wp_tietoturva.pdf
- 2. maikku@iki.fi https://www.sarvas.fi 2 Tietoturva ● WordPress on yleisyytensä takia suosittu tietoturvamurtoyritysten kohde. ● Ei ole kuitenkaan syytä paniikkiin, koska ei ole olemassa turvattomia WordPress-sivustojaa, on vain huonosti ylläpidettyjä WordPress-sivustojaa ● WordPressin ydin on turvallinen. Sen suojaamiseksi ei tarvitse asentaa mitään tietoturvalisäosia. ● Ongelmia tuovat mahdolliset lisäosat ● Muista Tietoturvalisäosien liiketoimintamalli perustuu pelon synnyttämiseen ja siten kuviteltuun tarpeeseen lisäosien asentamiseen ● Pidä WordPress, teema ja lisäosat aina ajan tasalla. ● Tee päivitykset mahdollisimman pian niiden tultua tarjolle. ● Päivitykset tukkivat mahdollisia tietoturva-aukkoja. ● Älä käytä lisäosia, joiden päivitys on jätetty tekemättä yli 1 vuoden ajalta.
- 3. maikku@iki.fi https://www.sarvas.fi 3 Salasanat ● Käytä vahvaa salasanaa ja valitse pääkäyttäjätunnukseksi jokin muu kuin admin ● Voit ladata lisäosa, joka estää liian monet kirjautumisyritykset kerralla – tosin vahvat salasanat estävät tämänkin ● Robotti voi yrittää kirjautumista 100x peräkkäin eri tunnuksilla ● Lisäosia ● Limit Login Attempts ● Jetpack
- 4. maikku@iki.fi https://www.sarvas.fi 4 Vahva salasana 1)Käytä salasanassa isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä ● Tärkeää on että muistat salasanan ● Äidintyttönimi + puhelinnumeron loppu – lahtinen + 6733 - L@htin3n6733 2)Vaihda salasana säännöllisesti ● Kerran vuodessa ● Epäilet salasanan vuotaneen 3)Älä kerro salasanaasi ● Tee omatunnus niille joiden täytyy päästä hallintapaneeliin 4)Säilytä salasanat varmassa paikassa
- 5. maikku@iki.fi https://www.sarvas.fi 5 • Jos robottikirjautumiset, robottirekisteröitymiset ja roskakommentit muodostuvat ongelmaksi, voit pyrkiä estämään niitä seuraavilla lisäosilla • Google ReCaptcha • Aksimet • Muista kuitenkin kuinka mukavaa on arvuutella kuvista vuoria ? • Käytä aina salattuja yhteyksiä ylläpitäessäsi sivujasi HTTPS- yhteyksiä • Poista ylimääräiset lisäosat ja teemat • Ei riitä, että tarpeettomat lisäosat deaktivoi, poista ne • Muista teema tai lisäosa on aina takaovi sivuillesi, tiedätkö varmasti keillä kaikilla on avain siihen oveen? • Wpsacn • Jos ylläpidät omaa palvelinta tai olet vuokrannut vain pilven reuna sinun pitää muistaa myös päivittää • Käyttöjärjestelmä, Web-palvelin, tietokanta, PHP , HTTP, SSH • Lue lisää https://www.slideshare.net/ottokekalainen/wordpresstietoturvan-perusteet
- 6. maikku@iki.fi https://www.sarvas.fi 6 SSL - Secure Sockets Layer • • SSL-sertifikaatin avulla yhteys sivujen kävijän ja palvelimen välillä suojataan, eli tieto liikkuu suojattua yhteyttä pitkin. • SSL-sertifikaatti näkyy suljettuna lukon kuvana osoiterivillä • Selainten valmistajat pitävät yllä listaa luotettavista sertifikaattien myöntäjistä. Jos myöntäjää pidetään luotettavana, luotetaan myös niihin sivustoihin, joille on myönnetty SSL-sertifikaatti. • Lisätieto pintä lukko klikkaamalla • Miten SSL-sertifikaatti toimii? • Luodaan julkinen ja yksityinen avain, joiden avulla siirrettävät tiedot salataan ja salaus saadaan myös purettua • SSL-sertifikaatin aitouden varmistamisen jälkeen, selain luo yksilöllisen avaimen, jonka se salaa palvelimelta saadulla julkisella avaimella. Palvelin pystyy avaamaan salauksen ainoastaan sertifikaatin hankkimisen yhteydessä luodulla yksityisellä avaimella. • Video kuin SSL toimii https://youtu.be/hExRDVZHhig
- 7. maikku@iki.fi https://www.sarvas.fi 7 Let’s Encrypt • LUE artikkeli ja selvitä • https://www.zoner.fi/tietoturva/lets-encrypt/ • Mikä on Let’s Encrypt? • Wildcard-ominaisuus • IDN-tuki • Miksi käyttää maksullista sertifikaattia? • Let’s Encrypt sertifikaation käyttöön otta Zonerilla • https://www.zoner.fi/tuki/webhotellit/miten-otan-kayttoon-lets-encrypt-ssl-sert ifikaatin/