Yli 40 % 10 miljoonasta suosituimmasta verkkosivustosta käyttää WordPressiä. Mutta onko WordPress turvallinen? Lyhyt vastaus tähän kysymykseen on Joo – WordPress on turvallinen. Tämä ei kuitenkaan tarkoita, ettei WordPressillä olisi haavoittuvuuksia.
Onneksi WordPress-yhteisö on dokumentoinut monia yleisiä WordPress-haavoittuvuuksia, minkä ansiosta verkkosivustojen ylläpitäjien on helppo lisätä sivustoonsa suojauskerroksia näiden haavoittuvuuksien korjaamiseksi. Lisäksi on olemassa muutamia helppoja tapoja päivittää tai ylläpitää WordPress-verkkosivustoasi varmistaaksesi, että se on mahdollisimman turvallinen.
Tässä artikkelissa käsittelen 5 helppoa tapaa tehdä WordPress-verkkosivustosi lisää turvallinen.
1. Sinulla on ainutlaatuiset järjestelmänvalvojan käyttäjätunnukset ja vahvat kirjautumissalasanat
Järjestelmänvalvojan kirjautumissivu on ensimmäinen puolustuslinja WordPress-verkkosivustollesi. Siellä kuka tahansa järjestelmänvalvoja tai käyttäjä voi päästä sivustosi "taustajärjestelmään" ja tehdä sivustoon muutoksia, syöttää tai poimia käyttäjä-/asiakastietoja tai lisätä tai poistaa sivuston tiedostoja ja ominaisuuksia – edellyttäen, että heillä on siihen lupa. .
Silti huonot toimijat voivat myös käyttää tätä kirjautumissivua porttina hyökätäkseen sivustoasi vastaan. Esimerkiksi kohdassa "Raaka voima”-hyökkäykset, hakkerit yrittävät toistuvasti arvata kirjautumistietosi päästäkseen sivustollesi.
Ei kestäisi kauan, ennen kuin nämä hakkerit murtautuvat onnistuneesti sivustosi arkaluontoisiin tietoihin, jos käytät yleistä järjestelmänvalvojan käyttäjänimeä ja salasanaa (kuten "admin" käyttäjänimenä ja "salasana1234" salasanana).
Siksi ensimmäinen helppo asia, jonka voit tehdä sivustosi turvallisuuden parantamiseksi, on käytä yksilöllisiä käyttäjätunnuksia ja vahvoja salasanoja sivuston kirjautumistiedoissa. Haluat myös varmistaa, että käyttäjätunnuksesi ja salasanasi ovat kunnossa ainutlaatuinen WordPress-verkkosivustollesi eikä sitä käytetä muihin kirjautumispaikkoihin (kuten verkkopankkiin tai sosiaalisen median kirjautumistunnukseesi). Tämä lisää ylimääräistä suojaustasoa.
Jos toisaalta kierrätät käyttäjätunnuksesi ja salasanasi useilla sivustoilla, kaikki näitä tunnistetietoja käyttävät sivustot joutuvat vaaraan heti, kun hakkeri vaarantaa yhden niistä.
Jos olet huolissasi kirjautumistietojesi katoamisesta, tee tiedoista paperikopio (muista lisätä isot kirjaimet oikein!). Säilytä paperikopio turvallisessa paikassa, johon vain sinä ja luotetut henkilöt pääset (kuten lukittavassa arkistokaappissa).
Lisäksi voit ottaa käyttöön kaksivaiheisen todennuksen tai kertaluonteisen salasanan (OTP) WordPress-kirjautumissivullesi. Tämä tarjoaa toisen suojakerroksen ja lisää suojaustasoja. Esimerkiksi, WordPress-tietoturvalaajennus SG Security (joka tulee mukaan SiteGround isännöintisuunnitelmat) sisältää "kaksitekijäisen todennus"-ominaisuuden, joka käyttää Googlen Authenticator-laajennusta. Tämä tarkoittaa, että vaikka hakkeri arvasi järjestelmänvalvojan käyttäjänimesi ja salasanasi, hänen on silti selvitettävä satunnaisesti luotu todennuskoodi päästäkseen sivustosi taustaohjelmaan.
