Site icon Digivinkit

WordPress tietoturvan parantaminen

WordPress

WordPress julkaisujärjestelmän suosio tekee siitä houkuttelevan kohteen myös mahdollisille hakkereille ja muille rikollisille toimijoille. Nykyään monet verkkosivuston ylläpitäjistä käyttävät WordPress alustaa verkkosivuillaan.

WordPress on suosittu julkaisualusta, jonka hyvä puolia ovat hinta ja helppokäyttöisyys. Juuri tämän suuren suosion vuoksi WordPress verkkosivuston tietoturva on hyvä pitää kunnossa. Sinun kannattaa suojata WordPress sivustosi mahdollisimman hyvin ulkoisia uhkia vastaan.

WordPress tietoturvan parantaminen

WordPress tietoturvan parantaminen onnistuu näillä pienillä vinkeillä. Vinkkien avulla saat verkkosivustoasi suojattua hieman paremmin ulkopuolisilta urkkijoilta ja tietoturvan kokeilijoilta.

Suojaa wp-config.php tiedosto

Tiedosto wp-config.php sisältää kaikki sivustosi tärkeät tiedot. Tiedostoon on tallennettu esim. tietokannan käyttäjä ja salasana selkokielisenä. Ulkopuoliset urkkijat ja eri toimijat ovat kiinnostuneita näistä tiedoista. Älä koskaan tallenna wp-config.php tiedoston varmuuskopiota verkkosivuston juurihakemistoon.

Voit suojata wp-config.php tiedoston siirtämällä sen WordPress sivuston asennuskansion yläpuolella olevaan hakemistoon. Jos sinun WordPress sivusto sijaitsee hakemistossa /var/www/public_html niin siirrä tiedosto /var/www hakemistoon. WordPressin pitäisi kyllä löytää tiedosto ongelmitta.

Muuta vielä lopuksi wp-config.php tiedostoon ainoastaan lukuoikeudet tiedoston omistajalle.

Poista wp-config-sample.php tiedosto

WordPress asennuksen jälkeen muista poistaa tiedosto wp-config-sample.php juurihakemistosta /var/www/public_html. Älä koskaan tallenna juurihakemistoon mitään ylimääräistä ulkopuolisten saataville.

Salli WordPress sivuston automaattiset päivitykset

Tämä toiminto kannattaa ottaa varoen käyttöön jos sinulla on mahdollisia plugin käännöksiä käytössä. Mikäli haluat itse varmistaa, että käännöksesi ei mene pilalle, niin sinun ei tule ottaa tätä muutosta käyttöön. Muuten suosittelemme WordPress coren, teemojen ja pluginien automaattista päivittämistä sivustollesi. Jos haluat automaattiset päivitykset käyttöön niin lisää wp-config.php tiedostoon seuraavat rivit. Muussa tapauksessa sinun kannattaa päivitää WordPress sivustosi säännöllisesti itse.

define('WP_AUTO_UPDATE_CORE', true); 
add_filter( 'auto_update_plugin', '__return_true' ); 
add_filter( 'auto_update_theme', '__return_true' );

Estä WordPress sivuston teeman ja pluginien tiedostojen editointi

Lisää wp-config.php tiedostoon seuraavat rivit. Mikäli haluat muuttaa teeman tai pluginien tiedostoja niin kommentoi rivit pois käytöstä väliaikaisesti.

define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );

Estä WordPress sivuston tiedostolistaus

Voit estää tiedostolistauksen lisäämällä wordpress juurihakemistossa olevaan .htaccess tiedostoon yhden rivin tekstiä. Juuri hakemisto on sinun verkkosivun hakemisto esim. /var/www/public_html josta tiedoston pitäisi löytyä. Lisää seuraava rivi .htaccess tiedostoon.

Option -Indexses

WP-admin hakemiston suojaaminen

Turvaa aluksi wp-admin hakemisto omalla .htaccess tiedostolla, joka tulee sijoittaa hakemistoon /var/www/public_html/wp-admin. Tämä .htaccess tiedosto estää ei sallitusta ip-osoitteesta yhteydenoton ko. hakemistoon eli muilla ei ole pääsyä wp-admin sivulle. Pääset wp-admin sivulle ainoastaan sinun omasta ip-osoitteesta. Mikäli sinun oma ip-osoite vaihtuu, niin muuta silloin uusi ip-osoite .htaccess tiedostoon.

