WordPressin tietoturva herättää aika ajoin kysymyksiä. Onko WordPress turvallinen? Uskaltaako sivuja sittenkään perustaa WordPressillä, kun se on kuulemma niin yleinen hakkerointikohde? Voiko hakkeroinnilta suojautua? Mitä tietoturvalisäosia pitäisi asennella?
Nyt kun Ylekin uutisoi WordPress-haavoittuvuudesta (joka todellisuudessa on siis ei-suositeltavan lisäosan haavoittuvuus – ei siis WordPressin ominaisuus tai WordPress-ohjelmiston haavoittuvuus), kuulostaa WordPress varsin arveluttavalta vaihtoehdolta:
Tässä artikkelissa käsittelen muutamia tietoturvaan liittyviä asioita etenkin WordPress-sivuihin liittyen. Jos sivusi on tehty WordPressillä, sinun tulee pohtia, miten varmistat sen, että sivustosi pysyy turvassa ja toimii ongelmitta.
Yle uutisoi 2.9.2020 isoin otsikoin WordPress-haavoittuvuudesta (ja samaa uutista tulee tänään joka tuutista), joka todellisuudessa koski vain niitä sivustoja, joille oli asennettu jo ennestään kyseenalainen lisäosa – WP File Manager. Tällainen uutisointi on tietysti omiaan huolestuttamaan yrittäjiä, jotka jostain syystä ovat eksyneet Ylen tai esim. IS:n sivuille ja joiden sivut pyörivät WordPressillä. Kannattaa siis hieman perehtyä siihen, miten yrityksen nettisivujen turvallisuudesta on huolehdittu – tällöin on helpompi pohtia, onko syytä huolestua vai ei. (WP File Manager -lisäosan haavoittuvuuden löysi siis Seravo, joka kertoo asiasta blogissaan).
Huoli tietoturvaongelmista ohjaa onneksi etsimään tietoa siitä, miten suojautua sellaisilta. WordPress-harrastajien keskuudessa liikkuu monenmoista neuvoa ja neuvojaa tietoturvaankin liittyen. Facebook-ryhmissä jaellaan joskus “tietoturvavinkkejä”, jotka todellisuudessa ovatkin tietoturvariskejä, ja harrastajan on vaikea erottaa hyödyllisiä vinkkejä haitallisista. Googlesta löytyy ohjeita, koodinpätkiä ja lisäosia, joiden luvataan olevan tehokkain keino suojata sivusto. Siksi tässä on muutama perusasia, jotka kannattaa huomioida omien nettisivujensa kanssa pelatessa – etenkin, jos WordPressin tietoturvasta huolehtiminen ei ole ennestään tuttua.
Miksi WordPressiin murtaudutaan
WordPress on maailman suosituin julkaisujärjestelmä. Yli 60 miljoonaa sivustoa pyörii WordPressin päällä tälläkin hetkellä. Ja tämä suuri suosio tekee siitä kiinnostavan myös murtautujille. WordPress-sivustoille yritetään hakkeroitua jatkuvasti. Ja myös sellaisille sivustoille, joissa ei varsinaisesti ole mitään varastettavaa, sillä hakkeroitumisen syynä ei läheskään aina ole esim. luottokorttitietojen tai muiden tärkeiden tietojen varastaminen. Hakkeroituja sivustoja käytetään esim. haittaohjelmien levittämiseen, eikä sivuston omistaja välttämättä huomaa yhtään mitään. Murtautumisen syynä voi myös yksinkertaisesti olla se, että se vain on mahdollista.
Usein WordPress-sivut on perustettu ilman minkäänlaista tietoturvaosaamista – tai tietoa siitä, että tähänkin aiheeseen pitäisi jaksaa perehtyä. WordPress on helppo asentaa ja lisäosia löytyy rajattomasti. Kaikkea kivaa, ei muuta kuin kokeilemaan! Ja unohdetaan sitten ne sivut sinne.