2. Käytä WordPressin uusinta versiota
Toinen helppo tapa pitää sivustosi turvassa on käyttää aina uusinta WordPress-versiota. WordPress toimii "julkaisujaksolla", joka julkaisee uudet versiot ydinkoodista noin 4 kuukauden välein. Vaikka WordPressin uudet versiot voivat olla pieniä tai suuria, ne sisältävät melkein aina tietoturvapäivityksiä.
Nämä päivitykset perustuvat uusimpiin tietoihin lähteistä, kuten Open Web Application Security Project (OWASP Foundation), "verkkoyhteisö, joka on omistettu verkkosovellusten tietoturvalle."
Onneksi WordPress ja sen kaikki uudet versiot ovat aina ilmaisia asentaa sivustollesi. Ja useimmissa tapauksissa WordPress päivittää sivustosi automaattisesti uusimpaan versioon (ellet nimenomaan kiellä sitä tai käytä WordPress 3.7:ää vanhempaa versiota).
Lisäksi WordPressin ydintiimi käyttää paljon vaivaa tehdäkseen WordPressin uusista versioista taaksepäin yhteensopivia. Tämä tarkoittaa yksinkertaisesti sitä, että WordPressin uudet versiot on suunniteltu toimimaan olemassa olevien teemojesi, laajennuksiesi ja mukautetun koodisi kanssa.
Voit tarkistaa, onko sivustosi päivitetty uusimpaan versioon siirtymällä kohtaan Dashboard> Updates (keltainen nuoli yllä olevassa kuvassa). Täältä näet, mitä WordPress-versiota käytät ja onko se uusin saatavilla oleva versio (punainen nuoli yllä olevassa kuvassa).
Yksi tärkeä asia on huomata, että et yleensä halua "hyppää" WordPressin uusimpaan versioon, jos käytät paljon vanhempaa versiota.
Jos esimerkiksi käytät WordPress 4.9:ää (julkaistu vuonna 2017) live-sivustollasi, en suosittele päivittämään suoraan WordPress 6.2:een (uusin versio tämän artikkelin ajankohtana). Tämä rikkoo asioita.
Sen sijaan voit ladata ja asentaa aikaisemmat julkaisut verkkosivustollesi ja päivitä sivustosi hitaasti. Lisäksi sinun kannattaa varmuuskopioida sivustosi tiedostot ennen päivitysten suorittamista. Suosittelen tarkistamaan Tämä artikkeli käsittelee eri vaiheita, jotka on suoritettava ennen WordPress-sivustosi varmuuskopiointia, sen aikana ja sen jälkeen. Se voi varmasti olla prosessi, mutta se säästää päänsärkyltä sivustosi kaatumisesta ja kaiken korjaamisesta jälkikäteen.
Huomaa, että mitä vanhempi nykyinen WordPress-versiosi on, sitä ikävämpi ja epävarmempi tämä prosessi on. Tämä on sitäkin suurempi syy pitää WordPress-versiosi aina ajan tasalla!
3. Päivitä teemasi uusimpaan versioon ja poista käyttämättömät teemat
WordPress "koventaa" oletusteemojensa turvallisuutta kehittämällä, iteroimalla ja julkaisemalla jatkuvasti uusia teemaversioita. Tämä tarkoittaa, että sinun tulee aina käyttää WordPressin viimeisintä oletusteemaa, kun voit, koska siinä on kaikki uusimmat tietoturvapäivitykset sisäänrakennettuna.
Onneksi on helppo kertoa, mikä oletusteema on uusin, koska jokainen uusi teema nimetään nykyisen (tai tulevan) vuoden mukaan, jolloin teema julkaistaan. Esimerkiksi heidän vuonna 2023 julkaisemansa teema on nimeltään "Twenty Twenty-Three".
