Parantaa WordPress-asennuksesi turvallisuutta

20 tapaa parantaa WordPress-asennuksesi turvallisuutta, osa 2

Tämä kirjoitus on toinen kaksiosaisesta blogisarjasta, jossa kerron 20 tapaa parantaa WordPress-asennuksesi turvallisuutta. Voit lukea ensimmäisen osan täältä. Viime artikkelissa mainitsin jo Better WP Security lisäosan. Tämänkertaisissa vinkeissä tulemme käyttämään paljon sen ominaisuuksia.
Lue, miten teet WordPressistä vieläkin turvallisemman.

11. Muuta WordPress-tietokantataulujen etuliite

Oletusetuliite tietokantatauluille on wp_. Tämä kannattaa muuttaa asennusprosessin aikana wp-config.php tiedostoon. Paras vaihtoehto etuliitteeksi on satunnaisesti muodostettu merkkijono, joka sisältää kirjaimia, numeroita ja alaviivoja. Liitteen muuttaminen vaikeuttaa krakkerien yrityksiä päästä käsiksi tietokantatauluihin esimerkiksi jonkin havaitun aukon kautta.
Jos WordPress on jo asennettu käyttäen liitettä wp_, ei se mitään. Etuliitteen vaihtaminen onnistuu käden käänteessä Better WP Security lisäosalla.

12. Älä käytä liian helposti arvattavaa ylläpitotunnusta

WordPress ehdottaa asennuksen yhteydessä ylläpidon käyttäjätunnukseksi termiä admin. Tämä kannattaa muuttaa joksikin vaikeammin arvattavaksi. Monet automaattiset skriptit kolkuttelevat WordPressin kirjautumista usein käytetyillä ylläpitotunnuksilla kuten admin, administrator ja root.
Jos jo olemassa olevan asennuksen ylläpitotunnus on admin, sen voi muuttaa helposti Better WP Security lisäosalla joksikin muuksi.

13. Tiedosto-oikeudet kuntoon parantaa WordPress-asennuksesi turvallisuutta

WordPress tiedostoille suositellaan oikeuksia 644 ja hakemistoille 755. Jos tiedostoille tai hakemistoille tarvitaan jostakin syystä suuremmat oikeudet, kannattaa miettiä, onko palvelin konfiguroitu oikein.
Jos esimerkiksi monen sivuston kesken jaetulle palvelimelle murtaudutaan ja oikeudet ovat liian suuret, tällöin on mahdollista, että murtautuja pystyy sekoittamaan kaikki sivustot vain yhden sijaan.

14. Vaihda wp-content hakemiston polku

Wp-content hakemistossa sijaitsevat käytettävät lisäosat, teemat ja tallennetut tiedostot. Monesti juuri tämän hakemiston tiedostoista krakkerit hakevat tietoturva-aukkoja. Jos hakemistopolun muuttaa, sen löytäminen hankaloittuu. Wp-content polun muuttaminen onnistuu parhaiten uudelle asennukselle, johon ei ole vielä tehty mitään.
Muuttaminen onnistuu Better WP Security lisäosan avulla. Jo sisältöä sisältävän asennuksen kanssa kannattaa olla tarkkana, jos polkua yrittää muuttaa, sillä lähes sadan prosentin varmuudella se rikkoo sisältösivuja, koska esimerkiksi niissä olevien kuvien osoitteet muuttuvat.

Operaatio tulee ehdottomasti testata ensin testiympäristössä.

On myös mahdollista, että osa lisäosista tai teemoista lakkaa toimimasta, mikäli niihin on kovakoodattu wp-content osoite. Wp-content polun muuttaminen on ollut mahdollista WordPressin versiosta 2.6 lähtien, joten sen jälkeen tehdyissä lisäosissa ei kovakoodausta saisi olla, mutta käytännössä tämä selviää vain kokeilemalla. Mikäli käytössä on iso sivusto, jossa on jo paljon sisältöä ja lisäosia, kannattaa pohtia onko tämä muutos siihen käytetyn ajan arvoista.

15. Poista sivun metatiedoista WordPressin versionumero

WordPress tulostaa lähdekoodin metatietoihin oletuksena käytössä olevan versionumeron. Jos versionumero on näkyvillä ja käytössä on vanha versio WordPressistä, tällöin krakkeri voi lähdekoodien perusteella hakea tietoturva-aukkoja, jotka on korjattu vasta myöhemmissä versioissa. Versionumeron piilottaminen hidastaa ainakin jonkin verran krakkeria. Versionumeron poisto onnistuu Better WP Securityn avulla, mikä parantaa wordpress-asennuksesi turvallisuutta taas piirun verran.