Ja kun sivuille on murtauduttu, siivoaminen vaatii moninkertaisen työn (ja rahan) verrattuna siihen, mitä ennaltaehkäisy olisi vaatinut.
Tietoturvavinkki 1: Ymmärrä, että ennaltaehkäisy on moninkertaisesti edullisempaa ja helpompaa kuin jälkien korjailu. Perehdy tietoturvan perusasioihin, vältä yleisimmät virheet ja mieti, mistä löydät apua jos ongelmia ilmenee.
Päivittämättömät ohjelmistot ovat täynnä tietoturva-aukkoja
Jos ohjelmistoja ei päivitetä, niiden kautta pääsee ennen pitkää sisään. WordPress-sivujen ylläpidosta pitää siis huolehtia. WordPress-sivuja ei saa jättää perustamisen jälkeen vain lillumaan. WordPress, teemat ja lisäosat on pidettävä ajan tasalla, ja niihin tuleekin jatkuvasti uusia päivityksiä. Nämä päivitykset on tehtävä joko itse, tai sitten voi hankkia päivityspalvelun vaikkapa nettisivujen tekijältä tai palveluntarjoajalta.
Kaupallinen yhteistyö: Seuraavat kolme linkkiä ovat Affiliate-linkkejä. Jos klikkaat tällaista linkkiä ja ostat maksullisen palvelun, saan siitä suosittelupalkkion. Tämä ei maksa sinulle yhtään enempää ja kyseistä palvelua suosittelisin myös ilman kaupallista yhteistyötä. Jos et halua klikata artikkelissa olevia linkkejä, voit googlettaa ne! Suosittelen vain palveluja, joista minulla on hyviä kokemuksia.
Esimerkiksi Hostaanilla, Zonerilla ja Seravolla on ylläpitopalvelu, joka sisältää WordPressin, teemojen ja lisäosien päivittämisen toimintatestatusti. Toki missä tahansa palvelimella olevat WordPress-sivut voi laittaa päivittymään automaattisesti, mutta jos automaattisen päivityksen yhteydessä tulee jokin ongelma tai päivitetyt versiot eivät sovi keskenään yhteen, sivut voivat lakata toimimasta. Tämän vuoksi ylläpidetty WordPress on kätevä – yllätyksiä ei tule, mutta ohjelmistot päivitetään – ja jos päivitys ei onnistu tai edellyttää käsityötä, saat siitä ilmoituksen.
Päivityksistä sivut sekaisin?
Moni jättää WordPressin ja lisäosien päivityksen tekemättä, vaikka se on ehkä tärkein turvallisuustekijä. Pieleen mennyt päivitys kun saattaa vaikka rikkoa jotakin sivustolla, sillä kaikki teemat ja lisäosat eivät välttämättä toimi yhteen. Vanhentuneiden, päivittämättömien ohjelmistojen kautta hakkerien on helppo päästä sisään.
Jos pelkäät päivitysten rikkovan sivusi, testaa päivitykset ensin kehitysympäristössä, ja päivitä vasta sitten julkiselle sivustolle. Esimerkiksi Hostaanin ja Zonerin kautta saat halutessasi sivustollesi kehitysympäristön, jossa voit testailla rauhassa. Jos käytössäsi ei ole kehitysympäristöä, ota ensin varmuuskopio ja tee sitten päivitykset. Jos päivityksen myötä tulee ongelmia joita et osaa korjata, voit palauttaa varmuuskopion.
Tietoturvavinkki 2: Päivitä WordPress, teemat ja lisäosat. Jos et jaksa tai osaa päivittää, ulkoista päivitykset.
