- neptunet - https://neptunet.net -

Kokemuksia WordPressin käytöstä

Tämä artikkeli on tarkoitettu omia (self-hosted) WordPress sivuja hoitaville ja niistä kiinnostuneille

Miten tehdä WP-sivustosta toimiva ja tuvallinen?

 

WordPress on suosittu [1]

 

WordPress on kaikkein suosituin itse hoidettavien sivustojen ja blogien järjestelmä.  Tulos on sitä parempi, mitä enemmän siitä tietää.  Mutta tunteeko tarpeeksi?  Pahimmassa tapauksessa siinä on tarjolla jopa selviä vaaratekijöitä.

Olen ylläpitänyt nettisivuja jo pitkään.  Vuosia on tullut täyteen WordPress sivustonkin kanssa.  Silti en lähde tässä enkä muulloinkaan miksikään WordPress asiantuntijaksi.  Sellainen en ole, kohtaan yhä tuntemattomia ja välillä hankalia asioita kuten muutkin.  Mutta käyttökokemusta on kuitenkin takana sen verran, että saattaa olla hyödyllistä kertoa muillekin havainnosta ja – usein juuri kantapään kautta – kertyneistä opetuksista.

Tähän sain lisävauhtia kun kuulin webhotellin väeltä palvelunestohyökkäyksistä, joita on tehty palvelimia vastaan.    Kuulin, että palvelimien häiriöiden syynä ovat usein asiakkaiden vanhentuneet ohjelmat.  Ja tietysti ne iskevät pahiten juuri niihin sivustoimin, joilla on vanhentuneita softia.  Kuulin myös, että juuri WordPress on yleisesti sellainen nettisivun alusta, josta rikolliset robotteineen ja sivustoille ujutettavat haitakkeet etsivät taukoamatta heikkoja kohtia.

Ajattelin, että enkä WPn tuvallisuuskysymys on sivuston ylläpidolle ja kaikille muillekin osapuolille esille ottamisen arvoinen asia.  Siihen voi vielä ehkä lisätä ajan mittaan kerääntynyttä muutakin WP käyttötietoa.  Aloitetaan kuitenkin turvallisuuskysymyksistä.  Toki ne ovat samalla myös toiminnallisia asioita; sivusto toimii juuri niin hyvin mitä sen turvallisuusominaisuudet sallivat.

WPn turvallisuuteen ja toimintaan liittyviä asioita on useita.  Tässä ei ole tyhjentävää selvitystä, mutta listataan muutamia tärkeimpiä.

 

 

Päivitä [2]

Päivitä aina heti

1. Päivitä aina heti uusimpaan niin WP kuin sen lisäkkeet, apuohjelmat ja kaikki mitä palvelimella on

Kuten jo alussa kerroin, niin vanhentunet asiakasohjelmat netissä vetävät puoleensa robotteja ja rikollisia.  Tämä päivittämisen tärkeys on samansuuntainen kuin tietokonekäytössä yleensäkin.  Koko ajan etsitään tieturva-aukkoja ja juuri vanhat softat niitä avaavat.  Ja muista, että WP on suosittuna nettialustana juuri erityisen altis vaaratekijöille.

Kun kuulin noista asioista niin ihmettelin niiden syntyjä syviä.  WP kun on ollut jo pitkään aivan helposti ja automaattisesti päivitettävissä.  Samoin sen kaikki oleelliset lisäkkeet.  Ei voi olla muuta syytä kuin tiedon puute, jolloin asiaa ei huomata pitää tärkeänä, vai mistä se voisi johtua.

Ilmeisesti WPn ogranisaatio on nähnyt päivittämättömät ohjelmansa niin vaarallisiksi, että versiosta 3.8.1 lähtien se päivetään automaattisesti ilman käyttäjältä vaadittavia toimenpiteitä.  Ensimmäinen automaatinen päivitys on koettu ja se onnistui hyvin.  Tosin meille suomenkielistä WPtä käyttäville huomautettiin edelleen päivityksestä huolimatta, että päivitä uusimpaan.  Tuon huomautuksen sai pois kun teki vielä lisäksi sen automaattipäivityksen.

