WordPressin tietoturva herättää aika ajoin kysymyksiä. Onko WordPress turvallinen? Uskaltaako sivuja sittenkään perustaa WordPressillä, kun se on kuulemma niin yleinen hakkerointikohde? Voiko hakkeroinnilta suojautua? Mitä tietoturvalisäosia pitäisi asennella?

Nyt kun Ylekin uutisoi WordPress-haavoittuvuudesta (joka todellisuudessa on siis ei-suositeltavan lisäosan haavoittuvuus – ei siis WordPressin ominaisuus tai WordPress-ohjelmiston haavoittuvuus), kuulostaa WordPress varsin arveluttavalta vaihtoehdolta:

Ylen uutinen tietoturva-aukosta ja otsikoi harhaanjohtavasti "Suomalaisyhtiö löysi vakavan tietoturva-aukon WordPress-julkaisualustasta".

Yle uutisoi 2.9.2020 tietoturva-aukosta ja otsikoi harhaanjohtavasti ”Suomalaisyhtiö löysi vakavan tietoturva-aukon WordPress-julkaisualustasta”. Todellisuudessa kyse oli jo ennestään ei-suositeltavan lisäosan, File Managerin tietoturva-aukosta, joka sittemmin on paikattu. Ongelma kosketti siis vain niitä sivustoja, joille oli menty asentamaan File Manager-lisäosa. Kuvakaappaus Ylen uutisesta.

Tässä artikkelissa käsittelen muutamia tietoturvaan liittyviä asioita etenkin WordPress-sivuihin liittyen. Jos sivusi on tehty WordPressillä, sinun tulee pohtia, miten varmistat sen, että sivustosi pysyy turvassa ja toimii ongelmitta.

Yle uutisoi 2.9.2020 isoin otsikoin WordPress-haavoittuvuudesta (ja samaa uutista tulee tänään joka tuutista), joka todellisuudessa koski vain niitä sivustoja, joille oli asennettu jo ennestään kyseenalainen lisäosa – WP File Manager. Tällainen uutisointi on tietysti omiaan huolestuttamaan yrittäjiä, jotka jostain syystä ovat eksyneet Ylen tai esim. IS:n sivuille ja joiden sivut pyörivät WordPressillä. Kannattaa siis hieman perehtyä siihen, miten yrityksen nettisivujen turvallisuudesta on huolehdittu – tällöin on helpompi pohtia, onko syytä huolestua vai ei. (WP File Manager -lisäosan haavoittuvuuden löysi siis Seravo, joka kertoo asiasta blogissaan).

Huoli tietoturvaongelmista ohjaa onneksi etsimään tietoa siitä, miten suojautua sellaisilta. WordPress-harrastajien keskuudessa liikkuu monenmoista neuvoa ja neuvojaa tietoturvaankin liittyen. Facebook-ryhmissä jaellaan joskus “tietoturvavinkkejä”, jotka todellisuudessa ovatkin tietoturvariskejä, ja harrastajan on vaikea erottaa hyödyllisiä vinkkejä haitallisista. Googlesta löytyy ohjeita, koodinpätkiä ja lisäosia, joiden luvataan olevan tehokkain keino suojata sivusto. Siksi tässä on muutama perusasia, jotka kannattaa huomioida omien nettisivujensa kanssa pelatessa – etenkin, jos WordPressin tietoturvasta huolehtiminen ei ole ennestään tuttua.

Miksi WordPressiin murtaudutaan

WordPress on maailman suosituin julkaisujärjestelmä. Yli 60 miljoonaa sivustoa pyörii WordPressin päällä tälläkin hetkellä. Ja tämä suuri suosio tekee siitä kiinnostavan myös murtautujille. WordPress-sivustoille yritetään hakkeroitua jatkuvasti. Ja myös sellaisille sivustoille, joissa ei varsinaisesti ole mitään varastettavaa, sillä hakkeroitumisen syynä ei läheskään aina ole esim. luottokorttitietojen tai muiden tärkeiden tietojen varastaminen. Hakkeroituja sivustoja käytetään esim. haittaohjelmien levittämiseen, eikä sivuston omistaja välttämättä huomaa yhtään mitään. Murtautumisen syynä voi myös yksinkertaisesti olla se, että se vain on mahdollista.

