisuus sisällyttää sivustolle omaa koodia melko huomaamattomasti suoraan file editoriin kirjoittamalla. Ota file editor pois muokkaamalla wp-config.php-asetustiedostoa.
Turvallisia WordPress-hetkiä kaikille!