2. maikku@iki.fi https://www.sarvas.fi
2
Tietoturva
●
WordPress on yleisyytensä takia suosittu tietoturvamurtoyritysten kohde.
●
Ei ole kuitenkaan syytä paniikkiin, koska ei ole olemassa turvattomia
WordPress-sivustojaa, on vain huonosti ylläpidettyjä WordPress-sivustojaa
●
WordPressin ydin on turvallinen. Sen suojaamiseksi ei tarvitse asentaa
mitään tietoturvalisäosia.
●
Ongelmia tuovat mahdolliset lisäosat
●
Muista Tietoturvalisäosien liiketoimintamalli perustuu pelon synnyttämiseen ja siten kuviteltuun tarpeeseen
lisäosien asentamiseen
●
Pidä WordPress, teema ja lisäosat aina ajan tasalla.
●
Tee päivitykset mahdollisimman pian niiden tultua tarjolle.
●
Päivitykset tukkivat mahdollisia tietoturva-aukkoja.
●
Älä käytä lisäosia, joiden päivitys on jätetty tekemättä yli 1 vuoden ajalta.
3. maikku@iki.fi https://www.sarvas.fi
3
Salasanat
●
Käytä vahvaa salasanaa ja valitse pääkäyttäjätunnukseksi jokin
muu kuin admin
●
Voit ladata lisäosa, joka estää liian monet kirjautumisyritykset
kerralla – tosin vahvat salasanat estävät tämänkin
●
Robotti voi yrittää kirjautumista 100x peräkkäin eri tunnuksilla
●
Lisäosia
●
Limit Login Attempts
●
Jetpack
4. maikku@iki.fi https://www.sarvas.fi
4
Vahva salasana
1)Käytä salasanassa isoja ja pieniä kirjaimia, numeroita ja
erikoismerkkejä
●
Tärkeää on että muistat salasanan
●
Äidintyttönimi + puhelinnumeron loppu – lahtinen + 6733 - L@htin3n6733
2)Vaihda salasana säännöllisesti
●
Kerran vuodessa
●
Epäilet salasanan vuotaneen
3)Älä kerro salasanaasi
●
Tee omatunnus niille joiden täytyy päästä hallintapaneeliin
4)Säilytä salasanat varmassa paikassa
5. maikku@iki.fi https://www.sarvas.fi
5
•
Jos robottikirjautumiset, robottirekisteröitymiset ja roskakommentit muodostuvat
ongelmaksi, voit pyrkiä estämään niitä seuraavilla lisäosilla
• Google ReCaptcha
• Aksimet
• Muista kuitenkin kuinka mukavaa on arvuutella kuvista vuoria ?
•
Käytä aina salattuja yhteyksiä ylläpitäessäsi sivujasi HTTPS- yhteyksiä
•
Poista ylimääräiset lisäosat ja teemat
• Ei riitä, että tarpeettomat lisäosat deaktivoi, poista ne
• Muista teema tai lisäosa on aina takaovi sivuillesi, tiedätkö varmasti keillä kaikilla on avain siihen oveen?
• Wpsacn
•
Jos ylläpidät omaa palvelinta tai olet vuokrannut vain pilven reuna sinun pitää muistaa
myös päivittää
• Käyttöjärjestelmä, Web-palvelin, tietokanta, PHP , HTTP, SSH
•
Lue lisää https://www.slideshare.net/ottokekalainen/wordpresstietoturvan-perusteet
6. maikku@iki.fi https://www.sarvas.fi
6
SSL - Secure Sockets Layer
•
•
SSL-sertifikaatin avulla yhteys sivujen kävijän ja palvelimen välillä suojataan, eli
tieto liikkuu suojattua yhteyttä pitkin.
• SSL-sertifikaatti näkyy suljettuna lukon kuvana osoiterivillä
• Selainten valmistajat pitävät yllä listaa luotettavista sertifikaattien myöntäjistä. Jos myöntäjää
pidetään luotettavana, luotetaan myös niihin sivustoihin, joille on myönnetty SSL-sertifikaatti.
• Lisätieto pintä lukko klikkaamalla
•
Miten SSL-sertifikaatti toimii?
• Luodaan julkinen ja yksityinen avain, joiden avulla siirrettävät tiedot salataan ja salaus saadaan
myös purettua
• SSL-sertifikaatin aitouden varmistamisen jälkeen, selain luo yksilöllisen avaimen, jonka se salaa
palvelimelta saadulla julkisella avaimella. Palvelin pystyy avaamaan salauksen ainoastaan
sertifikaatin hankkimisen yhteydessä luodulla yksityisellä avaimella.
• Video kuin SSL toimii
https://youtu.be/hExRDVZHhig
7. maikku@iki.fi https://www.sarvas.fi
7
Let’s Encrypt
•
LUE artikkeli ja selvitä
•
https://www.zoner.fi/tietoturva/lets-encrypt/
• Mikä on Let’s Encrypt?
• Wildcard-ominaisuus
• IDN-tuki
• Miksi käyttää maksullista sertifikaattia?
•
Let’s Encrypt sertifikaation käyttöön otta Zonerilla
•
https://www.zoner.fi/tuki/webhotellit/miten-otan-kayttoon-lets-encrypt-ssl-sert
ifikaatin/