Suojauspäivitysten lisäksi uudet oletusteemat sisältävät myös monia uusia ominaisuuksia, jotka on suunniteltu tekemään verkkosivujesi suunnittelusta helpompaa ja nautinnollisempaa. Lisäksi ne sisältävät usein suorituskyvyn parannuksia, jotka parantavat sivustosi suorituskykyä ja auttavat siten saamaan lisää liikennettä.
Etkö ole varma kuinka päivittää teemasi WordPressissä? Näytän sinulle kuinka omassani WordPress aloittelijoille 2023: No-Code WordPress-mestarikurssi Udemyssä.
Päätät sitten käyttää uusinta oletusteemaa WordPress-sivustossasi tai pysyä teemassa, johon olet tyytyväinen, sinun tulee aina poistaa kaikki ei-aktiiviset tai muuten käyttämättömät teemat sivustosi takaosasta. Tämä johtuu siitä, että käyttämättömät teemat (etenkin vanhemmat teemat tai kolmannen osapuolen teemat) voivat sisältää tietoturva-aukkoja, jotka helpottavat hakkereiden pääsyä sivustollesi ja hyökätä niihin.
4. Päivitä laajennukset uusimpaan versioon ja tarkista yhteensopivuus
Yksi asioista, jotka tekevät WordPressistä mahtavan, on sen integrointi kolmansien osapuolien laajennuksiin. Kaikkia laajennuksia ei kuitenkaan luoda samanarvoisina, ja jotkin niistä voivat itse asiassa luoda tietoturva-aukkoja sivustollesi.
Onneksi on muutamia helppoja asioita, joiden avulla voit vähentää laajennusten luomien tietoturvauhkien riskiä.
Ensinnäkin on aina suositeltavaa lataa ja asenna WordPress-laajennukset WordPress-arkistosta. Tämä johtuu siitä, että tässä luetellut laajennukset on tarkistettava ja hyväksyttävä WordPress-tietoturvatiimin toimesta ennen kuin ne ovat ladattavissa. Löydät nämä laajennukset kautta tämä suora linkki lisäosien arkistoontai suoraan sivustosi WP-hallinta-alueelta siirtymällä kohtaan Plugins> Add New (keltainen nuoli alla olevassa kuvassa).
Kun päätät ladattavan laajennuksen WordPress-sivustollesi, suosittelen käyttämään laajennuksia, jotka on listattu "yhteensopivaksi WordPress-versiosi kanssa". Onneksi WordPress kertoo, ovatko laajennuksesi ja WordPress-versiosi yhteensopivia suoraan Plugin-hakemistosta (punainen nuoli yllä olevassa kuvassa). Laajennukset, joita ei ole testattu uusimmalla WordPress-versiolla, näyttävät viestin: "Testaamaton WordPress-versiosi kanssa" (sininen nuoli yllä olevassa kuvassa).
Vaikka "testaamattomat" laajennukset voivat toimia hyvin WordPress-versiosi ja teemasi kanssa, näihin laajennuksiin saattaa liittyä tuntemattomia tietoturva-aukkoja. Joten käytä tällaisia laajennuksia varoen verkkosivustollasi.
Huomaa, että WordPress toteaa turvallisuuden valkoisessa kirjassaan: "Lisäosien ja teemojen sisällyttäminen arkistoon ei takaa, että niissä ei ole tietoturva-aukkoja." Tästä huolimatta laajennukset, joissa on tunnettuja "vakavia haavoittuvuuksia", poistetaan arkistosta, ja WordPressin tietoturvatiimi saattaa jopa korjata ne ennen kuin ne lähetetään uudelleen arkistoon.