Usein WordPress-sivut on perustettu ilman minkäänlaista tietoturvaosaamista – tai tietoa siitä, että tähänkin aiheeseen pitäisi jaksaa perehtyä. WordPress on helppo asentaa ja lisäosia löytyy rajattomasti. Kaikkea kivaa, ei muuta kuin kokeilemaan! Ja unohdetaan sitten ne sivut sinne.

Ja kun sivuille on murtauduttu, siivoaminen vaatii moninkertaisen työn (ja rahan) verrattuna siihen, mitä ennaltaehkäisy olisi vaatinut.

Ennaltaehkäisy on helpompaa ja edullisempaa kuin jälkien korjailu. Perehdy siis hieman tietoturva-asioihin!

Tietoturvavinkki 1: Ymmärrä, että ennaltaehkäisy on moninkertaisesti edullisempaa ja helpompaa kuin jälkien korjailu. Perehdy tietoturvan perusasioihin, vältä yleisimmät virheet ja mieti, mistä löydät apua jos ongelmia ilmenee.

Päivittämättömät ohjelmistot ovat täynnä tietoturva-aukkoja

Jos ohjelmistoja ei päivitetä, niiden kautta pääsee ennen pitkää sisään. WordPress-sivujen ylläpidosta pitää siis huolehtia. WordPress-sivuja ei saa jättää perustamisen jälkeen vain lillumaan. WordPress, teemat ja lisäosat on pidettävä ajan tasalla, ja niihin tuleekin jatkuvasti uusia päivityksiä. Nämä päivitykset on tehtävä joko itse, tai sitten voi hankkia päivityspalvelun vaikkapa nettisivujen tekijältä tai palveluntarjoajalta. Esimerkiksi Zonerilla ja WP-palvelulla on tällainen palvelu.

Päivityksistä sivut sekaisin?

Moni jättää WordPressin ja lisäosien päivityksen tekemättä, vaikka se on ehkä tärkein turvallisuustekijä. Pieleen mennyt päivitys kun saattaa vaikka rikkoa jotakin sivustolla, sillä kaikki teemat ja lisäosat eivät välttämättä toimi yhteen. Vanhentuneiden, päivittämättömien ohjelmistojen kautta hakkerien on helppo päästä sisään.

WordPress-lisäosien päivittäminen

Pidä WordPress-lisäosat ajan tasalla. Ota varmuuden vuoksi varmuuskopio (ohje täällä) ja päivitä lisäosa klikkaamalla Lisäosat. Valitse päivitystä kaipaava lisäosa ja klikkaa Päivitä nyt -linkkiä.

 

Jos pelkäät päivitysten rikkovan sivusi, testaa päivitykset ensin kehitysympäristössä, ja päivitä vasta sitten julkiselle sivustolle. Esimerkiksi WP-palvelun ja Zonerin kautta saat sivustollesi kehitysympäristön, jossa voit testailla rauhassa. Jos käytössäsi ei ole kehitysympäristöä, ota ensin varmuuskopio ja tee sitten päivitykset. Jos päivityksen myötä tulee ongelmia joita et osaa korjata, voit palauttaa varmuuskopion.

Päivitä WordPress, teemat ja lisäosat. Jos et jaksa tai osaa päivittää, ulkoista päivitykset.

Tietoturvavinkki 2: Päivitä WordPress, teemat ja lisäosat. Jos et jaksa tai osaa päivittää, ulkoista päivitykset.

