Miten varmistaa että WordPress on tietoturvallinen?

Haluatko tietoturvallisen WordPress-sivuston ilman arvaamista? Tämän oppaan avulla kovennat sivuston askel askeleelta niin, että päivitykset, kirjautuminen, palomuuri ja varmuuskopiot ovat kunnossa. Kerron samalla, miten itse vien nämä käytäntöön projekteissa – lopputuloksena nopeampi, vakaampi ja turvallisempi sivusto.

• Pidä ydin, teemat ja lisäosat ajan tasalla 🔒
• Ota käyttöön vahvat salasanat ja kaksivaiheinen todennus
• Lisää palomuuri ja varmuuskopiointi sekä seuraa poikkeamia

Vaihe 1: Päivitä WordPress-ydin, teemat ja lisäosat hallitusti

Päivitykset paikkaavat haavoittuvuuksia ja pitävät suorituskyvyn kunnossa. Tietoturvallinen WordPress alkaa siitä, että versiot eivät jää jälkeen – mutta päivityksiä ei silti tehdä sokkona.

Käytä testitilaa (staging) kriittisiin päivityksiin ja tee muutokset hallitusti yksi kerrallaan. Näin vältät häiriöt tuotannossa ja pystyt palauttamaan nopeasti, jos jokin menee pieleen.

1. Ota täydellinen varmuuskopio (tiedostot + tietokanta) ennen päivityksiä.
2. Tarkista muutosten kuvaus eli changelog ja yhteensopivuus.
3. Päivitä yksi komponentti kerrallaan ja testaa sivuston keskeiset toiminnot.
4. Poista deaktivoidut lisäosat ja teemat, älä jätä niitä roikkumaan.
5. Ota käyttöön automaattiset tietoturvapäivitykset pieniin versiopäivityksiin. Kokeneille: WP-CLI (WordPressin komentorivityökalu) nopeuttaa työtä.

Vaihe 2: Valitse ja hallitse lisäosia luotettavasti

Jokainen lisäosa on potentiaalinen hyökkäysvektori. Siksi määrä minimiin ja laatu maksimiin. Luotettavat lisäosat päivittyvät, niillä on aktiivinen tuki ja selkeä kehittäjätausta.

Myös teemat kuuluvat samaan kategoriaan: pidä vain käytössä oleva teema ja poista loput. Kevyempi asennus on sekä turvallisempi että nopeampi.

1. Tarkista päivitystiheys, käyttäjämäärä ja arvostelut ennen asennusta.
2. Vältä monoliittisia “tekee kaiken” -lisäosia. Suosi tarkoitukseensa tehtyjä.
3. Auditoi lisäosat neljännesvuosittain ja poista tarpeettomat.
4. Pienennä hyökkäyspintaa: käytä vain toimintojen kannalta välttämättömiä lisäosia.
5. Pidä teeman ja sivunrakentajan versiot ajan tasalla ja yhteensopivina.

Vaihe 3: Vahvat salasanat ja 2FA kaikille käyttäjille

2FA eli kaksivaiheinen todennus lisää kirjautumiseen toisen kerroksen, kuten TOTP-koodin (aikaperusteinen kertakoodi) tai turva-avaimen. Se pysäyttää valtaosan tilikaappauksista, vaikka salasana vuotaisi.

Käytä ainutlaatuisia, pitkiä salasanoja ja roolipohjaisia oikeuksia. Älä käytä käyttäjänimeä “admin” ja pidä ylläpito-oikeudet vain niillä, jotka niitä oikeasti tarvitsevat.

1. Käytä salasanahallintaa ja vaadi vähintään 16 merkin salalauseet.
2. Ota käyttöön 2FA kaikille – vähintään toimittaja- ja ylläpitoroolien käyttäjille.
3. Vaihda “admin”-käyttäjä uuteen ja poista vanha tunnus.
4. Rajoita rooleja vähimmän oikeuden periaatteella (vain tarvittavat oikeudet).
5. Aktivoi kirjautumisloki ja hälytykset epäilyttävistä yrityksistä.

Vaihe 4: Suojaa kirjautuminen ja estä brute force -hyökkäykset

Brute force -hyökkäys on automaattinen arvausrumba salasanoja vastaan. Estä se rajaamalla yritykset, lisäämällä CAPTCHA ja tarvittaessa sallimalla kirjautuminen vain tietyistä IP-osoitteista.

Muista myös XML-RPC (vanha etärajapinta), jota bottiverkot hyödyntävät kirjautumisyrityksissä.

1. Rajoita kirjautumisyrityksiä ja lisää viive epäonnistumisten jälkeen.
2. Lisää CAPTCHA kirjautumis- ja lomakesivuille.
3. Piilota tai vaihda kirjautumis-URL, jos sivusto on jatkuvan häirinnän kohteena.
4. Estä xmlrpc.php tai rajoita sen käyttö vain tarvittaessa.
5. Salli kirjautuminen vain tietyistä IP-osoitteista ylläpitäjille, jos mahdollista.