16. Rajoita ylläpitoon pääsyä

Raakaa voimaa käyttävien skriptien toiminta kannattaa ehdottomasti estää. Skriptien avulla voidaan ajaa jopa tuhansia kirjautumisyrityksiä minuutissa. Better WP Securityn avulla voi määrittää rajat sille, kuinka monta kertaa kirjautumista voi yrittää tietyn ajan puitteissa tietystä osoitteesta. Jos rajat ylittyvät, kyseinen ip-osoite lisätään mustalle listalle ja kirjautuminen estetään määritellyksi ajaksi. Tapahtumista on mahdollista saada myös raportti sähköpostiin.
Better WP Securitylla on myös mahdollista määritellä aikavälejä, jolloin kukaan ei pääse käsiksi ylläpito-osoitteeseen. Säännöt voi luoda joko kertaluontoisiksi tai toistuviksi. Kirjautuminen voidaan estää esimerkiksi joka päivä yöaikaan. Tätä ominaisuutta käyttäessä kannattaa kuitenkin olla varovainen. Se tosiaan estää kaikkien käyttäjien pääsyn ylläpitoon. Mikäli sivustolla havaitaan ongelmia, ja esto on päällä, ongelmaa ei päästä ratkomaan ennen kuin esto loppuu!
Ylläpitoon pääsyä voidaan rajoittaa myös ip-osoitteilla. Tämä onnistuu lisäämällä wp-admin hakemistoon .htaccess tiedosto, joka sisältää seuraavaa:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Esimerkki”
AuthType Basic
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from yyy.yyy.yyy.yyy
Xxx ja yyy kohtiin määritellään oikeat ip-osoitteet. Muista ip-osoitteista ei tällöin pääse ollenkaan ylläpitoon.

17. Estä hakemistolistaukset

Jos hakemistolistausta ei ole estetty, kuka tahansa ulkopuolinen pystyy selaamaan esimerkiksi lisäosa ja teema hakemistoja ja näkemään mitä komponentteja sivustolla on käytetty. Tämän tiedon avulla taas krakkeri voi etsiä mahdollisia turva-aukkoja esimerkiksi jos käytössä on jokin vanha versio tietystä lisäosasta.
Hakemistolistaus eston saa päälle Better WP Securitylla.

18. Vaihda kirjautumisosoitteet

WordPressin rekisteröinti, kirjautuminen ja ylläpito toimivat oletuksena tietyissä osoitteissa. Tämä tarkoittaa sitä, että automaattisten skriptien avulla on helppo pommittaa kyseisiä osoitteita. Tämän vuoksi nämä osoitteet kannattaa vaihtaa joksikin muuksi. Tämä onnistuu Better WP Security lisäosalla. Lisäosan avulla esimerkiksi ylläpidon voi muuttaa osoitteesta /wp-admin osoitteeksi /yllap.

19. Tarkkaile 404-virheitä

404-virheitä tarkkailemalla saa selville sen, yrittääkö joku hakea sivuilta jotakin sellaista, mitä siellä ei ole. Monesti krakkerit tai automaattiset skriptit yrittävät hakea sivuilta haavoittuvuuksia käymällä läpi eri osoitteita, joita usein ei ole olemassa.

Mikäli siis pienen ajan sisällä tulee paljon 404-virheitä samasta osoitteesta, kyseessä on luultavasti yritys löytää haavoittuvuuksia sivuilta.

Better WP Securityn avulla voi asettaa rajat sille, missä kohtaa kyseinen osoite siirretään mustalle listalle, eikä sitä päästetä enää sivustolle. 404-virheraportin saa myös lähetettyä automaattisesti sähköpostiin.

20. Tarkkaile vaihtuneita tiedostoja

Better WP Securityn avulla voi myös tarkastella WordPress-lähdekooditiedostojen muutoksia. Mikäli muutoksia on tullut eikä niitä tiettävästi kukaan ylläpitäjistä ole tehnyt, tällöin kyse saattaa olla siitä, että krakkeri on päässyt palvelimelle.
Raportin saa lähetettyä omaan sähköpostiin päivittäin. Mikäli käytössä on jokin välimuistilisäosa, kannattaa muistaa lisätä välimuistitiedostojen hakemisto ohitettavien hakemistojen listalle tai muutoin muutosilmoituksia tulee joka päivä.
Puuttuuko mielestäsi listalta jotain oleellista?
Listan vinkit eivät takaa sadan prosentin turvallisuutta sivustollesi, mutta niiden avulla pystyt kuitenkin oleellisesti parantaa WordPress-asennuksesi turvallisuutta.
Mikäli tykkäsit artikkelista, niin paina tykkää, niin tiedän kirjoittaa lisää WordPress-aiheesta. Kiitos! 🙂

Timo Leiniö

Chief Performance Officer & Partner

Lue lisää aiheesta