 

Päivittämättömät lisäosat

Vuosien varrella WordPress-sivuille saattaa kertyä vino pino lisäosia, jotka ehkä asennushetkellä ovat tuntuneet tarpeellisilta, mutta joiden tarvetta kannattaa aika ajoin pohtia myöhemminkin. Jotkut lisäosat vanhenevat, ja niihin ei välttämättä tule enää uusia päivityksiä. Tästä voi seurata yhteensopimattomuusongelmia muiden lisäosien tai teeman kanssa, sekä tietysti tietoturvaongelmia, kun päivittämätön lisäosa jää mahdollistamaan pääsyn sivustolle.

Ylimääräiset teemat

Tsekkaa myös, että WordPress-asennuksessasi ei ole ylimääräisiä teemoja, jotka eivät ole käytössä. Jos olet sivujen perustamisen yhteydessä kokeillut erilaisia teemoja, ne jäävät palvelimelle, ellet niitä erikseen poista. Jätä vain se teema, joka on käytössä (ja tarvittaessa sen pääteema, mikäli käytössä on lapsiteema).

Vanhentuneet teemat ja lisäosat

Aina lisäosiin ja teemoihin ei ole saatavissa päivityksiä. On mahdollista, että teeman tai lisäosan tekijä on lopettanut ohjelmistonsa kehittämisen ja niihin ei enää tule edes tietoturvapäivityksiä. Tällaiset vanhentuneet teemat ja lisäosat ovat iso tietoturvariski. Huomioi, että vanhentuneita teemoja ja lisäosia pystyy silti asentamaan WordPressiin, vaikkei niihin olisi tehty päivityksiä aikoihin. Katso siis teemaa tai lisäosaa valitessasi, että sitä ei ole tehty kivikaudella ja jos on, varmista, että sitä päivitetään edelleen ahkerasti. Korvaa vanhentuneet teemat ja lisäosat ajantasaisilla.

Myös päivitettyjen ohjelmistojen kautta voi päästä sisään

Myös ajan tasalla olevista WordPressista, teemoista ja lisäosista löytyy tietoturva-aukkoja! Vaikka olisit valinnut teeman ja lisäosat huolellisesti, päivittänyt kaiken asianmukaisesti ja muutenkin toiminut vastuullisesti, voi niiden kautta silti päästä sisään (ja siksi kannattaa lukea tämä artikkeli loppuun asti). Jos haluat pysyä ajan tasalla WordPressin, teemojen ja lisäosien löydetyistä tietoturvahaavoittuvuuksista, klikkaa listauksiin: WPScan Vulnerability Database. Etusivulta löydät uusimmat, ja yläosan valikosta löydät lisää tietoa:

WP Scan Vulnerability Database -sivu.

WPScan Vulnerability Databasesta näet tietoa haavoittuvuuksista, joita WordPressistä, lisäosista ja teemoista on löydetty. Vinkki YLE:lle: näistä saisi paljon uutisaihetta!

 

Jos et ehdottomasti tarvitse jotakin lisäosaa, poista se. Jos et ole varma tarvitsetko jotakin lisäosaa joskus myöhemmin, poista se. Voit aina asentaa sen myöhemmin jos tulee tarve.

Poista tarpeettomat lisäosat ja käyttämättömät teemat.

Tietoturvavinkki 3: Poista tarpeettomat lisäosat ja käyttämättömät teemat.

Arvattava käyttäjätunnus ja heikko salasana takaavat pääsyn WordPressiisi

Yleisin syy hakkeroitumiseen on arvattava käyttäjätunnus ja heikko salasana. Erittäin yleistä on, että käyttäjätunnukset ovat tyyliä “admin” ja salasana on ”password123” tai “kissa”. Tällaiselle sivulle murtautuminen ei vie montaa hetkeä (jos tunnistat itsesi, käy heti vaihtamassa vahva salasana).

Esimerkki vahvasta salasanasta, joka parantaa WordPress-sivujesi turvallisuutta huomattavasti.

Vaihda heikon salasanan tilalle vahva salasana, jota ei pysty arvaamaan eikä koneellisestikaan nopeasti selvittämään.

