11 tärkeintä syytä, miksi WordPress-sivustot hakkeroidaan (ja miten se estetään)

Viime aikoina yksi lukijoistamme kysyi meiltä, miksi WordPress-sivustot hakkeroidaan? On turhauttavaa huomata, että WordPress-sivustosi on hakkeroitu. Tässä artikkelissa kerromme tärkeimmät syyt, miksi WordPress-sivusto hakkeroidaan, jotta voit välttää nämä virheet ja suojata sivustosi.

Miksi WordPress-sivustot hakkeroidaan?

Miksi hakkerit ovat ottaneet WordPressin kohteekseen?

Ensiksi, kyse ei ole vain WordPressistä. Kaikki internetissä olevat sivustot ovat alttiita hakkerointiyrityksille.

Syy siihen, miksi WordPress-sivustot ovat yleinen kohde, on se, että WordPress on maailman suosituin verkkosivustojen rakentaja. Se käyttää yli 31 % kaikista verkkosivustoista eli satoja miljoonia verkkosivustoja ympäri maailmaa.

Tämä valtava suosio antaa hakkereille helpon tavan löytää verkkosivut, jotka eivät ole yhtä turvallisia, jotta he voivat hyödyntää sitä.

Hakkerit käyttävät erilaisia motiiveja verkkosivujen hakkerointiin. Jotkut ovat aloittelijoita, jotka vasta opettelevat hyödyntämään vähemmän turvallisia sivustoja.

Joillain hakkereilla on pahansuopia aikeita, kuten haittaohjelmien levittäminen, sivuston käyttäminen muiden sivustojen kimppuun hyökkäämiseen tai internetin roskapostitus.

Sen jälkeen tarkastellaan joitakin tärkeimpiä syitä, joiden vuoksi WordPress-sivustoja hakkeroidaan, ja miten voit estää verkkosivustosi hakkeroinnin.

1. Epävarma web-hostaus

Kuten kaikki verkkosivustot, WordPress-sivustotkin sijaitsevat web-palvelimella. Jotkut hosting-yritykset eivät turvaa hosting-alustaansa kunnolla. Tämä tekee kaikista niiden palvelimilla isännöidyistä verkkosivustoista alttiita hakkerointiyrityksille.

Tämä voidaan helposti välttää valitsemalla verkkosivustollesi paras WordPress-hostingpalveluntarjoaja. Se varmistaa, että sivustosi on isännöity turvallisella alustalla. Oikein suojatut palvelimet voivat estää monia WordPress-sivustoihin kohdistuvia yleisimpiä hyökkäyksiä.

Jos haluat olla erityisen varovainen, suosittelemme käyttämään hallinnoitua WordPress-hosting-palveluntarjoajaa.

2. Heikkojen salasanojen käyttäminen

Heikkojen salasanojen käyttäminen

Salasanat ovat WordPress-sivustosi avain. Sinun on varmistettava, että käytät vahvaa, yksilöllistä salasanaa jokaiselle seuraavista tileistä, koska ne kaikki voivat antaa hakkerille täydellisen pääsyn verkkosivustollesi.

  • WordPressin hallintatilisi
  • Webhotellin hallintapaneelin tili
  • FTP-tilit
  • MySQL-tietokanta, jota käytetään WordPress-sivustossasi
  • Sähköpostitilit, joita käytetään WordPressin hallintatiliä tai hosting-tiliä varten

Kaikki nämä tilit suojataan salasanoilla. Heikkojen salasanojen käyttäminen tekee hakkerien helpommaksi murtaa salasanat käyttämällä joitain yksinkertaisia hakkerointityökaluja.

Voit helposti välttää tämän käyttämällä yksilöllisiä ja vahvoja salasanoja jokaiselle tilille. Katso oppaamme parhaasta tavasta hallita salasanoja WordPress-aloittelijoille, jotta opit hallitsemaan kaikkia vahvoja salasanoja.

3. Suojaamaton pääsy WordPressin ylläpitoalueelle (wp-admin-hakemisto)

WordPressin ylläpitoalue antaa käyttäjälle pääsyn suorittaa erilaisia toimintoja WordPress-sivustollasi. Se on myös WordPress-sivuston yleisimmin hyökkäyksen kohteena oleva alue.

Jättämällä se suojaamattomaksi hakkerit voivat kokeilla erilaisia lähestymistapoja sivustosi murtautumiseen. Voit vaikeuttaa heidän toimintaansa lisäämällä todennuskerroksia WordPressin hallintahakemistoosi.