Estä roskapostit ja robottien rekiströityminen

2. Huolehdi että sivustolla ei ole ylimääräistä roskapostia tai robottien rekisteröitymisiä. Jos ovet ovat avoinna robottiketjujen lähettämille kommenteille, rekisteröitymisille ja häiriköinnille, niin ne ovat avoinna myös sivuston ongelmille.

Tämäkään turvaominaisuus ei ole vaikeata hoitaa käytännössä.  Roskaposti estetään WPssä perinteisesti Akismet-lisäkkeellä.  Robottien rekisteröitymisen estoon on useitakin hyvin toimivia ja pieniä (=kuormittamattomia) lisäkkeitä.  Myös WPn normaalia rekisteröitymisprosessia kannattaa täydentää jollakin robotit poistavilla hyvällä lisäkkeellä.  Katso vaikka tämän sivuston rekisteröitymissysteemiä, se ei läpäise robotteja.  Edelleen on hyviä lisäkkeitä, jotka poistavat sekä roskapostia että haitallisia rekisteröitymisyrityksiä. Alinna Linkeissä esim. Better WP Security, joka vaikuttaa rekisteröitymiseen.

Hyvä tietää tästä sekin, että jos sivusto on jostakin syystä pääsyt esim. jonkin robottiketjun listoille, niin se on jatkuvan seurannan ja aukkojen etsimisen kohteena.  Silloin on aivan erityisen tuvallisuusvalppauden aika.

Pidä ovi hallintaan muilta kiinni

3. Älä päästä nettirikollista sivustoon.  Jos nettirikollinen pääsee ylläpitäjänä sivustoon on se koko sivuston tuhon alku.  Siksi kiinnitä erityinen huomio salasanaasi, jolla sivustoon kirjaudut.

Sen tulee olla tarpeeksi vaikea, että hakusysteemeilläkään sitä ei löydetä,  Pituus vähintään kahdeksan (8) merkkiä vaihtelevasti isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.  Ei missään tapauksessa selviä nimiä, peräkkäisiä numeroita tai yleensäkään selväkielisiä sanoja.

WP tekee harmillisella tavalla ylläpitäjästä käyttäjän ”admin”.  Tämä on aivan yleinen lähde haavoittuvuuksille.  Älä käytä admin käyttäjänimeä, luo itsellesi uusi ja poista admin, sekä tarkasta, että et käytä käyttäjänimen IDtä 1 hallintapaneelissa.

Myös kirjautumisen virhesanoman ilmoittaminen kannattaa poistaa (viestistä: ”käyttäjänimesi tai salasanasi on virheellinen”).  Senkin antaman tiedon avulla on nettirikollisille mahdollista päästä eteenpäin sivustoon tunkeutumisessa.

Vielä kannattaa salata kirjautumislinkki WPn hallintasivuilla.  Se tapahtuu helposti ja kätevästi esim. käyttämällä tarkoitukseen tehtyjä WPn lisäkkeitä. 

Katso lisää turvallisuus- ja muita linkkejä tässä artikkelissa alinna olevasta Linkit kohdasta.

 

Saako WordPressistä tietoja?

Siirrytään tuosta opettavaisesta saarnasta – pakko oli laittaa eikä siinä juuri ole sijaa kevennyksille! – paljon kevyempään ja henkilökohtaisempaan näkemysten maailmaan.  Kaikenlaiseen tekemiseen tarvitsemme tietoja.  Jos jotakin ei ole ennen tehnyt, niin tieto on oleellinen asia päästä eteenpäin.  