Päivittämättömät lisäosat
Vuosien varrella WordPress-sivuille saattaa kertyä vino pino lisäosia, jotka ehkä asennushetkellä ovat tuntuneet tarpeellisilta, mutta joiden tarvetta kannattaa aika ajoin pohtia myöhemminkin. Jotkut lisäosat vanhenevat, ja niihin ei välttämättä tule enää uusia päivityksiä. Tästä voi seurata yhteensopimattomuusongelmia muiden lisäosien tai teeman kanssa, sekä tietysti tietoturvaongelmia, kun päivittämätön lisäosa jää mahdollistamaan pääsyn sivustolle.
Ylimääräiset teemat
Tsekkaa myös, että WordPress-asennuksessasi ei ole ylimääräisiä teemoja, jotka eivät ole käytössä. Jos olet sivujen perustamisen yhteydessä kokeillut erilaisia teemoja, ne jäävät palvelimelle, ellet niitä erikseen poista. Jätä vain se teema, joka on käytössä (ja tarvittaessa sen pääteema, mikäli käytössä on lapsiteema).
Vanhentuneet teemat ja lisäosat
Aina lisäosiin ja teemoihin ei ole saatavissa päivityksiä. On mahdollista, että teeman tai lisäosan tekijä on lopettanut ohjelmistonsa kehittämisen ja niihin ei enää tule edes tietoturvapäivityksiä. Tällaiset vanhentuneet teemat ja lisäosat ovat iso tietoturvariski. Huomioi, että vanhentuneita teemoja ja lisäosia pystyy silti asentamaan WordPressiin, vaikkei niihin olisi tehty päivityksiä aikoihin. Katso siis teemaa tai lisäosaa valitessasi, että sitä ei ole tehty kivikaudella ja jos on, varmista, että sitä päivitetään edelleen ahkerasti. Korvaa vanhentuneet teemat ja lisäosat ajantasaisilla.
Myös päivitettyjen ohjelmistojen kautta voi päästä sisään
Myös ajan tasalla olevista WordPressista, teemoista ja lisäosista löytyy tietoturva-aukkoja! Vaikka olisit valinnut teeman ja lisäosat huolellisesti, päivittänyt kaiken asianmukaisesti ja muutenkin toiminut vastuullisesti, voi niiden kautta silti päästä sisään (ja siksi kannattaa lukea tämä artikkeli loppuun asti). Jos haluat pysyä ajan tasalla WordPressin, teemojen ja lisäosien löydetyistä tietoturvahaavoittuvuuksista, klikkaa listauksiin: WPScan Vulnerability Database. Etusivulta löydät uusimmat, ja yläosan valikosta löydät lisää tietoa:
Jos et ehdottomasti tarvitse jotakin lisäosaa, poista se. Jos et ole varma tarvitsetko jotakin lisäosaa joskus myöhemmin, poista se. Voit aina asentaa sen myöhemmin jos tulee tarve.
Tietoturvavinkki 3: Poista tarpeettomat lisäosat ja käyttämättömät teemat.
Arvattava käyttäjätunnus ja heikko salasana takaavat pääsyn WordPressiisi
Yleisin syy hakkeroitumiseen on arvattava käyttäjätunnus ja heikko salasana. Erittäin yleistä on, että käyttäjätunnukset ovat tyyliä “admin” ja salasana on ”password123” tai “kissa”. Tällaiselle sivulle murtautuminen ei vie montaa hetkeä (jos tunnistat itsesi, käy heti vaihtamassa vahva salasana).
Mikä on vahva salasana?
Vahva salasana on salasana, jota ihmisten tai murtautumiseen suunniteltujen tietokoneohjelmistojen on vaikea murtaa: vähintään 12 merkkiä, jossa on kirjaimia (isoja ja pieniä), numeroita ja erikoismerkkejä (esim. !”#%&/()=?-_; jne.). Pidä salasana turvassa ulkopuolisilta. Vaihda salasana tarvittaessa.
