WordFence on aloittanut uuden videosarjan ”Ask WordFence”, jossa he vastaavat käyttäjien lähettämiin kysymyksiin. Sarjan ensimmäinen osa listaa 11 askelta, joilla saavuttaa vähimmäisturvallisuuden tason WordPressille.
Videon voi katsoa WordFence blogilla tai katsoa ja tilata heidän kanavansa YouTubessa.
Alla ovat 11 perusaskelta ja ajatuksiani jokaisesta.
WordPress turvallisuuden perusteet
#1 Luotettava Hosting
Hostingin valinnan ei pitäisi olla pelkän hinnan kysymys. Monet halvat palveluntarjoajat antavat 99.9% uptimen takuun, mutta se ei välttämättä takaa sivuston kunnollista toimintaa. Jaetulla palvelimella turvallisuuskysymysten lisäksi (cross-contamination) voi olla ongelmia liittyen nopeuteen, uptimeen, palvelinten kuormitukseen, kuormitukseen eri vuorokauden aikoina, tuen saatavuuteen, tuen laatuun, hosting-paketin teknisiin ominaisuuksiin ym.
Henkilökohtaisesti, hyvä tuki on minulle avainkysymys. Jos asiakkaallani on ongelma, haluan sen hoidetuksi saman tien. Tämän takia live-tuki on elintärkeää. Olen aikaisemmin siirtänyt kaikki sivustoni ja asiakkaiden sivustot hosting-tarjoajilta, jotka ovat vaihtaneet omistajaa ja tuen laatu on tippunut.
#2 Vain uusimmat versiot ja mahdollisimman vähän lisäosia
WordPressin päivitystä uusimpaan versioon pidetään itsestäänselvyytenä, mutta monet eivät tajua että useimmat hakkerointihyökkäykset tulevat teemojen ja lisäosien kautta. Hanki teema aina luotettavan lähteen kautta ja pidä se päivitettynä. Asenna myös vain ne teemat ja lisäosat joita käytät ja poista kaikki ylimääräinen, koska se tarjoaa vain suuremman maalin hakkereille ja boteille.
#3 Pidä kaikki päivitettynä
WordFence puhuu ylläpitorutiinin rakentamisesta, kuten viikottaista kirjautumista ja päivitystä. Tämä on hyvä idea, sillä sinun pitäisi käydä tekemässä tarkistukset säännöllisesti (on hyvä päivittää blogia uudella sisällöllä muutenkin kerran viikossa)
#4 Vahvat salasanat
Salasanojen muistaminen on yksi riesa, mutta siitä huolimatta eri palveluille pitäisi olla käytössä oma salasana ja jokaisen tulisi olla mahdollisimman vahva. Kuvittele: joku saa käsiinsä salasanan vanhaan Hotmail osoitteeseen, joka ei ole ollut käytössä vuoden 2003 jälkeen, ja päättää kokeilla sitä uuteen Gmail osoitteeseesi. Sen jälkeen suunnataan PayPal-osoitteeseesi ja kokeillaan sitä sielläkin. Saman salasanan käyttö tekee kaikista tileistä haavoittuvaisia. Itse käytän LastPass-palvelua hoitamaan kaikki salasanat. Salasanan hallintaohjelmiston mukana tulevat omat riskinsä, mutta luotan siihen silti enemmän kuin kaikkien salasanojen nakuttamista A4:lle.
#5 Kahden askeleen varmennus
Jos olet ottanut tämän käyttöön, saat ylimääräisen kerroksen turvallisuutta, joten vaikka salasanasi vaarantuu ulkopuoliset eivät pääse sivustollesi. Tämä on mahtava työkalu suuremmille sivustoille, joilla on useita käyttäjiä ja tarvitsevat enemmän turvallisuutta. Kuitenkin, useimmille tavallisille sivustoille tämän asetus ja käyttö on aika vaivalloista, varsinkin jos sivustolla on useampia sisällöntuottajia. On hyvä, että WordFence mainitsi tämän, mutta se ei ole käytännöllinen ainakaan useimmille asiakkailleni.
