WordPressin tietoturvan parantaminen ei useimmilla verkkosivustoilla edellytä isojen teknisten muutosten tai monimutkaisten toimenpiteiden tekemistä.
Muutos kohti turvallisempaa WordPress-kokoonpanoa voidaan aloittaa huolehtimalla muutaman hyvän käytännön noudattamisesta. Tässä artikkelissa annettuja yksinkertaisia neuvoja voi noudattaa jokainen sivuston ylläpitäjä, ja niiden avulla saat poistettua merkittävän osan WordPress-sivustoosi kohdistuvista tietoturva-uhkista.
WordPress-sivuston kaksi keskeistä tietoturvariskiä
Verkkosivuston tietoturva on kokonaisuutena liian laaja aihe käsiteltäväksi syvällisesti yhdellä kertaa. Siksi keskityn tässä artikkelissa kahteen keskeiseen tietoturvariskiin, jotka vaikuttavat käytännössä jokaiseen WordPress-sivustoon:
- Luvaton kirjautuminen sivuston ylläpitoon ja sivuston haltuunotto (sekä mahdollinen tuhoaminen)
- Haittaohjelmien asentaminen sivustoa ylläpitävälle palvelimelle sivuston ohjelmistokokoonpanossa olevan tietoturva-aukon kautta
Kumpikin edellä mainituista on sivuston omistajalle seurauksiltaan yhtä ikävä. Verkkosivusto voi hyökkäyksen jälkeen olla pitkään pois käytöstä korjaustöiden takia, ja joissakin tapauksissa vähintään osa sivuston sisällöstä saatetaan menettää. Kaikkein hankalin tilanne syntyy silloin, jos kyseessä on verkkokauppa, sillä asiakastietojen joutuminen ulkopuolisten käsiin on aina vakava paikka.
Tietoturvaongelmien taustalla usein ylläpitäjän laiminlyöntejä
Monien WordPress-sivustoihin kohdistuvien tietomurtojen taustalta löytyy ylläpitäjän laiminlyöntejä, joiden seurauksena sivuston tietoturva on ajan mukana rapautunut. Korjaamalla nämä laiminlyönnit saadaan WordPress-sivustosta tehtyä hyvin nopeasti merkittävästi tietoturvallisempi.
WordPress-sivuston omistajan kannattaakin sisällyttää ylläpitorutiineihinsa heti sivuston perustamisesta lähtien myös tietoturvaan liittyvistä asioista huolehtiminen.
Tästä artikkelista saat yhteensä viisi neuvoa, joiden avulla pidät WordPress-sivustosi tietoturvan perusteet kunnossa.
1. Luo vahva Ylläpitäjän käyttäjänimi
Mikäli WordPress-sivustosi pääkäyttäjän (Ylläpitäjä-käyttäjärooli) käyttäjänimi on helposti arvattava, esimerkiksi “admin”, tämä antaa luvatonta kirjautumista yrittävälle merkittävän helpotuksen. Kun murtautujan tarvitsee selvittää ainoastaan salasana, mahdollisuudet päästä kirjautumaan luvatta sivuston ylläpitoon kasvavat selkeästi.
Liian heikot käyttäjänimet ovat alttiita erilaisille automatisoiduille kirjautumishyökkäyksille (brute force attack), joissa kirjautumista yritetään ohjelmiston avulla kokeilemalla erilaisia käyttäjänimiä ja salasanoja niin kauan, että oikeat vaihtoehdot osuvat kohdalle.
Vaikka tällaisia automatisoituja kirjautumisyrityksiä voidaankin estää teknisillä apuvälineillä, on siitä huolimatta tärkeää pitää ylläpitäjien käyttäjänimet niin vahvoina, ettei niiden keksiminen ole helppoa sen enempää ohjelmistoille kuin ihmisillekään.
Vahvan ylläpitäjän käyttäjänimen luominen on sitä paitsi yksi kaikkein helpoimmista tavoista parantaa WordPressin tietoturvaa, joten mitään erityistä syytä ei ole jättää tätä tietoturvan parannusmahdollisuutta käyttämättä, mikäli siihen on tarvetta.
Tarkista oman sivustosi pääkäyttäjätunnukset heti. Jos olet sivuston ainoa pääkäyttäjä ja käyttäjänimesi on liian helposti arvattava, on järkevintä luoda täysin uudet ylläpitäjän tunnukset ja tuhota vanhat käyttäjätunnukset kokonaan.
Tarvittavat toimenpiteet:
- Luo WordPressin ylläpidossa uusi käyttäjä, jolle keksit vahvan käyttäjänimen
- Aseta tämän uuden käyttäjän rooliksi Ylläpitäjä (=pääkäyttäjä)
- Kirjaudu ulos ja kirjaudu juuri luomillasi uusilla tunnuksilla takaisin WordPressin ylläpitoon
- Poista vanha pääkäyttäjä – jos vanhoilla tunnuksilla on luotu sivustolle sisältöä, siirrä se uudelle pääkäyttäjätunnukselle ennen vanhan tunnuksen tuhoamista
Kun olet onnistuneesti tehnyt tämän muutoksen, olet poistanut WordPress-sivustoltasi yhden selkeän tietoturvariskin.
2. Käytä vahvoja salasanoja
Aivan kuten käyttäjänimet, myös heikot salasanat muodostavat merkittävän tietoturvariskin. Verkkosivuston pääkäyttäjätunnus, jossa sekä käyttäjänimi että salasana ovat helposti arvattavia, on kuin avoimeksi jätetty ovi, josta tunkeutujan on helppo päästä sisään.