Salasanan turvallisuuden testaaminen
Joku saattaa suositella testaamaan salasanansa turvallisuutta nettiosoitteessa. ÄLÄ ikinä anna salasanaasi ulkopuoliselle äläkä kirjoita sitä millekään ulkopuoliselle nettisivulle edes testataksesi sitä! WordPress kyllä tarjoaa vahvaa salasanaa, ja WordPressin asetuksista voi jopa laittaa päälle vaatimuksen vahvoista salasanoista – heikot eivät kelpaa. Mutta ethän käy kirjoittamassa salasanaasi jollekin ulkopuoliselle sivustolle edes testataksesi onko se vahva vai ei…!
Tuliko sähköpostiisi Salasanan vaihto -viesti, vaikket ole pyytänyt salasanan palautusta?
Jos sähköpostiisi tulee sivuiltasi viesti, jossa sinua pyydetään klikkaamaan linkkiä palauttaaksesi salasanan, MUTTA et ole itse pyytänyt salasanan palautusta, ÄLÄ KLIKKAA VIESTIN LINKKIÄ. Sähköposti saattaa näyttää tältä:
Jos siis saat ylläolevan kaltaisen viestin WordPress-sivuiltasi, mutta et itse ole pyytänyt salasanan nollausta, älä klikkaa linkkiä. Siirrä viesti vain roskakoriin.
Vain siinä tapauksessa, että salasanasi on ollut hukassa ja olet itse halunnut palauttaa salasanasi ja pyytänyt WordPressiä nollaamaan salasanan, voit klikata linkkiä.
Kaksivaiheinen kirjautuminen
Kirjautumiseen liittyvää tietoturvaa voi parantaa käyttämällä kaksivaiheista kirjautumista eli kaksivaiheista tunnistautumista. Tähän on olemassa lisäosia. Kaksivaiheinen kirjautuminen tarkoittaa sitä, että kun olet kirjautumassa sivuillesi, puhelimeesi tai sen sovellukseen tulee viesti tai ilmoitus, jonka avulla vahvistat, että juuri sinä olet kirjautumassa sivustollesi. Silloin kukaan muu ei edes pääse tunnuksillasi kirjautumaan, vaikka saisi ne jostain käsiinsä.
Lue ohjeet kaksivaiheisen kirjautumisen käyttöönotosta tästä: Kaksivaiheinen kirjautuminen estää ulkopuolisen pääsyn WordPress-sivujesi hallintaan.
Päivittäjille omat käyttäjätunnukset
Jos nettisivujasi päivittää sinun lisäksesi joku muu – esimerkiksi työntekijä tai virtuaaliassistentti – älä anna omia käyttäjätunnuksiasi päivittäjälle, vaan luo päivittäjälle oma uusi käyttäjätunnus. Rajoita käyttöoikeudet sille tasolle, jotka ovat tarpeen – älä siis anna pääkäyttäjätunnuksia kenellekään muulle. Muistuta päivittäjää siitä, että salasanan on oltava vahva (ks. ylempänä kohta Mikä on vahva salasana). Jos mahdollista, ohjeista päivittäjä ottamaan käyttöön kaksivaiheinen tunnistautuminen.
Lue ohjeet uuden WordPress-käyttäjän lisäämiseen tästä: Uuden päivittäjän lisääminen WordPress-sivuille.
Tietoturvavinkki 4: Käytä vahvaa salasanaa, jota et koskaan luovuta ulkopuolisille – et edes mihinkään salasanatestipalveluun! Ota käyttöön kaksivaiheinen kirjautuminen.
Tietoturvalisäosat eivät välttämättä tuo turvaa
Moni WordPress-harrastaja väittää, että oikein tehdyillä sivuilla on ehdottomasti oltava kaikenkarvaisia tietoturvalisäosia, ja suositteleekin muutamia. Näiden lisäosien suosittelijoiden mielipiteet kannattaa varmistaa myös ammattilaisilta, sillä jokainen lisäosa on lähtökohtaisesti tietoturvariski. Ja WordPress-ammattilaisten tiedossa on, että myös tietoturvalisäosat ovat tietoturvariski. Ne jos mitkä kiinnostavat hakkereita. Älä siis laske tietoturvalisäosien varaan – niistä voi olla enemmän haittaa kuin hyötyä.