Kun aikoinaan ensi kertaa WPn asensin niin ihmetelin, mistä niitä tietoja saa.  Käytön alkeistietoja ei oikein saanut mistään, en ainakaan löytänyt.  Itse oli kaikkea kokeiltava.  Myöhemmin sitten huomasin, että on ainakin kaksi tai oikeastaan kolme nettiyhteisöä, josta tietoja voi saada. Ne ovat suuri kansainvälinen WordPress organisaatio ja sen suomalainen paikallistuma Suomenkielinen tukisivusto.  Niin, se kolmas on tietysti Google tai muu hakukone.

Huomasin piankin, että kansainvälinen WordPress sisältää valtavat määrät kaikenlaista WPhen liittyvää tietoa.  Haittapuolena vain on, että sitä on niin paljoin.  Lisäksi ne on kirjoitettu korrektilla insinöörimäisellä amerikan/englanninkielellä eikä juuri ole ajateltu, että suurella osalla tietojen tarvitsijoista ei ole äidinkielenä englanti.  Niinpä on eduksi jos sattuu olemaan erittäin hyvin englantia osaava ja ehkä vielä it-insinöörikoulutuksen saanut.  Siellä on kysymyksillekin sijansa.   Kuten kaikkialla muuallakin kysyjiä on paljon ja vastaajia vähän.  Vahoista ketjuista ehkä parhaiten saa vastauksia omiin kysymyksiin.

Tietoa kotimaasta?

Entä sitten tämä meidän kotimaisemme? Se on alun perin WPn suomentajien perustama ja edelleenkin tuon ydinjoukon hallinnoima.  En oikein osaa sanoa keitä varten se on tarkoitettu. Aloittelijat saavat viittauksia WPn dokumentaatioihin.  Kokeneet käyttäjät taas saavat kyllä vastauksia, mutta kun vastaajien joukko on kovin pieni, niin  hyödyllisyys on myös kyseenalainen.  

Suomalaisen tapaan (?) se on jollain lailla sisäänlämpiävä.  Kun aikoinaan, jo vuosia sitten, yritin keskustella juuri WPn suomennoksista osoittamalla keskustelun arvoisia käännöskukkasia ja suoranaisia virheitä, niin ei minkäänlaista vastakaikua.  Taidettiin lopettaa koko keskusteluketju, ilmeisesti asiassa oli sen verran arvostelun makua.  Tänä päivänkin on esim. käytössä ”hieno” suomenkielinen termi Massatoiminnot (suora käännöspläjäys  englanninkielestä).  Ja laittamalla kursorin avainsanojen päälle kertoo WP että ko. avainsana sisältää niin ja niin monta Kategoriaa (mikä on väärin).  Tämä on tosin sittemmin monen vuoden jälkeen jo muutettu, kuitenkin jätetty suomentamatta.
 
Google ja vastaavat ovat hyvä kanava löytää vastauksia.  Lähtökohtana on vain, että osaa auttavasti englantia. Jos osaa laatia epäselvän asiansa kysymyksen muotoon, niin voi saada hyödyllisiä linkkejä.  Tietoja voi tulla paljokin.  Siinä pitää olla johdonmukainen ja tarkkana;  esim. kannattaa katsoa miten vanhoja tiedot ovat, ovatko ne tätä päivää ja koskevatko ne juuri itse hoidettavia sivustoja.

 

WPn lisäosat

Kun tämä artikkeli näyttää olevan aika useasti luettu, vaikka mitään palauteta ei keneltäkään ole tullut, niin tuotakoon esille järjestelmän yksi ajankohtainen ilmiö.  WPt päivittyvät, yleensä aivan automaattisesti.  Samalla syntyy tilanteita, että kaikkia käytössä olevia lisäosia ei päivitetä.  Ne ovat enimmäkseen vapaaehtoisten maksutta tekemiä ja kehittäjältä on voinut innostus loppua.  Lisäosa pysyy aika pitkään WP listoilla, vaikka sitä ei olisi päivitettykään.  Tosin voi tarkistaa, onko lisäosa yhteensopiva uuden WPn kanssa.

