Printtaa tämä artikkeli Printtaa tämä artikkeli

 

Tämä artikkeli on tarkoitettu omia (self-hosted) WordPress sivuja hoitaville ja niistä kiinnostuneille

 

Miten tehdä WP-sivustosta toimiva ja tuvallinen?

 

WordPress on suosittu

 

WordPress on kaikkein suosituin itse hoidettavien sivustojen ja blogien järjestelmä.  Tulos on sitä parempi, mitä enemmän siitä tietää.  Mutta tunteeko tarpeeksi?  Pahimmassa tapauksessa siinä on tarjolla jopa selviä vaaratekijöitä.

Olen ylläpitänyt nettisivuja jo pitkään.  Vuosia on tullut täyteen WordPress sivustonkin kanssa.  Silti en lähde tässä enkä muulloinkaan miksikään WordPress asiantuntijaksi.  Sellainen en ole, kohtaan yhä tuntemattomia ja välillä hankalia asioita kuten muutkin.  Mutta käyttökokemusta on kuitenkin takana sen verran, että saattaa olla hyödyllistä kertoa muillekin havainnosta ja – usein juuri kantapään kautta – kertyneistä opetuksista.

Tähän sain lisävauhtia kun kuulin webhotellin väeltä palvelunestohyökkäyksistä, joita on tehty palvelimia vastaan.    Kuulin, että palvelimien häiriöiden syynä ovat usein asiakkaiden vanhentuneet ohjelmat.  Ja tietysti ne iskevät pahiten juuri niihin sivustoimin, joilla on vanhentuneita softia.  Kuulin myös, että juuri WordPress on yleisesti sellainen nettisivun alusta, josta rikolliset robotteineen ja sivustoille ujutettavat haitakkeet etsivät taukoamatta heikkoja kohtia.

Ajattelin, että enkä WPn tuvallisuuskysymys on sivuston ylläpidolle ja kaikille muillekin osapuolille esille ottamisen arvoinen asia.  Siihen voi vielä ehkä lisätä ajan mittaan kerääntynyttä muutakin WP käyttötietoa.  Aloitetaan kuitenkin turvallisuuskysymyksistä.  Toki ne ovat samalla myös toiminnallisia asioita; sivusto toimii juuri niin hyvin mitä sen turvallisuusominaisuudet sallivat.

WPn turvallisuuteen ja toimintaan liittyviä asioita on useita.  Tässä ei ole tyhjentävää selvitystä, mutta listataan muutamia tärkeimpiä.

Päivitä

Päivitä aina heti

1. Päivitä aina heti uusimpaan niin WP kuin sen lisäkkeet, apuohjelmat ja kaikki mitä palvelimella on

Kuten jo alussa kerroin, niin vanhentunet asiakasohjelmat netissä vetävät puoleensa robotteja ja rikollisia.  Tämä päivittämisen tärkeys on samansuuntainen kuin tietokonekäytössä yleensäkin.  Koko ajan etsitään tieturva-aukkoja ja juuri vanhat softat niitä avaavat.  Ja muista, että WP on suosittuna nettialustana juuri erityisen altis vaaratekijöille.

Kun kuulin noista asioista niin ihmettelin niiden syntyjä syviä.  WP kun on ollut jo pitkään aivan helposti ja automaattisesti päivitettävissä.  Samoin sen kaikki oleelliset lisäkkeet.  Ei voi olla muuta syytä kuin tiedon puute, jolloin asiaa ei huomata pitää tärkeänä, vai mistä se voisi johtua.

Ilmeisesti WPn ogranisaatio on nähnyt päivittämättömät ohjelmansa niin vaarallisiksi, että versiosta 3.8.1 lähtien se päivetään automaattisesti ilman käyttäjältä vaadittavia toimenpiteitä.  Ensimmäinen automaatinen päivitys on koettu ja se onnistui hyvin.  Tosin meille suomenkielistä WPtä käyttäville huomautettiin edelleen päivityksestä huolimatta, että päivitä uusimpaan.  Tuon huomautuksen sai pois kun teki vielä lisäksi sen automaattipäivityksen.

Estä roskapostit ja robottien rekiströityminen

2. Huolehdi että sivustolla ei ole ylimääräistä roskapostia tai robottien rekisteröitymisiä. Jos ovet ovat avoinna robottiketjujen lähettämille kommenteille, rekisteröitymisille ja häiriköinnille, niin ne ovat avoinna myös sivuston ongelmille.