Vaihe 5: Ota käyttöön palomuuri ja pakota HTTPS

WAF eli web-sovelluspalomuuri suodattaa haitalliset pyynnöt ennen kuin ne osuvat WordPressiin. Vaihtoehtoja on kaksi: lisäosapohjainen palomuuri tai pilvipalomuuri (esim. CDN eli sisällönjakeluverkko/reverse proxy).

HTTPS suojaa liikenteen TLS:llä (Transport Layer Security). Pakota se kaikille sivuille ja lisää HSTS (HTTP Strict Transport Security) palvelimelle, jotta selaimet käyttävät aina salausta.

1. Aktivoi WAF ja käytä sääntöjä, jotka estävät yleiset hyökkäyskuviot.
2. Pakota HTTPS uudelleenohjauksella ja varmista, ettei sekasisältöä jää.
3. Ota HSTS käyttöön ja pidä sertifikaatit ajan tasalla.
4. Rajoita wp-admin vain HTTPS:ään ja sulje tarpeettomat päätepisteet.
5. Hyödynnä reititystä ja nopeusoptimointia, kun käytät CDN:ää.

Vaihe 6: Kovennus wp-config.php ja tiedosto-oikeudet

Kovennus tarkoittaa oletusasetusten kiristämistä. Aloita wp-config.php-tiedostosta ja palvelimen tiedosto-oikeuksista: estä muokkaukset hallinnasta ja varmista, etteivät hakemistot paljasta sisältöään.

Näillä muutoksilla pienennät vahingonteon riskiä, vaikka käyttäjätunnus sattuisi vaarantumaan.

1. Lisää wp-config.php:han DISALLOW_FILE_EDIT true, jotta tiedostojen muokkaus hallinnasta estyy.
2. Päivitä salausavaimet (AUTH_KEYS ja SALTS) säännöllisesti.
3. Aseta tiedosto-oikeudet: tiedostot 644/640 ja hakemistot 755.
4. Estä hakemistolistaukset palvelinmäärityksellä.
5. Siirrä wp-config.php yhden tason ylemmäs, jos ympäristö sallii.

Vaihe 7: Varmuuskopiot ja palautustesti toimintaan

Varmuuskopio on arvoton, jos et pysty palauttamaan sitä. Siksi ajastus, offsite-tallennus ja palautuksen testaus ovat pakollisia. Tavoite: palautus minuuteissa, ei tunneissa.

Hyödynnä palvelintason varmuuskopioita tai lisäosaa ja noudata 3-2-1-sääntöä: kolme kopiota, kahdessa eri mediassa, yksi erillään (offsite).

1. Ajasta päivittäinen tietokantakopio ja viikoittainen täyskopio.
2. Tallenna kopiot offsite-sijaintiin ja salaa arkistot.
3. Säilytä vähintään 30–90 päivän historia liiketoiminnan riskin mukaan.
4. Testaa palautus staging-ympäristössä vähintään neljännesvuosittain.
5. Dokumentoi toipumissuunnitelma vastuu- ja yhteystietoineen.

Vaihe 8: Valvo, skannaa ja reagoi nopeasti

Haittaohjelmaskannaus ja tiedostojen eheystarkistus paljastavat poikkeamat ennen kuin ne ehditään hyödyntää. Hälytykset sähköpostiin tai Slackiin pitävät sinut ajan tasalla.

Seuraa myös haavoittuvuustietokantoja lisäosillesi ja pidä uptime-valvonta päällä. Näin huomaat häiriöt ennen asiakkaita.

1. Ota käyttöön automaattinen haittaohjelmaskannaus ja aikataulutetut tarkistukset.
2. Aktivoi audit-loki käyttäjien kriittisille toiminnoille.
3. Seuraa lisäosien haavoittuvuuksia ja päivitä heti riskiversiot.
4. Pidä hälytykset päällä kirjautumispiikeistä ja epäonnistuneista yrityksistä.
5. Valvo sivuston saatavuutta ja suorituskykyä 24/7.

Tietoturvallinen WordPress arjessa

Näillä kahdeksalla askeleella viet WordPressin peruskovennuksesta jatkuvaan tietoturvaan: päivitykset rullaavat, kirjautuminen on lukittu, palomuuri torjuu roskat ja varmuuskopio pelastaa tiukassa paikassa. Kun kehitimme verkkosovelluksen UGC-sisällöntuottajien ja yritysten välille, otimme käyttöön juuri tämän rungon – 2FA, WAF, kovennus ja palautusharjoitukset – ja tuloksena oli huoleton, tietoturvallinen WordPress myös kovan liikenteen alla.

Tee tietoturvasta rutiini: kuukausittainen tarkistuslista, neljännesvuosittainen auditointi ja selkeä toipumissuunnitelma. Pienillä, säännöllisillä teoilla pidät riskit pienenä ja liiketoiminnan turvassa.

Usein kysytyt kysymykset

Mitkä ovat tärkeimmät askeleet, joilla saan tietoturvallisen WordPress-sivuston?