Jos haluat lukea lisää vahvoista salasanoista, tsekkaa Zonerin bloggaus vahvoista salasanoista. Artikkelissa on myös vinkit näiden vaikeasti muistettavien salasanojen HELPPOON hallintaan!

Salasanan turvallisuuden testaaminen

Joku saattaa suositella testaamaan salasanansa turvallisuutta nettiosoitteessa. ÄLÄ ikinä anna salasanaasi ulkopuoliselle äläkä kirjoita sitä millekään ulkopuoliselle nettisivulle edes testataksesi sitä! WordPress kyllä tarjoaa vahvaa salasanaa, ja WordPressin asetuksista voi jopa laittaa päälle vaatimuksen vahvoista salasanoista – heikot eivät kelpaa. Mutta ethän käy kirjoittamassa salasanaasi jollekin ulkopuoliselle sivustolle edes testataksesi onko se vahva vai ei…!

Kaksivaiheinen kirjautuminen

Kirjautumiseen liittyvää tietoturvaa voi parantaa käyttämällä kaksivaiheista kirjautumista. Tähän on olemassa lisäosia. Kaksivaiheinen kirjautuminen tarkoittaa sitä, että kun olet kirjautumassa sivuillesi, puhelimeesi tai sen sovellukseen tulee viesti tai ilmoitus, jonka avulla vahvistat, että juuri sinä olet kirjautumassa sivustollesi. Silloin kukaan muu ei edes pääse tunnuksillasi kirjautumaan, vaikka saisi ne jostain käsiinsä.

Päivittäjille omat käyttäjätunnukset

Jos nettisivujasi päivittää sinun lisäksesi joku muu – esimerkiksi työntekijä tai virtuaaliassistentti – älä anna omia käyttäjätunnuksiasi päivittäjälle, vaan luo päivittäjälle oma uusi käyttäjätunnus. Rajoita käyttöoikeudet sille tasolle, jotka ovat tarpeen – älä siis anna pääkäyttäjätunnuksia kenellekään muulle.

Käytä vahvaa salasanaa. Älä luovuta sitä ulkopuolisille.

Tietoturvavinkki 4: Käytä vahvaa salasanaa, jota et koskaan luovuta ulkopuolisille – et edes mihinkään salasanatestipalveluun! Ota käyttöön kaksivaiheinen kirjautuminen.

Tietoturvalisäosat eivät välttämättä tuo turvaa

Moni WordPress-harrastaja väittää, että oikein tehdyillä sivuilla on ehdottomasti oltava kaikenkarvaisia tietoturvalisäosia, ja suositteleekin muutamia. Näiden lisäosien suosittelijoiden mielipiteet kannattaa varmistaa myös ammattilaisilta, sillä jokainen lisäosa on lähtökohtaisesti tietoturvariski. Ja WordPress-ammattilaisten tiedossa on, että myös tietoturvalisäosat ovat tietoturvariski. Ne jos mitkä kiinnostavat hakkereita. Älä siis laske tietoturvalisäosien varaan – niistä voi olla enemmän haittaa kuin hyötyä.

Kansioiden ja tiedostojen siirtelyt voivat huonontaa tietoturvaa

Toinen yleinen väite on se, että WordPressin asennuskansio tai kirjautumissivu pitäisi vaihtaa oletuksesta joksikin toiseksi. Hmm, tämäkö hidastaa hakkeria? Jos hakkeri pääsee WordPressiisi vaikkapa teeman tai lisäosan tietoturva-aukon kautta, hän tietää myös, mistä hän löytää mitäkin.

Toisekseen, tällainen kansioiden ja tiedostojen sijaintien siirtely saattaakin avata oven murtautujalle, sillä jos näitä osoitteita piilottaa ja muuttaa, palvelimen päässä (toivottavasti) tehdyt suojaukset eivät välttämättä enää suojaakaan näitä reittejä. Eli ennen näitä toimenpiteitä kannattaa selvittää, ovatko ne oikeasti hyödyllisiä vai haitallisia.