Kansioiden ja tiedostojen siirtelyt voivat huonontaa tietoturvaa
Toinen yleinen väite on se, että WordPressin asennuskansio tai kirjautumissivu pitäisi vaihtaa oletuksesta joksikin toiseksi. Hmm, tämäkö hidastaa hakkeria? Jos hakkeri pääsee WordPressiisi vaikkapa teeman tai lisäosan tietoturva-aukon kautta, hän tietää myös, mistä hän löytää mitäkin.
Toisekseen, tällainen kansioiden ja tiedostojen sijaintien siirtely saattaakin avata oven murtautujalle, sillä jos näitä osoitteita piilottaa ja muuttaa, palvelimen päässä (toivottavasti) tehdyt suojaukset eivät välttämättä enää suojaakaan näitä reittejä. Eli ennen näitä toimenpiteitä kannattaa selvittää, ovatko ne oikeasti hyödyllisiä vai haitallisia.
Turvallinen palvelin on tärkein
Tietoturvasta voi huolehtia jo palvelimen päässä. Ilman WordPressiin asennettavia tietoturvalisäosia. Sen lisäksi, että tietoturvalisäosat ovat lisäosia siinä missä muutkin lisäosat – ja siksi tietoturvariskejä – ne myös hidastavat sivuston toimintaa. Miksi sivuille pitäisi ehdoin tahdoin tunkea jotakin ylimääräistä? Järkevämpää on asentaa WordPress sellaiselle palvelimelle, jolla se voi toimia turvallisesti. Tällöin sinun ei itse tarvitse huolehtia muusta kuin omasta toiminnastasi.
Lue lisää WP-palvelun blogista: Tietoturvalisäosat ovat tarpeettomia
“Asiakkaidemme WordPress-sivustojen nopeusoptimointi on tehty tekniikoilla, joiden ansiosta asiakkaan tarvitse tehdä mitään erityistä WordPressin sisällä esimerkiksi välimuistin käyttämiseksi. Samalla periaatteella olemme toteuttaneet myös tietoturvasuojaukset. Asiakas voi halutessaan asentaa WordPressin sisään esimerkiksi tietoturvalisäosan, mutta yleensä siitä ei ole hyötyä ja se hidastaa sivustoa. Jotkut lisäosat voivat jopa häiritä sivuston toimintaa, joten emme suosittele tietoturvalisäosien asennusta WP-palvelun asiakkaille.” (WP-Palvelu)
Lue lisää turhista tai haitallisista lisäosista WP-palvelun blogista: https://wp-palvelu.fi/lisaosat/
Ja vastaavasti Zonerin sivuilta löydät tietoa siitä, miten Zonerin WP-Cloudissa tietoturva on hoidettu (ja muita WordPressille sopivaan palvelinympäristöön liittyviä asioita): Miksi WP-Cloud.
Tottakai, jos sivut täytyy asentaa Tmi PowerJonnenVeppiToimiston puolentoista euron palvelimelle, palvelimen ympärille kiedottava piikkilanka-aita voi olla tarpeen.
Tietoturvavinkki 5: Siirrä sivusi turvalliselle palvelimelle, niin sinun ei tarvitse ottaa riskejä kaikenkarvaisten tietoturvalisäosien kanssa (jotka myös hidastavat sivustoasi).
Tuovatko varmuuskopiot turvaa
Automaattisiin varmuuskopioihin moni suosittelee lisäosaa. Sellaista lisäosaa, joka tuosta noin vaan tekee varmuuskopion palvelimelle ja jos vain tietää oikean osoitteen, kuka tahansa voi käydä sen varmuuskopion sieltä nappaamassa. Ja nappaaja saa tällöin käsiinsä IHAN KAIKEN. Kaikki tunnukset, kaikki kirjautumistiedot, kaikki asiakastiedot… Eli jos välttämättä tarvitset varmuuskopiolisäosaa, valitse ohjelma huolella ja käytä sitä oikein.