Perusta tietoturvallinen WordPress rakentuu ajantasaisista päivityksistä, luotettavista lisäosista ja palomuurista (WAF). Lisää kaksivaiheinen tunnistautuminen (2FA), vahvat salasanat ja automaattinen varmuuskopiointi, niin pienennät hyökkäysriskejä huomattavasti.

Kuinka usein WordPress, teemat ja lisäosat pitää päivittää?

Turvallinen käytäntö on sallia automaattiset tietoturvapäivitykset ja tarkistaa päivitykset vähintään viikoittain. Suuremmat versiot testaa ensin staging-ympäristössä tai WP-CLI:llä, ja varmista, että PHP-versio (esim. 8.2/8.3) on tuettu ja päivitetty.

Kannattaako käyttää WordPress-palomuuri (WAF) kuten Cloudflare, Sucuri tai Wordfence?

Kyllä – WAF suodattaa botit, SQLi/XSS-yritykset ja brute force -kirjautumiset ennen kuin ne osuvat sivustoosi. Helppo aloitus on edge-WAF (esim. Cloudflare) yhdistettynä sovellustason suojaan (esim. Wordfence), mikä parantaa tietoturvaa ilman suurta ylläpitoa.

Miten toteutan kaksivaiheisen tunnistautumisen (2FA) WordPressiin?

Asenna luotettava 2FA-lisäosa, kuten WP 2FA tai Wordfence Login Security, ja pakota 2FA vähintään ylläpitäjille ja toimittajille. Käytä TOTP-sovellusta (esim. Google Authenticator, Authy) ja talleta varakoodit turvallisesti.

Mitä varmuuskopioinnista pitää huomioida WordPressissä?

Tee automaattinen varmuuskopiointi päivittäin (tietokanta + tiedostot) ja säilytä kopiot erillisessä sijainnissa (S3, Backblaze, hostingin offsite). Testaa palautus säännöllisesti ja pidä 30–90 päivän säilytyspolitiikka; työkaluja ovat esim. UpdraftPlus, Jetpack Backup tai hallittu hosting.

Miten suojaan wp-config.php ja .htaccess sekä estän hakemistolistaukset?

Siirrä wp-config.php tarvittaessa web-juuren ulkopuolelle, rajoita pääsy .htaccess-säännöllä ja aseta tiedosto-oikeudet oikein (wp-config.php 600, tiedostot 644, hakemistot 755). Poista hakemistolistaukset komennolla Options -Indexes ja estä suorien tiedostojen muokkaus: define(’DISALLOW_FILE_EDIT’, true).

Pitäisikö XML-RPC ja REST API rajoittaa?

Jos et käytä Jetpackia tai etäjulkaisua, WordPressin XML-RPC poistaminen vähentää brute force -riskejä. REST API:lle rajoita julkiset endpointit, vaadi autentikointi tarvittaessa ja salli vain liiketoimintasi tarvitsemat polut (voit tehdä tämän WAF:lla tai lisäosalla).

Miten rajoitan kirjautumisyrityksiä ja lisään reCAPTCHA:n?

Ota käyttöön kirjautumisyritysten rajoittaminen (esim. Limit Login Attempts Reloaded tai Wordfence) ja IP-lukitus. Lisää reCAPTCHA v3/v2 kirjautumiseen, rekisteröitymiseen ja kommentteihin, jotta botit pysyvät poissa ilman, että käytettävyys kärsii.

Mitkä käyttöoikeudet ja roolit ovat turvalliset WordPressissä?

Noudatetaan vähimmän oikeuden periaatetta: ylläpitäjäoikeudet vain harvoille, muuten Editor/Author/Contributor tarpeen mukaan. Käytä SFTP/SSH-avaimia, vältä jaettuja tunnuksia ja kirjaa tapahtumat audit-lokeihin (esim. WP Activity Log).

Miten valitsen tietoturvallisen WordPress-webhotellin?

Valitse hallittu WordPress-hosting, jossa on eristys, automaattiset tietoturvapäivitykset, yöaikaiset varmuuskopiot, staging-ympäristö, WAF ja haittaohjelmien skannaus. Varmista tuki modernille TLS:lle, HTTP/2–3:lle ja uusille PHP-versioille sekä nopea reagointi haavoittuvuuksiin.

Mitä HTTP security headerit (HSTS, CSP jne.) kannattaa ottaa käyttöön?

Ota käyttöön vähintään HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy ja Permissions-Policy; määritä CSP huolellisesti, ettei se riko skriptejä. Lisää headerit palvelimella tai CDN:ssä (esim. Cloudflare) ja testaa Security Headers -työkalulla.

Mistä tiedän, onko sivustollani haavoittuvuuksia tai haittaohjelmaa?

Suorita säännöllinen WordPress haavoittuvuusskannaus (esim. WPScan, Patchstack, Wordfence) ja seuraa lisäosien CVE-tietoja. Ota käyttöön tiedostojen eheyden valvonta, audit-lokit ja hälytykset, jotta reagointi on nopeaa.