Turvallinen WordPress

Turvallinen WordPress

1.11.2014 Helsingin Sanomat julkaisi artikkelin ”Useat suomalaiset blogit ja yrityssivut alttiita hakkereille” alaviitteellä ”Mukana pikavippifirmoja, verkkokauppoja ja pilvipalveluita”. Jutussa viitattiin lähinnä WordPress julkaisujärjestelmään ikään kuin itse järjestelmä olisi jotenkin turvaton. Näin ei kuitenkaan ole.

WordPress on turvallinen, käyttäjät eivät

Helsingin Sanomat valitettavasti epäonnistuu jutussaan laadun suhteen. Syitä ei selvitetä eikä artikkeli anna asiaa tuntemattomille oikeaa kuvaa siitä mistä edes kirjoitetaan. Valitettavasti moni ymmärsi uutisen kertovat WordPressin turvattomuudesta vaikka siitä ei ollut kyse. Jutussa viitataan WordPress asennuksiin ja Suomessa oleviin (HS mukaan)  yli 19 000 WordPressiä käyttävään sivustoon. Jutussa on lainattu tietoturvayhtiö Nsensen asiantuntijan lausuntoja. Hänen mukaansa vain 655 suomalaista sivustoa käyttää turvallista versiota ohjelmasta (WP). Eli suomeksi sanottuna vain 655 sivustoa käyttää viimeisintä WordPressin versiota.

Syynä voi olla sekin, että monet sivustot eivät ole aktiivisia. Ne on aikanaan asennettu ja sen jälkeen niillä ei ole juuri vieraillut muita kuin omistaja, jos hänkään. Se, että sivuston sisältöä ei ylläpidetä säännöllisesti ei ole syy jättää järjestelmä päivittämättä. Jokainen sivusto tulee pitää teknisesti ajan tasalla.

Webin turvallisuus on meidän yhteinen asia. Jokaisen velvollisuus on huolehtia, että omat sivustot ovat ajantasaisia.

 Onko tilanne tosiaan näin paha ja miksi näin on?

En voi kiistää Nsensen tietoja enkä yritäkään. On kuitenkin vastuutonta ja tietämätöntä kirjoittaa artikkeli siten, että lukijoille syntyy käsitys siitä, että WordPress olisi turvaton vaikka kyse on vakavasta ylläpidon laiminlyönnistä. Järjestelmässä ei ole vikaa vaikka käyttäjissä on.

Mitä riskejä on?

WordPressiä koskee aivan samat tietoturvakysymykset kuin mitä tahansa muutakin järjestelmää. Todelliselta hakkerien (terminipottajille – crakkerien) murtoyrityksiltä on erittäin vaikeaa suojautua täysin pitävästi. Murtautumista voidaan vaikeuttaa mutta täydellinen suojaus on käytännössä mahdotonta eikä sitä tarvitse tavoitellakaan. On kuitenkin syytä tehdä oikeat toimet estääkseen yleisimmät automaattiset hyökkäys- ja murtoyritykset.

WordPressin oikea asentaminen ja asennuksen jälkeiset turvatoimet ovat kaiken perusta. Seuraavaksi päivitykset ja varmistukset. Sivuston käyttöön ladattujen lisäosien valinta ja testaaminen ovat myös aivan yhtä tärkeitä kuin itse WordPressin hallinta. Jokainen asennettu lisäosa on potentiaalinen tietoturvauhka; valitse siis lisäosat vain ja ainoastaan luotetusta lähteestä.

Hyvä ylläpito

WordPressin päivittäminen on helppoa. WordPressin Ohjauspaneelissa näkyy ilmoitus mahdollisista päivityksistä. Päivittäminen tapahtuu WordPressin ohjauspaneelista ihan vaan hiiren napsautuksella. Ei ole vaikeaa.

Ennen päivitystä voi ja usein kannattaakin ottaa varmuuskopiot vähintään wordpressin tietyistä sisältöhakemistoista. Itselläni on tapana varmistaa sekä tietokanta että koko WordPress asennushakemisto.

Mikäli sivusto käyttää plugin lisäosia on myös hyvä tarkistaa niiden yhteensopivuus päivitettävään WordPress versioon. Vaikka lisäosien sivuilla ei olisikaan riittävästi tietoa yhteensopivuudesta ei se tarkoita sitä ettei lisäosa olisi yhteensopiva.  Sama koskee teemoja; nekin päivittyvät ja tulisi päivittää.

Sivuston ja WordPressin ylläpito edellyttää sivuston päivittämistä ja varmuuskopioiden ottamista säännöllisesti. Hallinta ei ole vaikeaa ja siksi siihen tuleekin perehtyä. Monet operaatiot ovat automatisoitavissa ja sivuston ylläpito vaivatonta. On vain tiedettävä mitä tekee.

WordPress on turvallinen

  1. Pidä järjestelmäsi ajantasaisena.
  2. Asenna päivitykset kun sellaisia tulee.
  3. Poista turhat ja ylimääräiset lisäosat tai teemat.
  4. Ota säännölliset varmuuskopiot sekä asennuksesta että tietokannasta.
  5. Valitse asennettavat lisäosat ja teemat tarkoin ja ota ne käyttöön vain luotettavasta lähteestä (esim. wordpress.org).
  6. Ellet halua itse ylläpitää sivustosi sisällönhallintajärjestelmää, osta se palveluna joltain WordPress hostaukseen erikoistuneelta taholta. Tällainen on mm. wordpress.com, johon saat myös suomalaisen oman domainisi osoitteeksi.
  7. Ellei oma palveluntarjoajasi osaa pitää palveluaan ajantasalla, vaihda palveluntarjoajaa!
  8. Opettele perusteet ja ylläpidä sivustoasi itse.

WordPress on turvallinen.

Opi oikeat toimintatavat Corellian WordPress kurssilla

Corellian WordPress –koulutuksessa opit sivuston turvallisen asennuksen ja ylläpidon vaikka tekniikka ei olisi sinulle entuudestaan tuttua. Älä jätä sivustosi tai blogisi asennusta maailman armoille.

Kari Selovuo

Kari Selovuo

Kari on Corellian saavutettavuus ja web-tekniikoiden asiantuntija. Karin kiinnostuksen ja koulutusten aiheina on mm. Verkon tekniikat (HTML, CSS ja JavaScript), WordPress julkaisujärjestelmä ja sen käyttö, websuunnittelu, käytettävyys ja saavutettavuus verkossa.

Kari on IAAP (International Association of Accessibility Professionals) jäsen ja sertifioitunut saavutettavuusasiantuntija CPWA (CPACC + WAS)

This Post Has 0 Comments

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *