Kuinka tehdä WordPress-sivustosta suojattu

Oman WordPress- sivustosi käynnistäminen on nykyään melko helppoa. Valitettavasti ei kestä kauan, kun hakkerit alkavat kohdistaa sivustoasi.

Paras tapa tehdä WordPress -sivustosta turvallinen on ymmärtää kaikki WordPress-sivuston käyttämisen aiheuttamat haavoittuvuudet(WordPress) . Asenna sitten asianmukainen suojaus hakkereiden estämiseksi kussakin näistä kohdista.

Tässä artikkelissa opit suojaamaan paremmin verkkotunnuksesi, WordPress -kirjautumistunnuksesi ja käytettävissä olevat työkalut ja laajennukset WordPress - sivustosi suojaamiseen.

Luo yksityinen verkkotunnus

Nykyään on aivan liian helppoa löytää vapaa verkkotunnus(find an available domain) ja ostaa se erittäin halvalla. Useimmat ihmiset eivät koskaan osta verkkotunnuslisäosia verkkotunnukselleen. Yksi lisäosa, joka sinun tulee kuitenkin aina harkita, on tietosuoja(Privacy Protection) .

GoDaddylla(GoDaddy) on kolme tietosuojan perustasoa , mutta ne vastaavat myös useimpien verkkotunnusten tarjoajien tarjouksia.

  • Perus(Basic) : Piilota nimesi ja yhteystietosi WHOIS - hakemistosta. Tämä on käytettävissä vain, jos hallitus sallii sinun piilottaa verkkotunnuksen yhteystiedot.
  • Täysi(Full) : Korvaa omat tietosi vaihtoehtoisella sähköpostiosoitteella ja yhteystiedoilla peittääksesi todellisen henkilöllisyytesi.
  • Ultimate : Lisäsuojaus, joka estää haitallisen verkkotunnuksen tarkistuksen ja sisältää verkkosivustosi suojauksen valvonnan varsinaiselle sivustollesi.

Yleensä verkkotunnuksen päivittäminen jollekin näistä suojaustasoista edellyttää päivityksen valitsemista verkkotunnuksen luettelosivun avattavasta valikosta.

Verkkotunnuksen(Basic) perussuojaus on melko halpaa (yleensä noin 9,99 dollaria vuodessa), eikä korkeampi tietoturva ole paljon kalliimpaa.

Tämä on erinomainen tapa estää roskapostittajia kaappaamasta yhteystietojasi pois WHOIS - tietokannasta tai muita ilkeämielisiä, jotka haluavat päästä käsiksi yhteystietoihisi.

Piilota(Hide) wp-config.php- ja .htaccess-tiedostot

Kun asennat WordPressin(install WordPress) ensimmäisen kerran , sinun on sisällytettävä WordPress SQL -tietokantaasi järjestelmänvalvojan tunnus ja salasana wp-config.php-tiedostoon. 

Nämä tiedot salataan asennuksen jälkeen, mutta haluat myös estää hakkereita muokkaamasta tätä tiedostoa ja rikkomasta verkkosivustoasi. Voit tehdä tämän etsimällä ja muokkaamalla .htaccess-tiedostoa sivustosi juurikansiosta ja lisäämällä seuraavan koodin tiedoston alaosaan.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Voit estää itse .htaccess-tiedoston muuttamisen lisäämällä myös seuraavat tiedot tiedoston alaosaan.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Tallenna tiedosto ja poistu tiedostoeditorista.

Voit myös napsauttaa kutakin tiedostoa hiiren kakkospainikkeella ja muuttaa käyttöoikeuksia poistaaksesi kirjoitusoikeudet(Write) kokonaan kaikilta.

Vaikka tämän tekeminen wp-config.php-tiedostossa ei pitäisi aiheuttaa ongelmia, sen tekeminen .htaccess-tiedostossa voi aiheuttaa ongelmia. Varsinkin jos käytät WordPress -suojauslaajennuksia , jotka saattavat joutua muokkaamaan .htaccess-tiedostoa puolestasi.

Jos saat virheitä WordPressistä(WordPress) , voit aina päivittää oikeudet salliaksesi kirjoitusoikeuden(Write) uudelleen .htaccess-tiedostoon.