Lisäosat näyttävät pysyvän WPn listoilla ja ladattavissa parisen vuotta päivittämättömänäkin tai siksi asti kunnes havaitaan selvästi niiden toimimattomuuksia.  Jos kehittäjä ei päivitä lisäosaa, niin se viimein poistetaan listalta eikä sitä silloin voi enää ladata.  Voiko sitten vanhentunutta lisäosaa käyttää?  Minusta voi halutessaan, jos tiedostaa sen riskit; mahdolliset toimintahäiriöt tai tuvallisuustekijät.  Edellyttäen tietysti, että se yhä toimii.  Osa näistä koodeista ei ole turvallisuusriskejä aiheuttavia, on vain kysymys sen toiminnasta.  Niinpä itselläni on kaksikin lisäkettä, joista toinen on kokonaan poistettu WPn luettelosta ja toinen on siellä maininnalla päivitetty viimeksi n. 2 vuotta sitten.  Kumpikin tomii erinomaisesti.  Olen varautunut poistamaan ne, jos jotakin häiriötä tulee.  Ongelmana on se, että juuri samanlaista ei ole saatavissa.

Lisäosia kannattaa käyttää mahdollisimman vähän, sillä ne hidastavat sivuston latausaikoja. Yleensä on kuitenkin pakko käyttää kaikesta huolimatta.  Lisäosilla on hyvin erilaisia vaikutuksia latausaikaan, jokin lisää sitä selvästi, toinen ei juuri lainkaan.  Lisäosien päivittämisestä on tullut yksi WPn ylläpidon vakituisia tehtäviä.

 

WP ei ole pelkästään sisällön tuotantoa

Enpä tiedä ovatko kaikki WPn omaksi sivustokseen valinneet tulleet ajatelleeksi, että sekin vaatii kaikenlaista muutakin huolenpitoa kuin vain sisällön tuotantoa.  Voimme hyvin ajatella, että ketäpä nettirikollista tällainen pieni yksityinen sivusto kiinnostaisi.  Mutta todellisuus on sellainen, että ei niin pientä ja yksityistä sivustoa joka ei kiinnostaisi yhä kasvavaa nettirikollisten joukkoa.  Kaikki kelpaa.  Kaikista pääsee eteenpäin. Jos ei muuta niin laitetaan vaikka lähettämään roskapostia maailmanlaajuisesti.

Olisipa mukavaa jos jossakin meillä syntyisi pieniä WPn käyttäjärenkaita, jotka voisivat keskustella keskenään.  Yhdessä saattaisi hyvinkin löytyä sekä ratkaisuja ongelmiin että hyödyllisiä kehitysideoita.  Jos vielä joku voisi ottaa asiakseen seurata WP turvallisuuspuolen kehitystä ja siihen liittyviä niin vaaratekijöitä kuin ratkaisujakin, niin eikö olisi kovasti hyödyllistä.

Tämän sivuston ylläpitäjä on valmis keskustelemaan kaikkien halukkaiden WPn käyttäjien ja asiasta kiinnostuneiden kanssa. Tässä nyt puhuttiin lähinnä turvallisuudesta, mutta toki voi keskustella sivuston nopeuttamisesta, hakukoneoptimoinnista tai muusta.  Tuskin minusta neuvojen antajaksi on, mutta käyttökokemuksia vaihdan mielelläni. Ja yhdessä saattaa olla mukavaa ratkaista mahdollisia ongelmiakin.  Kommettisi on tervetullutta!

 

Päivitetty 3.10.2017

Linkit

WordPress.org dokumentaatio [3]

WordPress Plugin Directory [4]

WordPress tukifoorumit [5]

Lisäkkeitä:

Akismet ja muita ajankohtaisia turvallisuus ym lisäkkeitä [6]

Better WP Security [7] lisäke

Stop Spammers [8] lisäke

WPn Captcha [9] lisäkkeet

Limit Login Attempts [10] lisäke

Wordefence [11] lisäke