Tämäkään turvaominaisuus ei ole vaikeata hoitaa käytännössä.  Roskaposti estetään WPssä perinteisesti Akismet-lisäkkeellä.  Robottien rekisteröitymisen estoon on useitakin hyvin toimivia ja pieniä (=kuormittamattomia) lisäkkeitä.  Myös WPn normaalia rekisteröitymisprosessia kannattaa täydentää jollakin robotit poistavilla hyvällä lisäkkeellä.  Katso vaikka tämän sivuston rekisteröitymissysteemiä, se ei läpäise robotteja.  Edelleen on hyviä lisäkkeitä, jotka poistavat sekä roskapostia että haitallisia rekisteröitymisyrityksiä. Alinna Linkeissä esim. Better WP Security, joka vaikuttaa rekisteröiktymiseen.

Hyvä tietää tästä sekin, että jos sivusto on jostakin syystä pääsyt esim. jonkin robottiketjun listoille, niin se on jatkuvan seurannan ja aukkojen etsimisen kohteena.  Silloin on aivan erityisen tuvallisuusvalppauden aika.

Pidä ovi hallintaan muilta kiinni

3. Älä päästä nettirikollista sivustoon.  Jos nettirikollinen pääsee ylläpitäjänä sivustoon on se koko sivuston tuhon alku.  Siksi kiinnitä erityinen huomio salasanaasi, jolla sivustoon kirjaudut.

Sen tulee olla tarpeeksi vaikea, että hakusysteemeilläkään sitä ei löydetä,  Pituus vähintään kahdeksan (8) merkkiä vaihtelevasti isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.  Ei missään tapauksessa selviä nimiä, peräkkäisiä numeroita tai yleensäkään selväkielisiä sanoja.

WP tekee harmillisella tavalla ylläpitäjästä käyttäjän "admin".  Tämä on aivan yleinen lähde haavoittuvuuksille.  Älä käytä admin käyttäjänimeä, luo itsellesi uusi ja poista admin, sekä tarkasta, että et käytä käyttäjäminen IDtä 1 hallintapaneelissa.

Myös kirjautumisen virhesanoman ilmoittaminen kannattaa poistaa (viestistä: "käyttäjänimesi tai salasanasi on virheellinen").  Senkin antaman tiedon avulla on nettirikollisille mahdollista päästä eteenpäin sivustoon tunkeutumisessa.

Vielä kannattaa salata kirjautumislinkki WPn hallintasivuilla.  Se tapahtuu helposti ja kätevästi esim. käyttämällä lisäkettä Sleath Login  

Katso lisää turvallisuus- ja muita linkkejä tässä artikkelissa alinna olevasta Linkit kohdasta.

 

Saako WordPressistä tietoja?

Siirrytään tuosta opettavaisesta saarnasta – pakko oli laittaa eikä siinä juuri ole sijaa kevennyksille! – paljon kevyempään ja henkilökohtaisempaan näkemysten maailmaan.  Kaikenlaiseen tekemiseen tarvitsemme tietoja.  Jos jotakin ei ole ennen tehnyt, niin tieto on oleellinen asia päästä eteenpäin.  

Kun aikoinaan ensi kertaa WPn asensin niin ihmetelin, mistä niitä tietoja saa.  Käytön alkeistietoja ei oikein saanut mistään, en ainakaan löytänyt.  Itse oli kaikkea kokeiltava.  Myöhemmin sitten huomasin, että on ainakin kaksi tai oikeastaan kolme nettiyhteisöä, josta tietoja voi saada. Ne ovat suuri kansainvälinen WordPress organisaatio ja sen suomalainen paikallistuma Suomenkielinen tukisivusto.  Niin, se kolmas on tietysti Google tai muu hakukone.

Huomasin piankin, että kansainvälinen WordPress sisältää valtavat määrät kaikenlaista WPhen liittyvää tietoa.  Haittapuolena vain on, että sitä on niin paljoin.  Lisäksi ne on kirjoitettu korrektilla insinöörimäisellä amerikan/englanninkielellä eikä juuri ole ajateltu, että suurella osalla tietojen tarvitsijoista ei ole äidinkielenä englanti.  Niinpä on eduksi jos sattuu olemaan erittäin hyvin englantia osaava ja ehkä vielä it-insinöörikoulutuksen saanut.  Siellä on kysymyksillekin sijansa.   Kuten kaikkialla muuallakin kysyjiä on paljon ja vastaajia vähän.  Vahoista ketjuista ehkä parhaiten saa vastauksia omiin kysymyksiin.