#6 Poista käyttämättömät tilit ja minimoi luvat
Tämä on hyvä käytäntö kaikille sivustoillesi, useimmat ihmiset eivät tarvitse admin-oikeuksia. Turhien käyttöoikeuksien vähentäminen tekee sivuston käytöstä siistimpää ja helpompaa, sekä myös turvallisempaa. Turhien tilien, lisäosien ja teemojen poistaminen pitäisi olla ensisijaista, olen nähnyt monien sivustojen päätyvän hakkeroiduksi esim. vanhan yhteydenottolomakkeen takia, joka on vain jäänyt homehtumaan.
#7 Älä käytä käyttäjänimeä ’admin’
Tämä on toinen tärkeä juttu. Myöskin, sivustolla näytettävä nimi pitäisi olla eri kuin WordPressin käyttäjänimi, jotta puolet kirjautumistiedoista ei olisi yleisesti nähtävillä. Jos haluat papukaijamerkin, voit ajatella käyttäjänimeä kuin salasanaa ja pitää sen todella epäselvänä.
#8 Varmuuskopiot, varmuuskopiot, varmuuskopiot
WordFence mainitsee, että on hyvä ajatus käyttää palvelua joka tekee säännölliset varmuuskopiot, sekä pitää erillisiä varmuuskopioita, jotta voit pauttaa sivuston pahimman sattuessa. He mainitsevat ihan hyvänä pointtina sen, että jos sivuston hakkerointi tapahtuu maanantaina ja vahingon huomaa myöhemmin, on torstaina hyödytöntä palauttaa keskiviikon sivustoa, koska kopio on aivan yhtä vahingoittunut. Useimmat palveluntarjoajat tekevät automaattiset varmuuskopiot, mutta on parempi varmistaa kuin olettaa.
#9 Automaattiset päivitykset
Ytimen pitäisi päivittyä automaattisesti kun pieninkin WordPressin turvapäivitys tulee pihalle, joten anna sen vain olla.
#10 WordPressin turvallisuus palomuuri
WordFence mainitsee, että voit tehdä kaikki yllä mainitut toimenpiteet, mutta silti päätyä hakkeroiduksi, koska joskus lisäosasta tai teemasta löytyy heikkous, jonka kautta sivustolle löytyy takaportti, jonka paikkaamiseen tarvitaan ohjelmoijaa. Siksi aikaa kun sivusto on haavoittuvainen, palomuuri on paikallaan. WordFence on erinomainen palomuuri WordPressille, jolla on yleinen suojaus ja kehittyneemmät toiminnot sivuston suojaukseen. Käytän WordFenceä suojaamaan suurimman osan asiakkaitteni sivustoista (käytän Sucuri-palomuuria suojaamaan suurempia sivustoja). WordFence päivittyy reaaliajassa, joten uhat poistetaan saman tien.
#11 Malware skannaus
Malware skannaus voi auttaa tunnistamaan ja korjaamaan sivuston, kun hakkerointi on päässyt jo tapahtumaan. Jos botit tai hakkerit pääsevät läpi, malware skannaus on viimeinen puolustuskeino sivuston putsaamiseen ennen varmuuskopion palauttamista. Tämä ei ole ongelma, jos varmuuskopiot ovat säännöllisiä, mutta jos sisältösi päivittyy päivittäin tai tunneittain, voit menettää jonkin verran dataa tällä tavalla. On yleensä mahdollista palauttaa toimiva versio varmuuskopioista ja tietokannan siivouksesta.
On hienoa, että WordFence julkaisee hyviä videoita ja sisältöä WordPressin turvallisuudesta. Jotkin muista palomuurin tarjoajista eivät tarjoa paljoa tietoa. WordFence haluaa tiedottaa ja auttaa ihmisiä, eikä vain takoa rahaa, mikä on todella hienoa. Tsekkaa heidän sivustonsa ja heidän palomuurinsa Premium-versio.