Turvallinen palvelin on tärkein

Tietoturvasta voi huolehtia jo palvelimen päässä. Ilman WordPressiin asennettavia tietoturvalisäosia. Sen lisäksi, että tietoturvalisäosat ovat lisäosia siinä missä muutkin lisäosat – ja siksi tietoturvariskejä – ne myös hidastavat sivuston toimintaa. Miksi sivuille pitäisi ehdoin tahdoin tunkea jotakin ylimääräistä? Järkevämpää on asentaa WordPress sellaiselle palvelimelle, jolla se voi toimia turvallisesti. Tällöin sinun ei itse tarvitse huolehtia muusta kuin omasta toiminnastasi.

Lue lisää WP-palvelun blogista: Tietoturvalisäosat ovat tarpeettomia

“Asiakkaidemme WordPress-sivustojen nopeusoptimointi on tehty tekniikoilla, joiden ansiosta asiakkaan tarvitse tehdä mitään erityistä WordPressin sisällä esimerkiksi välimuistin käyttämiseksi. Samalla periaatteella olemme toteuttaneet myös tietoturvasuojaukset. Asiakas voi halutessaan asentaa WordPressin sisään esimerkiksi tietoturvalisäosan, mutta yleensä siitä ei ole hyötyä ja se hidastaa sivustoa. Jotkut lisäosat voivat jopa häiritä sivuston toimintaa, joten emme suosittele tietoturvalisäosien asennusta WP-palvelun asiakkaille.” (WP-Palvelu)

Lue lisää turhista tai haitallisista lisäosista WP-palvelun blogista: https://wp-palvelu.fi/lisaosat/

Ja vastaavasti Zonerin sivuilta löydät tietoa siitä, miten Zonerin WP-Cloudissa tietoturva on hoidettu (ja muita WordPressille sopivaan palvelinympäristöön liittyviä asioita): Miksi WP-Cloud.

Tottakai, jos sivut täytyy asentaa Tmi PowerJonnenVeppiToimiston puolentoista euron palvelimelle, palvelimen ympärille kiedottava piikkilanka-aita voi olla tarpeen.

Siirrä sivusi turvalliselle palvelimelle, niin sinun ei tarvitse ottaa riskejä kaikenkarvaisten tietoturvalisäosien kanssa.

Tietoturvavinkki 5: Siirrä sivusi turvalliselle palvelimelle, niin sinun ei tarvitse ottaa riskejä kaikenkarvaisten tietoturvalisäosien kanssa (jotka myös hidastavat sivustoasi).

Tuovatko varmuuskopiot turvaa

Automaattisiin varmuuskopioihin moni suosittelee lisäosaa. Sellaista lisäosaa, joka tuosta noin vaan tekee varmuuskopion palvelimelle ja jos vain tietää oikean osoitteen, kuka tahansa voi käydä sen varmuuskopion sieltä nappaamassa. Ja nappaaja saa tällöin käsiinsä IHAN KAIKEN. Kaikki tunnukset, kaikki kirjautumistiedot, kaikki asiakastiedot… Eli jos välttämättä tarvitset varmuuskopiolisäosaa, valitse ohjelma huolella ja käytä sitä oikein.

Varmista, että asiakkaidesi tiedot eivät päädy vääriin käsiin esimerkiksi huolimattomasti valittujen tai käytettyjen lisäosien ansiosta.

Jos haluat ottaa varmuuskopioita, voit myös tehdä niin, että otat lisäosan käyttöön vain varmuuskopioinnin ottamisen ja lataamisen ajaksi. Kun olet ladannut varmuuskopion vaikkapa koneellesi, poistat sen netissä olevasta WordPressistä.

Asiallinen palveluntarjoaja huolehtii säännöllisestä varmuuskopioinnista, jolloin sinun ei tarvitse arpoa WordPressiisi jotakin lisäosaa tätä varten. Jos käy niin, että sivuille on murtauduttu, sinulla tai ainakin palveluntarjoajalla on mahdollisuus palauttaa vanha varmuuskopio siltä ajalta, kun murtautumista ei ollut vielä tapahtunut.