Lisää .htaccess tiedostoon seuraavat tiedot. Allow from riville tulee kirjoittaa oma julkinen ip-osoite. Oman julkisen ip-osoitteen saat selville helposti tästä linkistä: Tarkista oma ip-osoite. Tallenna vielä lopuksi .htaccess tiedosto wp-admin hakemistoon.

<Files .htaccess>
Require all denied
</Files>

<LIMIT GET>
order deny,allow
deny from all
#Oma sallittu ip-osoite
allow from xxx.xxx.xxx.xxx
</LIMIT>

<LIMIT PUT DELETE>
order allow,deny
deny from all
allow from localhost
</LIMIT>

# Estetään pääsy WordPressin asennustiedostoihin näillä uudelleenohjauksilla.
RedirectMatch Permanent wp-admin/install(-helper)?\.php /403.html
RedirectMatch Permanent wp-admin/install\.php /403.html
RedirectMatch Permanent wp-admin/setup-config\.php /403.html

Virheilmoitus 403.html tiedosto voi olla esimerkiksi alla olevan esimerkin kaltainen. Tallenna uusi luomasi tiedosto 403.html sivustosi juurihakemistoon /.

<!DOCTYPE html>
<head>
  <meta charset="UTF-8">
  <title>Sivu estetty</title>
  <meta name="robots" content="noindex,follow">
  <style type="text/css" media="screen">
     body { font-size: 18px; }
  </style>
</head>
<body>
  <article>
    <p>Sinulla ei ole oikeutta katsella sivua.</p>
  </article>
</body>

Uploads hakemiston suojaaminen

WordPress hakemisto /wp-content/uploads kannattaa tarkistaa mahdollisten haittaohjelmien varalta koska tähän hakemistoon niitä on helppo ulkopuolisten lisätä mikäli sivuston tietoturva ei ole kunnossa. Oletko muuten tarkistanut viime aikoina /wp-content/uploads/ hakemiston sisällön? Sieltä voi löytyä jotain muuta mitä et ole julkaissut sivustollasi!

Tee /wp-content/uploads hakemistoon oma .htaccess tiedosto, johon voit lisätä seuraavia tietoja. Muutoksella sallitaan pääsy ainoastaan kuva, video ja musiikkitiedostoihin seuraavasti.

Voit halutessasi lisätä tiedostoon haluamasi uudet tiedostopäätteet helposti. Kaikki muut tiedostopäätteet joita et ole lisännyt listalle, eivät ole sallittujen ja näytettävien tiedostojen listalla.

Luo tarvittaessa uusi .htaccess tiedosto /wp-content/uploads hakemistoon ja lisää tiedostoon seuraavat tiedot. Tallenna tiedosto lopuksi.

<Files ~ ".*..*">
Order Allow,Deny
Deny from all
</Files>
# Tiedostopäätteet, jotka haluat sallia
<FilesMatch ".(jpg|jpeg|jpe|gif|png|mp4|webp|mp3)$">
Order Deny,Allow
Allow from all
</FilesMatch>

WP-Includes hakemiston suojaaminen

Hakemistoon /wp-includes ei pitäisi olla pääsyä ulkopuolisella käyttäjällä eikä myöskään sinulla itselläsi. Hakemisto sisältää tiedostoja, jotka ovat välttämättömiä WordPress sivuston toiminnan kannalta. Estä pääsy WordPress /wp-includes hakemistoon seuraavasti. Lisää seuraavat rivit .htaccess tiedostoon, joka sijaitsee / hakemistossa. Tallenna tiedosto vielä lopuksi.

# Estä pääsy wp-includes hakemistoon ja tiedostoihin
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]">
&ltIfModule>

XML-RPC poistaminen käytöstä

Kannattaa estää ja poistaa myös xmlrpc.php käytöstä jos et sitä tarvitse. XML-RPC voi aiheuttaa tietoturvariskin WordPress sivustoosi ja sitä yritetään käyttää DDoS ja bruteforce hyökkäyksissä sivustoa kohtaan. Voit estää pääsyn xmlrpc.php tiedostoon seuraavasti. Lisää nämä rivit sivustosi .htaccess tiedostoon.

<Files xmlrpc.php>
Order Allow,Deny
Deny from all 
</Files>

Rajoita tiedostojen ja hakemistojen oikeuksia

Rajoita ainakin näiden hakemistojen ja tiedostojen oikeuksia WordPress sivustollasi. Suosittelemme tiedostoille ja hakemistoille seuraavia oikeuksia.

Olet nyt parantanut WordPress sivuston tietoturvaa paljon paremmaksi. Tästä on hyvä jatkaa eteenpäin verkkosivustosi tietoturvan parantamiseksi.

Exit mobile version