Jos nykyinen pääkäyttäjätunnuksesi salasana on esimerkiksi “anne123“, vaihda se välittömästi WordPressin ylläpidossa.
Näppärintä on käyttää WordPressin omaa salasanan luontitoimintoa, joka luo vahvan salasanan yhdellä napin painalluksella.

Tärkeintä on, että sivuston kaikilla Ylläpitäjä-tason käyttäjätunnuksilla on vahva salasana, mutta on suositeltavaa vaihtaa myös alemman käyttöoikeustason salasanat vahvoihin tarvittaessa.
3. Huolehdi WordPressin ydinohjelmiston päivityksistä
WordPress-julkaisujärjestelmän ydinohjelmistoa päivitetään jatkuvasti. Isompia sukupolvipäivityksiä julkaistaan muutaman kuukauden välein, pienempiä versiopäivityksiä tiheämmällä tahdilla.
Isommat päivitykset on numeroitu kahdella numerolla (esimerkiksi 5.4), pienemmät kolmella numerolla (esimerkiksi 5.4.2).
Monet jälkimmäiseen ryhmään kuuluvista versiopäivityksistä ovat nimenomaan tietoturvapäivityksiä, joten tällaisten uusien ohjelmistoversioiden asentaminen heti niiden tultua saataville on tärkeää.

WordPressin ydinohjelmiston pitämistä ajan tasalla helpottaa se, että nykyisin pienemmät versiopäivitykset voidaan asentaa automaattisesti. WordPress siis voidaan päivittää uusimpaan versioon ilman, että sivuston ylläpitäjän tarvitsee tehdä asian suhteen minkäänlaisia toimenpiteitä. Isommat sukupolvipäivitykset on WordPressiin edelleenkin asennettava ylläpitäjän toimesta.
4. Pidä käyttämäsi ulkoasuteema ja WordPress-lisäosat ajan tasalla
WordPress-ydinohjelmiston lisäksi myös sivustolla käytössä oleva ulkoasuteema ja WordPress-lisäosat (plugins) kaipaavat ylläpitäjän säännöllistä huomiota.
Ulkoasuteemojen ja lisäosien kehittäjät julkaisevat niistä enemmän tai vähemmän aktiiviseen tahtiin uusia versioita – korjatakseen aiempien versioiden virheitä, tuodakseen käyttöön uusia ominaisuuksia – ja myös näiden ohjelmistojen osalta – paikatakseen havaittuja tietoturva-aukkoja.
Hyvä käytäntö on päivittää ulkoasuteema ja kaikki lisäosat uusimpiin versioihin heti, kun sellaisia tulee saataville.
Keskeinen osa WordPress-sivuston tietoturvasta huolehtimiseen liittyvästä työstä liittyykin juuri ulkoasuteeman ja lisäosien pitämiseen ajan tasalla. Työtä on sitä enemmän, mitä useampia lisäosia sivustolla on käytössä.
5. Käytä vain todella tarpeellisia WordPress-lisäosia
WordPress-julkaisujärjestelmään on saatavissa kymmeniä tuhansia erilaisia lisäosia, joilla ydinohjelmistosta puuttuvia toiminnallisuuksia voidaan lisätä sivustolle.
WordPress-lisäosia voi asentaa ilmaiseksi suoraan lisäosakirjastosta, joten kynnys aina uusien lisäosien asentamiseen on matala. Monet sivustojen ylläpitäjät asentavat lisäosia kokeilumielessä, yleensä löytääkseen ratkaisun johonkin tarpeeseen, joskus pelkästä uteliaisuudesta.
Tietoturvan kannalta jokainen sivustolle asennettu uusi lisäosa kasvattaa riskiä. Merkittävä osa WordPressiin liittyvistä ohjelmistojen aiheuttamista tietoturvaongelmista johtuu nimenomaan lisäosien tietoturva-aukoista.
Tästä syystä lisäosien suhteen on syytä noudattaa muutamaa hyvää käytäntöä:
- Ota käyttöön vain sellaiset lisäosat, joita todella tarvitaan sivustolla jonkin tehtävän hoitamiseen
- Asenna vain sellaisia uusia lisäosia, jotka ovat yhteensopivia uusimman WordPress-version kanssa (useimmiten nämä ovat suosittuja ja käyttäjien toimesta hyviksi havaittuja)
- Poista kokonaan lisäosat, joita et enää käytä (siis todella poista asennus, älä pelkästään poista niitä käytöstä)
Perusteet kuntoon ensin, järeämmät keinot käyttöön sen jälkeen
WordPressin tietoturvan parantaminen kannattaa aloittaa niistä toimenpiteistä, joilla voidaan nopeasti ja ilman erityistä teknistä asiantuntemusta ehkäistä sivuston kaappaamista (luvaton kirjautuminen) ja sivustolle murtautumista (haittaohjelmien asentaminen tietoturva-aukon kautta).
Tässä artikkelissa kerrotut WordPressin tietoturvaa parantavat toimenpiteet ovat niin helppoja, että niistä kannattaa aina aloittaa. Jokainen WordPress-sivustoa ylläpitäjän roolissa käyttävä selviää kaikista mainituista toimenpiteistä varmasti omin voimin.
Kun nämä perusasiat on laitettu kuntoon, vasta sitten kannattaa tutkia muita, usein enemmän työtä ja teknistä asiantuntemusta vaativia tietoturvan parannuskeinoja.