Ensin sinun tulisi suojata WordPressin admin-alueesi salasanalla. Tämä lisää ylimääräisen turvakerroksen, ja kaikkien, jotka yrittävät päästä WordPressin admin-osioon, on annettava ylimääräinen salasana.

Jos käytät usean tekijän tai usean käyttäjän WordPress-sivustoa, voit ottaa käyttöön vahvat salasanat kaikille sivustosi käyttäjille. Voit myös lisätä kaksitekijätodennuksen, jotta hakkereiden on entistäkin vaikeampi päästä WordPressin ylläpitoalueelle.

4. Virheelliset tiedostojen käyttöoikeudet

Tiedoston käyttöoikeudet

Tiedoston käyttöoikeudet ovat verkkopalvelimesi käyttämien sääntöjen joukko. Nämä käyttöoikeudet auttavat verkkopalvelintasi valvomaan pääsyä sivustosi tiedostoihin. Virheelliset tiedosto-oikeudet voivat antaa hakkerille pääsyn kirjoittaa ja muuttaa näitä tiedostoja.

Kaikkien WordPress-tiedostojesi tiedosto-oikeutena tulisi olla 644-arvo. Kaikkien WordPress-sivustosi kansioiden tiedosto-oikeutena tulisi olla 755.

Katso oppaamme kuvien latausongelman korjaamisesta WordPressissä oppiaksesi, miten näitä tiedosto-oikeuksia sovelletaan.

5. WordPressin päivittämättä jättäminen

Jotkut WordPress-käyttäjät pelkäävät WordPress-sivustojensa päivittämistä. He pelkäävät, että se rikkoisi heidän verkkosivustonsa.

Jokainen uusi WordPress-versio korjaa virheitä ja tietoturva-aukkoja. Jos et päivitä WordPressiä, jätät sivustosi tarkoituksella haavoittuvaksi.

Jos pelkäät, että päivitys rikkoo verkkosivustosi, voit luoda täydellisen WordPress-varmuuskopion ennen päivityksen suorittamista. Tällä tavoin, jos jokin ei toimi, voit helposti palata takaisin edelliseen versioon.

6. Liitännäisten tai teeman päivittämättä jättäminen

Aivan kuten WordPressin ydinohjelmisto, myös teeman ja liitännäisten päivittäminen on yhtä tärkeää. Vanhentuneen laajennuksen tai teeman käyttäminen voi tehdä sivustostasi haavoittuvan.

WordPress-lisäosissa ja -teemoissa havaitaan usein tietoturva-aukkoja ja -virheitä. Yleensä teemojen ja lisäosien tekijät korjaavat ne nopeasti. Jos käyttäjä ei kuitenkaan päivitä teemaansa tai lisäosaansa, hän ei voi tehdä asialle mitään.

Varmista, että pidät WordPress-teemasi ja -lisäosasi ajan tasalla.

7. Tavallisen FTP:n käyttäminen SFTP/SSH:n sijaan

SFTP:n käyttäminen FTP:n sijaan

FTP-tilejä käytetään tiedostojen lataamiseen verkkopalvelimelle FTP-asiakasohjelman avulla. Useimmat hosting-palveluntarjoajat tukevat eri protokollia käyttäviä FTP-yhteyksiä. Voit muodostaa yhteyden käyttämällä tavallista FTP:tä, SFTP:tä tai SSH:ta.

Kun muodostat yhteyden sivustoosi käyttämällä tavallista FTP:tä, salasanasi lähetetään palvelimelle salaamattomana. Sitä voidaan vakoilla ja se voidaan helposti varastaa. FTP:n sijasta kannattaa aina käyttää SFTP:tä tai SSH:ta.

Sinun ei tarvitsisi vaihtaa FTP-asiakasta. Useimmat FTP-ohjelmat voivat muodostaa yhteyden verkkosivustoosi sekä SFTP:llä että SSH:lla. Sinun tarvitsee vain vaihtaa protokolla muotoon ’SFTP – SSH’, kun muodostat yhteyden verkkosivustoosi.

8. Adminin käyttäminen WordPress-käyttäjätunnuksena

’admin’-käyttäjätunnuksen käyttäminen WordPress-käyttäjätunnuksena ei ole suositeltavaa. Jos ylläpitäjän käyttäjätunnuksesi on admin, vaihda se välittömästi toiseen käyttäjätunnukseen.