Vaihda WordPress-kirjautumis-URL-osoite

Koska jokaisen WordPress -sivuston oletuskirjautumissivu on yourdomain/wp-admin.php, hakkerit käyttävät tätä URL-osoitetta yrittääkseen murtautua sivustoosi.

He tekevät tämän niin sanotuilla "raa'an voiman" hyökkäyksillä, joissa he lähettävät muunnelmia tyypillisistä käyttäjätunnuksista ja salasanoista, joita monet ihmiset käyttävät. Hakkerit toivovat, että he käyvät onnessaan ja löytävät oikean yhdistelmän.

Voit lopettaa nämä hyökkäykset kokonaan muuttamalla WordPress-kirjautumis-URL(WordPress login URL) -osoitteesi johonkin epästandardista.

On olemassa monia WordPress -laajennuksia, jotka auttavat sinua tekemään tämän. Yksi yleisimmistä on WPS Hide Login .

Tämä laajennus lisää osion WordPressin Asetukset -kohdan (Settings)Yleiset(General) - välilehdelle .

Siellä voit kirjoittaa minkä tahansa kirjautumis- URL -osoitteen ja aktivoida sen valitsemalla Tallenna muutokset . (Save Changes)Seuraavan kerran, kun haluat kirjautua WordPress - sivustollesi, käytä tätä uutta URL -osoitetta .

Jos joku yrittää käyttää vanhaa wp-admin URL -osoitettasi , hänet ohjataan sivustosi 404-sivulle.

Huomautus(Note) : Jos käytät välimuistilaajennusta, muista lisätä uusi kirjautumis - URL -osoite niiden sivustojen luetteloon, joita ei(not) tarvitse tallentaa välimuistiin. Tyhjennä sitten välimuisti ennen kuin kirjaudut takaisin WordPress - sivustollesi.

Asenna WordPress Security Plugin

Valittavana on monia WordPress(WordPress security plugins) -tietoturvalaajennuksia. Wordfence on niistä kaikista yleisimmin ladattu, hyvästä syystä.

Wordfencen(Wordfence) ilmainen versio sisältää tehokkaan tarkistusmoottorin, joka etsii takaoven uhkia, haitallista koodia liitännäisistäsi(malicious code in your plugins) tai sivustostasi, MySQL - injektiouhkia ja paljon muuta. Se sisältää myös palomuurin, joka estää aktiiviset uhat, kuten DDOS - hyökkäykset. 

Sen avulla voit myös pysäyttää raa'an voiman hyökkäykset rajoittamalla kirjautumisyrityksiä ja lukitsemalla käyttäjiä, jotka yrittävät kirjautua liikaa väärin.

Ilmaisversiossa on saatavilla melko vähän asetuksia. Enemmän kuin tarpeeksi suojaamaan pieniä ja keskisuuria verkkosivustoja useimmilta hyökkäyksiltä.

Siellä on myös hyödyllinen kojelautasivu, jonka avulla voit seurata viimeaikaisia ​​estettyjä uhkia ja hyökkäyksiä.

Käytä WordPressin salasanageneraattoria(WordPress Password Generator) ja 2FA:ta

Viimeinen asia, jonka haluat, on, että hakkerit arvaavat salasanasi helposti. Valitettavasti liian monet ihmiset käyttävät hyvin yksinkertaisia ​​salasanoja, jotka on helppo arvata. Joitakin esimerkkejä ovat verkkosivuston nimen tai käyttäjän oman nimen käyttäminen osana salasanaa tai erikoismerkkien käyttämättä jättäminen.

Jos olet päivittänyt WordPressin(WordPress) uusimpaan versioon , sinulla on pääsy tehokkaisiin salasanasuojaustyökaluihin WordPress - sivustosi suojaamiseksi. 

Ensimmäinen askel salasanan turvallisuuden parantamiseksi on siirtyä sivustosi jokaisen käyttäjän luo, vieritä alas Tilinhallinta(Account Management) -osioon ja valita Luo salasana(Generate Password) -painike.