Valitse palveluntarjoaja, joka huolehtii varmuuskopioinnista ja joka tarvittaessa palauttaa varmuuskopion.

Tietoturvavinkki 6: Siirrä sivusi palveluntarjoajalle, joka huolehtii varmuuskopioinnista ja jolta saat tarvittaessa apua varmuuskopion palauttamiseen, jos et sitä itse osaa tehdä. Käytä varmuuskopiolisäosia harkiten, ja kun et tarvitse sitä, poista lisäosa ja vanhat varmuuskopiot WordPressistä.

Entä jos jotain epäilyttävää ilmenee?

  • Onko sivuille ilmestynyt jotain outoa?
  • Kertovatko sivujesi kävijät, että sivuilla on jotain outoa?
  • Varoittaako selain tai virustorjuntaohjelma jostakin epäilyttävästä?
  • Etkö pääse kirjautumaan hallintaan?
  • Ilmestyykö sivustolle pääkäyttäjiä, joita et ole itse lisännyt?
  • Muuttuvatko sivujesi asetukset, vaikket ole tehnyt mitään?
  • Löydätkö linkkejä, joita et ole linkittänyt?

Murtautuminen ei näy aina ulospäin

Aina murtautuminen ei näy ulospäin. Sivut voivat näyttää aivan normaaleilta ja jopa toimia ihan hyvin.  Jos huomaat jotain outoa, tutki tilannetta tarkemmin ja kysy palveluntarjoajaltasi, onko syytä epäillä murtautumista. Kun toimit ajoissa, ongelmat voi olla helpompi löytää ja korjata, eivätkä ne vaikuta välttämättä sivujesi kävijöihin.

Nollia ja ykkösiä tai koodia tummalla taustalla - ja teksti HACKED.

Nollia ja ykkösiä tai koodia tummalla taustalla – ja teksti HACKED. Tällaisia kuvia käytetään usein nettisivujen tietoturvariskiin liittyvässä kuvituksessa. Murtautuminen harvemmin näyttää tältä, sillä sivut saattavat näyttää aivan normaaleilta.

 

Jos havaitset jotain outoa, toimi heti.

Tietoturvavinkki 7: Jos havaitset jotain outoa, toimi heti.

Parhaat keinot suojata WordPress-sivut hakkereilta ovat siis:

  • teetä sivut ammattilaisella ja ota vastaan ammattilaisen ohjeet liittyen tietoturvaan
  • valitse tietoturvasta huolehtiva palveluntarjoaja, joka huolehtii
    • WordPressin, teeman ja lisäosien päivityksistä
    • valvonnasta
    • uhkien torjunnasta
    • varmuuskopioinnista ja palautuksesta
    • mahdollisten ongelmien korjaamisesta
  • huolehdi, että oma tunnus ja salasana eivät joudu vääriin käsiin (älä ikinä anna niitä kenellekään äläkä kirjoita niitä millekään ulkopuolisille sivustoille)
  • huolehdi, että salasana on vahva – jos ei, niin vaihda heti
  • valitse lisäosat huolella – mikäli ne ovat ehdottoman tarpeellisia
  • jos huomaat sivuilla jotakin epäilyttävää, selvitä heti syy.

Lue lisää WordPress-aiheisia ohjeita:

Testaa nettisivujesi nopeus

Näin päivität WordPressin ja lisäosat

Näin varmuuskopioit WordPress-sivusi

Näin siirrät WordPress-sivusi palvelimelta toiselle

Nettisivujen ostajan opas – hinta ja tekijän valinta

Näin teet myyvät nettisivut

Näin optimoit WordPress-sivusi hakukoneita varten

Webhotelli kotisivuille.

 

Pinterest-kuva: Näin pidät WordPress-sivusi turvassa hakkereilta.