Lopuksi, kun olet asentanut laajennuksia sivustollesi, sinun kannattaa varmistaa, että pidät ne kaikki ajan tasalla. Laajennusten kehittäjät ottavat yleensä käyttöön tietoturvapäivityksiä ja -korjauksia uusissa versioissaan. Joten kun sinulla on laajennuksen uusin versio, varmistat, että sivustollasi on saatavilla kaikki kyseisen laajennuksen uusimmat tietoturvapäivitykset. Aivan kuten käyttämättömien tai ei-aktiivisten teemojen kohdalla, suosittelen myös, että poistat käytöstä ja poistat kaikki käyttämättömät laajennukset sivustostasi, jotta vähennät mahdollisuuksia, että tällaiset laajennukset aiheuttavat tietoturvahaavoittuvuuden myöhemmin.
Jos et ole varma, kuinka WordPressin laajennukset päivitetään, suosittelen, että tarkistat tämän prosessin omastani WordPress aloittelijoille 2023: No-Code WordPress-mestarikurssi Udemyssä.
5. Lisää SSL-varmenne verkkotunnukseesi
Viimeinen helppo tapa lisätä suojausta WordPress-sivustollesi vuonna 2023 on lisätä SSL-varmenne verkkotunnukseesi.
SSL (Secure Socket Layer) -varmenteet vahvistavat olennaisesti, että sivustosi vierailijoiden näkemä sisältö on peräisin sisällön todelliselta luojalta, eivät huijareilta tai petollisilta verkkosivustoilta. Toisin sanoen se varmistaa, että kaikki on laillista suoraan käyttäjän selaimesta.
Sivustoilla, joiden SSL-varmenne on asetettu oikein, on lukkokuvake sivuston URL-osoitteen vieressä selaimen hakupalkissa. Jos esimerkiksi katsot tämän verkkosivuston yläosaa Googlen Chrome-selaimella, näet lukkokuvakkeen pää-URL-osoitteen vieressä (punainen nuoli yllä olevassa kuvassa). Kun napsautat lukkokuvaketta, näet rivin, jossa lukee "Yhteys on turvallinen". Tämä on Google, joka vahvistaa, että yhteys tämän verkkosivuston ja vierailijan verkkoselaimen välillä on turvallinen ja yksityinen.
SSL-sertifikaatit ovat erityisen tärkeitä kaikille kerääville verkkosivustoille KAIKKI käyttäjätietojen tyyppi. Tämä sisältää yhteydenottolomakkeesta kerätyt yksinkertaiset tiedot (esim. nimi, sähköpostiosoite, puhelinnumero jne.) sekä monimutkaisempia tai yksityisiä tietoja, jotka kerättäisiin esimerkiksi verkkokauppasivustolta (eli luottokorttien numerot, osoite, jne.). Tekemällä yhteyden verkkosivuston ja vierailijoiden välillä turvalliseksi, SSL-sertifikaatit tekevät hakkereille erittäin vaikeaa varastaa osapuolten välillä vaihdettuja tietoja.
Jotkut verkkosivustojen isännöintiyritykset veloittavat SSL-sertifikaatista, kun taas toiset (esim Siteground) tarjoaa ilmainen SSL-sertifikaatti. Useimpien hosting-palvelujen tarjoajien tulisi tarjota SSL-varmenne sekä ohjeet sen asentamiseen WordPress-verkkosivustollesi.
Lisäbonuksena Googlen kaltaiset hakukoneet asettavat SSL-sertifikaateilla varustetut verkkosivustot korkeammalle kuin ne, joilla ei ole sitä. Toisin sanoen SSL-sertifikaatit eivät ainoastaan tee sivustoistasi turvallisempia, vaan ne voivat myös auttaa sivustoasi saamaan lisää liikennettä.
Siinä se tälle artikkelille! Jos pidit siitä, voit oppia lisää WordPress-sivuston luomisesta alusta loppuun minun WordPress aloittelijoille 2023: No-Code WordPress-mestarikurssi Udemyssä.