Tarkempia ohjeita saat tutoriaalistamme WordPress-käyttäjätunnuksen vaihtamisesta.

9. Nullatut teemat ja laajennukset

Malware

Internetissä on monia sivustoja, jotka jakavat maksullisia WordPress-laajennuksia ja teemoja ilmaiseksi. Joskus on helppo tulla houkutelluksi käyttämään näitä mitätöityjä laajennuksia ja teemoja sivustollasi.

WordPress-teemojen ja -laajennusten lataaminen epäluotettavista lähteistä on erittäin vaarallista. Ne eivät ainoastaan voi vaarantaa verkkosivustosi tietoturvaa, vaan niitä voidaan myös käyttää arkaluontoisten tietojen varastamiseen.

Sinun tulisi aina ladata WordPress-liitännäisiä ja -teemoja luotettavista lähteistä, kuten liitännäisten/teemojen kehittäjien verkkosivustolta tai WordPressin virallisista arkistoista.

Jos sinulla ei ole varaa tai et halua ostaa premium-lisäosaa tai -teemaa, kyseisille tuotteille on aina saatavilla ilmaisia vaihtoehtoja. Nämä ilmaiset lisäosat eivät ehkä ole yhtä hyviä kuin maksulliset vastineensa, mutta ne hoitavat työnsä ja ennen kaikkea pitävät sivustosi turvallisena.

Sivustomme tarjoukset-osiosta löydät myös alennuksia monista suosituista WordPress-tuotteista.

10. WordPressin konfiguraation wp-config.php-tiedoston suojaamatta jättäminen

WordPressin konfiguraatiotiedosto wp-config.php sisältää WordPress-tietokannan kirjautumistiedot. Jos se on vaarantunut, se paljastaa tietoja, jotka voivat antaa hakkerille täydellisen pääsyn verkkosivustoosi.

Voit lisätä ylimääräisen suojakerroksen kieltämällä pääsyn wp-config-tiedostoon .htaccessin avulla. Lisää yksinkertaisesti tämä pieni koodi .htaccess-tiedostoosi.

<files wp-config.php>order allow,denydeny from all</files>

11. WordPress-taulukon etuliitteen muuttamatta jättäminen

Monet asiantuntijat suosittelevat, että WordPress-taulukon oletusarvoista etuliitettä tulisi muuttaa. WordPress käyttää oletusarvoisesti wp_-etuliitettä tietokantaasi luomiensa taulujen etuliitteenä. Saat mahdollisuuden muuttaa sitä asennuksen aikana.

Suosittelemme käyttämään hieman monimutkaisempaa etuliitettä. Näin hakkereiden on vaikeampi arvata tietokantasi taulukoiden nimiä.

Yksityiskohtaiset ohjeet löydät oppaastamme WordPress-tietokannan etuliitteen muuttaminen turvallisuuden parantamiseksi.

Hakkeroidun WordPress-sivuston puhdistaminen

Hakkeroidun WordPress-sivuston puhdistaminen voi olla todella tuskallista. Se voidaan kuitenkin tehdä.

Tässä on joitakin resursseja, joiden avulla voit aloittaa hakkeroidun WordPress-sivuston puhdistamisen:

  • Aloittelijan opas hakkeroidun WordPress-sivuston korjaamiseen
  • How to scan your WordPress site for potentially malicious code
  • how to find a backdoor in a hacked WordPress site and fix it
  • What to do when you are locked out of WordPress admin (wp-admin)
  • Beginner’s guide: Miten palautat WordPressin varmuuskopiosta

Palkintovinkki

Kalliiseen tietoturvaan käytämme Sucuria kaikilla WordPress-sivustoillamme. Sucuri tarjoaa haittaohjelmien havaitsemis- ja poistopalveluja sekä verkkosivuston palomuurin, joka suojaa verkkosivustosi yleisimmiltä uhkilta.

Katso, miten Sucuri auttoi meitä estämään 450 000 WordPress-hyökkäystä kolmessa kuukaudessa

Toivomme, että tämä artikkeli auttoi sinua oppimaan tärkeimmät syyt, miksi WordPress-sivusto hakkeroidaan. Saatat myös haluta tutustua perimmäiseen WordPress-tietoturvaoppaaseemme, jolla voit suojata WordPress-sivustosi.

Jos pidit tästä artikkelista, tilaa YouTube-kanavamme WordPress-video-oppaita varten. Löydät meidät myös Twitteristä ja Facebookista.

Jätä vastaus

Sähköpostiosoitettasi ei julkaista.