WordPress-julkaisujärjestelmä on yksi maailman suosituimmista julkaisujärjestelmistä. Arvioidaan, että 27% kaikista maailman sivustoista olisi toteutettu tämän julkaisujärjestelmän avulla.
Avoimen lähdekoodin tuomat edut, helppo käyttöönotto, monipuoliset ominaisuudet ja lisäosat sekä tietysti huippulaatuinen lopputulos ovat keskeisiä syitä siihen, miksi WordPress valitaan usein verkkosivuston julkaisujärjestelmäksi.
WordPress sivustoja, kuten kaikilla muillakin tekniikoilla toteutettuja sivustoja vastaan kohdistetaan ajoittain erilaisia tietoturvahyökkäyksiä. Hakkerin tavoitteena on murtautua sivustolle ja varastaa tai muokata sivuston sisältöä.
Miten hakkeroinnilta ja hyökkäyksiltä voi suojautua?
Käsittelemme tässä artikkelissa muutamia tietoturvan kannalta olennaisia seikkoja.
1. Ajantasainen tietoturva
Ensimmäinen askel tietoturvaan on WordPress-julkaisujärjestelmän sekä siihen liitettyjen laajennusten (plugins) säännöllinen päivittäminen. Mikään koodi ei ole täydellistä – ei edes WordPressin, joten kehittäjiltä huomaamatta jääneet aukot leviävät paljastuessaan nopeasti ja mahdollistavat erilaisten hyökkäyksien ja tietoturvamurtojen toteuttamisen.
Kotisivut.comin WordPress Pro-palvelu sisältää vakiona tietoturvan päivityksen, jolloin tietoturvasta huolehtiminen ei enää aiheuta päänvaivaa.
2. Ympäristön suojaaminen
WordPress-julkaisujärjestelmän sivuilla on lukuisia tietoturvaa parantavia vinkkejä:
http://codex.wordpress.org/Hardening_WordPress
Näistä keskeisiä ovat suojaukset, joiden avulla hallintaliittymä suojataan htaccess-tekniikalla.
wp-admin -kansio voidaan suojata salasanalla, jolloin kirjautuminen suojataan erillisellä salasanalla. Tämä tapahtuu sijoittamalla seuraava tekstisisältä .htaccess -nimiseen tiedostoon ja siirtämällä tiedosto palvelintilaan esimerkiksi FTP-ohjelmalla:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Kotisivut.comin WordPress Pro-palvelu sisältää vakiona ympäristön optimoimisen, jolloin WordPress-asennus ja palvelintila optimoidaan turvalliseksi. Tämä tapahtuu jo palvelun käyttöönoton yhteydessä eikä vaadi asiakkaalta lisätoimenpiteitä tai ylimääräistä säätämistä.
3. SSL-suojauksen aktivoiminen
Liittämällä SSL-suojaus WordPress-palveluun voidaan erilaisia tietojen kalasteluyrityksiä vähentää. Kun liikenne palvelimen ja käyttäjän selaimen välillä on salattua, esimerkiksi salasanojen vuotaminen ei ole mahdollista.