Entä sitten tämä meidän kotimaisemme? Se on alun perin WPn suomentajien perustama ja edelleenkin tuon ydinjoukon hallinnoima.  En oikein osaa sanoa keitä varten se on tarkoitettu. Aloittelijat saavat viittauksia WPn dokumentaatioihin.  Kokeneet käyttäjät taas saavat kyllä vastauksia, mutta kun vastaajien joukko on kovin pieni, niin  hyödyllisyys on myös kyseenalainen.  

Suomalaisen tapaan (?) se on jollain lailla sisäänlämpiävä.  Kun aikoinaan, jo vuosia sitten, yritin keskustella juuri WPn suomennoksista osoittamalla keskustelun arvoisia käännöskukkasia ja suoranaisia virheitä, niin ei minkäänlaista vastakaikua.  Taidettiin lopettaa koko keskusteluketju, ilmeisesti asiassa oli sen verran arvostelun makua.  Tänä päivänkin on esim. käytössä ”hieno” suomenkielinen termi Massatoiminnot (suora käännöspläjäys  englanninkielestä).  Ja laittamalla kursorin avainsanojen päälle kertoo WP että ko. avainsana sisältää niin ja niin monta Kategoriaa (mikä on väärin).
 
Google ja vastaavat ovat hyvä kanava löytää vastauksia.  Lähtökohtana on vain, että osaa auttavasti englantia. Jos osaa laatia epäselvän asiansa kysymyksen muotoon, niin voi saada hyödyllisiä linkkejä.  Tietoja voi tulla paljokin.  Siinä pitää olla johdonmukainen ja tarkkana;  esim. kannattaa katsoa miten vanhoja tiedot ovat, ovatko ne tätä päivää ja koskevatko ne juuri itse hoidettavia sivustoja.

 

WP ei ole pelkästään sisällön tuotantoa

Enpä tiedä ovatko kaikkin WPn omaksi sivustokseen valinneet tulleet ajatelleeksi, että sekin vaatii kaikenlaista muutakin huolenpitoa kuin vain sisällön tuotantoa.  Voimme hyvin ajatella, että ketäpä nettirikollista tällainen pieni yksityinen sivusto kiinnostaisi.  Mutta todellisuus on sellainen, että ei niin pientä ja yksityistä sivustoa joka ei kiinnostaisi yhä kasvavaa nettirikollisten joukkoa.  Kaikki kelpaa.  Kaikista pääsee eteenpäin. Jos ei muuta niin laitetaan vaikka lähettämään roskapostia maailmanlaajuisesti.

Olisipa mukavaa jos jossakin meillä syntyisi pieniä WPn käyttäjärenkaita, jotka voisivat keskustella keskenään.  Yhdessä saattaisi hyvinkin löytyä sekä ratkaisuja ongelmiin että hyödyllisiä kehitysideoita.  Jos vielä joku voisi ottaa asiakseen seurata WP turvallisuuspuolen kehitystä ja siihen liittyviä niin vaaratekijöitä kuin ratkaisujakin, niin eikö olisi kovasti hyödyllistä.

Tämän sivuston ylläpitäjä on valmis keskustelemaan kaikkien halukkaiden WPn käyttäjien ja asiasta kiinnostuneiden kanssa. Tässä nyt puhuttiin lähinnä turvallisuudesta, mutta toki voi keskustella sivuston nopeuttamisesta, hakukoneoptimoinnista tai muusta.  Tuskin minusta neuvojen antajaksi on, mutta käyttökokemuksia vaihdan mielelläni. Ja yhdessä saattaa olla mukavaa ratkaista mahdollisia ongelmiakin.

 

Päivitetty 21.4.2016

 

Linkit

WordPress.org dokumentaatio

WordPress Plugin Directory

WordPress tukifoorumit

Lisäkkeitä:

Akismet ja muita ajankohtaisia turvallisuus ym lisäkkeitä

Better WP Security lisäke

Stop Sammers lisäke

WPn Captcha lisäkkeet

Limit Login Attempts lisäke

Wordefence lisäke

 

 

 

 

EmailFacebookTwitterGoogle+LinkedInShare

Tagit:

Jätä kommentti

Voit käyttää näitä tageja: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>