WordPress-ylläpidon merkitys netti­si­vullesi

kesä 20, 2018 | FixUi, Verkko­sivut

Helposti voisi kuvitella, että kun yrityksen tai yhdis­tyksen uuden­karhea WordPress-kotisivu julkaistaan niin se toimittaa virkaansa kiltisti maailman tappiin asti, tai ainakin siihen asti kunnes se lopulta korvataan uusilla sivuilla. Näin ei kuitenkaan tosie­lä­mässä ole. Hyväkin sivusto vaatii säännöl­listä ylläpitoa toimiakseen.

Wordpress tietoturva

WordPress, suosituin ja mahdol­li­sesti hakke­roiduin sivupohja

WordPress on ylivoi­mai­sesti suosituin netti­si­vujen pohjana käytetty julkai­su­jär­jes­telmä, eikä syyttä! WordPressin hyviin puoliin lukeutuu muun muassa sen monikäyt­töisyys, perus­käyt­tä­misen helppous, suuri kehity­syh­teisö, hakuko­neop­ti­moinnin suora­vii­vaisuus sekä sen tasainen päivi­tysten jakaminen. Lue lisää (https://fixui.fi/verkkosivut/miten-nettisivut-yrityksille-fixuilla-rakennetaan/) siitä, miksi WordPress-sivun tekemiseen kannnattaa valita osaava tekijä­tiimi. W3techs arvioi että, että jopa kolmasosa inter­ne­tistä olisi raken­nettu WordPressiä hyödyntäen.

Näin suuri määrä sivustoja raken­nettuna käytän­nössä saman avoimen lähde­koodin pohjan päälle houkut­telee arvatenkin myös pahan­te­ki­jöitä. WordPressin alttiutta hakke­reille lisää sen avoimuus; käytän­nössä kuka tahansa voi opiskella sen lähde­koodia oppiakseen siitä tai paran­taakseen sitä. Tämä tarkoittaa myös sitä, että myös hakke­reilla on mahdol­lisuus opiskella sen raken­netta löytääkseen mahdol­lisia haavoit­tu­vuuksia. Työssämme monito­roimme sivuihin kohdis­tuvaa liiken­nettä, onkin arkipäivää että hakkerit ja automa­ti­soidut botit kiertävät syste­maat­ti­sesti WordPress- pohjaisten sivujen osoit­teita yrittäen murtautua sisään. Ylläpi­detty ja säännöl­li­sesti päivetty WordPress on turval­linen, mutta päivi­tysten laimin­lyön­nistä voi koitua ongelmia. Kuten moniiin muihinkin ohjelmiin, myös Wordpresiin julkaistaan säännöl­li­sesti päivi­tyksiä jotka paran­tavat muun muassa sen tieto­turvaa.

Kokonais­valtainen ylläpito pienentää tieto­murron riskiä

Yksi yleinen murtau­tu­misen tapa on yrittää kirjautua WordPressin hallin­ta­pa­neeliin jonkin sivus­tolla olevan käyttäjän tunnuk­silla. Helppo tapa kohentaa sivustosi tieto­turvaa on valita turval­liset järjes­tel­män­val­vojan käyttä­jä­tunnus ja salasana. Mieli­ku­vi­tuk­seton ja yleisesti käytössä oleva järjes­tel­män­val­vojan tilin oletusnimi “admin” on rikol­lisen helppo arvata. Mikäli WordPress- sivun tekijä ei ole ottanut asiakseen vaihtaa kyseistä pääkäyt­täjän tunnusta, jää murtau­tu­jalle enää arvat­ta­vaksi salasana. Myös monimut­kainen salasana murtuu helposti koneel­li­sesti laskenta-algoritmeja hyödyntäen lyhyes­säkin ajassa. Hyvä nyrkki­sääntö salasanana käytetyn merkki­jonon monimut­kai­suuden lisäksi on salasanan pituus, 16-merkkisen salasanan koneel­linen murta­minen vie huomat­ta­vasti suuremman ajan sillä mahdol­lisia merkkiyh­dis­telmiä on tuntu­vasti suurempi määrä. Mikäli WordPress- sivusi pääkäyt­täjän tunnus on yleinen “admin” niin suosit­telen vaihtamaan sen pikaiseen johonkin omape­räi­sempään.

Worpdress-sivusto koostuu itse sivusi­sällön lisäksi lisäosista, liitän­näi­sistä eli plugi­neista. Pluginit ovat pieniä ohjelmia, joilla sivulle tuodaan uusia ominai­suuksia ja toimin­nal­li­suutta. Esimer­kiksi monien sivujen yhtey­den­ot­to­lo­makkeet tai sosiaa­lisen median syötteet ovat toteu­tettu juuri lisäosilla. Myös lisäosat vaativat säännöl­listä päivit­tä­mistä. Päivit­tä­mätön lisäosa on otollinen väylä murtau­tujan haitta­koo­dille päästä sivuston tietoihin käsiksi.