Tämä luo pitkän, erittäin turvallisen salasanan, joka sisältää kirjaimia, numeroita ja erikoismerkkejä. Tallenna tämä salasana jonnekin turvalliseen paikkaan, mieluiten asiakirjaan ulkoisessa asemassa, jonka voit irrottaa tietokoneesta, kun olet online-tilassa.

Valitse Kirjaudu ulos kaikkialta muualta(Log Out Everywhere Else) varmistaaksesi, että kaikki aktiiviset istunnot on suljettu.

Lopuksi, jos olet asentanut Wordfence - suojauslaajennuksen, näet Aktivoi 2FA(Activate 2FA) -painikkeen. Valitse tämä ottaaksesi kaksivaiheisen todennuksen käyttöön käyttäjien kirjautumisissa.

Jos et käytä Wordfencea(Wordfence) , sinun on asennettava jokin näistä suosituista 2FA-laajennuksista.

Muita tärkeitä turvallisuusnäkökohtia(Important Security Considerations)

Voit suojata WordPress - sivustosi täysin muutamalla muulla tavalla.

Sekä WordPress-laajennukset että itse (WordPress plugins)WordPress -versio tulee päivittää aina. Hakkerit yrittävät usein hyödyntää sivustosi vanhempien koodiversioiden haavoittuvuuksia. Jos et päivitä molempia, jätät sivustosi vaaraan.

1. Valitse säännöllisesti Plugins and Installed Plugins WordPressin(WordPress) hallintapaneelista. Tarkista(Review) kaikkien laajennusten tila, joka sanoo, että uusi versio on saatavilla.

Kun näet vanhentuneen, valitse päivitä nyt(update now) . Voit myös valita Ota automaattiset päivitykset käyttöön laajennuksillasi. 

Jotkut ihmiset ovat kuitenkin varovaisia ​​tekemässä tätä, koska laajennuspäivitykset voivat joskus rikkoa sivustosi tai teemasi. Joten on aina hyvä idea testata laajennuspäivityksiä paikallisella WordPress-testisivustolla(local WordPress test site) ennen kuin otat ne käyttöön live-sivustollasi.

2. Kun kirjaudut WordPress - hallintapaneeliisi, näet ilmoituksen, että WordPress on vanhentunut, jos käytät vanhempaa versiota.

Jälleen, varmuuskopioi sivusto ja lataa se paikalliselle testisivustolle omalle tietokoneellesi testataksesi, ettei WordPress - päivitys riko sivustoasi, ennen kuin päivität sen elävällä verkkosivustollasi.

3. Hyödynnä verkkoisäntäsi ilmaisia ​​suojausominaisuuksia. Useimmat web-isännät tarjoavat erilaisia ​​ilmaisia ​​tietoturvapalveluita siellä isännöimillesi sivustoille. He tekevät tämän, koska se ei vain suojaa sivustoasi, vaan se pitää koko palvelimen turvassa. Tämä on erityisen tärkeää, kun käytät jaettua hosting-tiliä, jossa muilla asiakkailla on verkkosivustoja samalla palvelimella.

Näitä ovat usein ilmaiset SSL(free SSL security) -suojausasennukset sivustollesi, ilmaiset varmuuskopiot(free backups) , mahdollisuus estää haitalliset IP-osoitteet ja jopa ilmainen sivustotarkistus, joka tarkistaa säännöllisesti sivustosi haitallisen koodin tai haavoittuvuuksien varalta.

Verkkosivuston pyörittäminen ei ole koskaan yhtä helppoa kuin WordPressin(WordPress) asentaminen ja sisällön lähettäminen. On tärkeää tehdä WordPress - verkkosivustostasi mahdollisimman turvallinen. Kaikki yllä olevat vinkit voivat auttaa sinua tekemään sen ilman liikaa vaivaa.



About the author

Olen tietojenkäsittelytieteilijä, jolla on yli 10 vuoden kokemus selainten, Microsoft Officen ja onedriven parista. Olen erikoistunut verkkokehitykseen, käyttäjäkokemustutkimukseen ja laajamittaiseen sovelluskehitykseen. Taitojani käyttävät eräät maailman johtavista yrityksistä, kuten Google, Facebook ja Apple.



Related posts