Jos haluat ottaa varmuuskopioita, voit myös tehdä niin, että otat lisäosan käyttöön vain varmuuskopioinnin ottamisen ja lataamisen ajaksi. Kun olet ladannut varmuuskopion vaikkapa koneellesi, poistat sen netissä olevasta WordPressistä.
Asiallinen palveluntarjoaja huolehtii säännöllisestä varmuuskopioinnista, jolloin sinun ei tarvitse arpoa WordPressiisi jotakin lisäosaa tätä varten. Jos käy niin, että sivuille on murtauduttu, sinulla tai ainakin palveluntarjoajalla on mahdollisuus palauttaa vanha varmuuskopio siltä ajalta, kun murtautumista ei ollut vielä tapahtunut.
Tietoturvavinkki 6: Siirrä sivusi palveluntarjoajalle, joka huolehtii varmuuskopioinnista ja jolta saat tarvittaessa apua varmuuskopion palauttamiseen, jos et sitä itse osaa tehdä. Käytä varmuuskopiolisäosia harkiten, ja kun et tarvitse sitä, poista lisäosa ja vanhat varmuuskopiot WordPressistä.
Entä jos jotain epäilyttävää ilmenee?
- Onko sivuille ilmestynyt jotain outoa?
- Kertovatko sivujesi kävijät, että sivuilla on jotain outoa?
- Varoittaako selain tai virustorjuntaohjelma jostakin epäilyttävästä?
- Etkö pääse kirjautumaan hallintaan?
- Ilmestyykö sivustolle pääkäyttäjiä, joita et ole itse lisännyt?
- Muuttuvatko sivujesi asetukset, vaikket ole tehnyt mitään?
- Löydätkö linkkejä, joita et ole linkittänyt?
Murtautuminen ei näy aina ulospäin
Aina murtautuminen ei näy ulospäin. Sivut voivat näyttää aivan normaaleilta ja jopa toimia ihan hyvin. Jos huomaat jotain outoa, tutki tilannetta tarkemmin ja kysy palveluntarjoajaltasi, onko syytä epäillä murtautumista. Kun toimit ajoissa, ongelmat voi olla helpompi löytää ja korjata, eivätkä ne vaikuta välttämättä sivujesi kävijöihin.
Tietoturvavinkki 7: Jos havaitset jotain outoa, toimi heti.
Parhaat keinot suojata WordPress-sivut hakkereilta ovat siis:
- teetä sivut ammattilaisella ja ota vastaan ammattilaisen ohjeet liittyen tietoturvaan
- valitse tietoturvasta huolehtiva palveluntarjoaja, joka huolehtii
- WordPressin, teeman ja lisäosien päivityksistä
- valvonnasta
- uhkien torjunnasta
- varmuuskopioinnista ja palautuksesta
- mahdollisten ongelmien korjaamisesta
- huolehdi, että oma tunnus ja salasana eivät joudu vääriin käsiin (älä ikinä anna niitä kenellekään äläkä kirjoita niitä millekään ulkopuolisille sivustoille)
- huolehdi, että salasana on vahva – jos ei, niin vaihda heti
- valitse lisäosat huolella – mikäli ne ovat ehdottoman tarpeellisia
- jos huomaat sivuilla jotakin epäilyttävää, selvitä heti syy.
Lue lisää WordPress-aiheisia ohjeita:
Näin päivität WordPressin ja lisäosat
Näin varmuuskopioit WordPress-sivusi
Näin siirrät WordPress-sivusi palvelimelta toiselle
Nettisivujen ostajan opas – hinta ja tekijän valinta
Näin optimoit WordPress-sivusi hakukoneita varten