On olemassa myös tieto­tur­va­lii­tän­näisiä, jotka pyrkivät paikkaamaan WordPressin tunnettuja haavoit­tu­vuuksia, esimer­kiksi rajoit­ta­malla tietystä ip-osoit­teesta tulevat kirjau­tu­mis­yri­tykset kolmeen yritys­kertaan. Tieto­tur­vaplu­ginin hankki­minen on hyvä alku, mutta kokonais­valtainen WordPress- suojaus vaatii WordPress -järjes­telmän, lisäosien ja käytössä olevan teeman säännöl­lisen päivit­tä­misen. WordPressin ja lisäosien kehit­täjät paran­tavat jatku­vasti ohjel­ma­koodia, päämää­ränään korjata bugeja, paikata haavoit­tu­vuuksia ja parantaen yhteen­so­pi­vuutta sekä nopeutta. Nämä paran­nukset tulevat loppu­käyt­tä­jille säännöl­li­sesti jaettavien päivi­tysten muodossa.

Wordpress ylläpito

Ylläpi­to­pal­ve­lulla varmuutta

WordPressiä päivit­tämään ei kannata rynnätä suinpäin, varsinkaan jos edelli­sestä kerrasta on päässyt vieräh­tämään vuosi­kausia ja sivustosi toimin­nal­lisuus rakentuu paljolti liitän­näisten varaan. Yhteen­so­pi­vuuson­gelmia WordPress- ja lisäosa­ver­sioiden, tai sivun puutteel­listen toteu­tus­me­todien välillä voi joissain tapauk­sissa ilmetä. Näiden risti­rii­tojen sattuessa kohdalle voi sivu kokonai­suu­dessaan tai osa siitä särkyä. Ennen päivi­tys­toimien tekoa kannattaa sivu kokonai­suu­dessaan oikeaop­pi­sesti varmuus­ko­pioida. Mikäli missään vaiheessa tuntee epävar­muutta omista taidoistaan vaikkapa palauttaa sivusto entiselleen jonkin mennessä vikaan, kannattaa päivi­tys­toimet jättää suosiolla ammat­ti­lai­sille.

Asian­tun­tevan WordPress-ylläpi­to­pal­velun hankki­minen voi pitkässä juoksussa säästää rahaa, sillä vahingon sattuessa haittaoh­jel­ma­saas­tu­misen tai hakke­roinnin seurauksena voi palau­tus­toi­mista koitua suurikin lasku. Säännöl­lisen ylläpi­to­pal­velun hankki­minen onkin suosi­tel­tavaa; haittaoh­jel­ma­saas­tu­misen riski pienenee ratkai­se­vasti ja säännöl­liset varmuus­kopiot tuovat varmuutta sivuston omistajan elämään. FixUi:n edullisin WordPress- ylläpi­to­palvelu sisältää kuukausit­taisen varmuus­ko­pioinnin ja WordPress -järjes­telmän päivi­tyksen lisäksi kaksi pientä muutosta sivullesi. Lue lisää ylläpi­to­pa­ke­teis­tamme täältä https://fixui.fi/nettisivut/#yppaketit.

Mikäli vahinko on jo päässyt tapah­tumaan ja sivusto suljetaan haittaoh­jel­ma­tar­tunnan vuoksi webho­telli-palve­lun­tar­joajan päästä voi sivun palau­tuk­sesta koituva lasku olla suurikin. Ylläpi­tä­mät­tömän sivuston WordPress-sivuston murtu­minen jossain vaiheessa sivuston elinkaarta on enemmän sääntö kuin poikkeus. Mikään ei myöskään korvaa murretun sivuston mahdol­li­sesta tieto­jen­me­ne­tyk­sestä aiheu­tuvaa mieli­pahaa. Jos yrityksen arkaluon­toiset asiakas­tiedot päätyvät ylläpidon laimin­lyönnin seurauksena tapah­tuneen hakke­roinnin seurauksena vääriin käsiin, ei tilanne ole kovin kadeh­dittava.

Lopuksi vielä muistutus siitä, että paraskaan suojaus ei koskaan voi taata 100% turvaa tieoto­mur­roilta: Tieto­tur­vassa ei ole kyse riskin poista­mi­sesta, vaan riskin minimoin­nista.

WordPressin käyttö­ti­lastot:

https://w3techs.com/technologies/details/cm-wordpress/all/all

WordPress-tieto­tur­vasta kirjoit­tanut myös:

http://www.wpbeginner.com/beginners-guide/why-you-should-always-use-the-latest-version-of-wordpress/

FixUi Oy on oululainen suunnittelu- ja digipal­ve­luita tarjoava yritys.

Tarjoamme monipuo­lisia suunnit­te­lu­pal­veluja brändin raken­nuk­sesta käyttö­liit­ty­mä­suun­nit­teluun. Monipuo­liset tekijämme luovat sinulle toimivat ratkaisut käytet­tä­vyyden sydämellä!

Kirjoittaja

Mika Väisänen

Mika Väisänen

Web-suunnittelija

Moro! Nimeni on Mika (FM) ja työsken­telen websi­vujen kehit­tä­misen tehtävien parissa. Olen tottunut teknisten ongelmien ratkaisija ja osaamistani käytän mielelläni toisten autta­miseen!