WordPress – sivuston ylläpitäjän turvallisuusvinkkejä (26.02.2020)

Kuten blogini ja Tuntikirjuri-sivuni seuraajat, ja muut politiikkakeskustelu-kannanottoni seuraajat muistavat, sivuni olivat alhaalla viime jouluaattoa edeltävänä aikana noin vuorokauden.

Eilen oli nimimerkki ”samppa75” -vastannut WordPress Suomi Support-tuki ja vianmääritys-foorumille esittämääni ”DocumentHandlerError” -kysymykseen, kun samppa75 -nimimerkillä on nyt sama tilanne. Suora linkki keskusteluun löytyy täältä: https://fi.wordpress.org/support/topic/json-in-aktivointi/#post-10556

Ajattelin ihan punavihreän avoimuuden ja aktivismin ja Internetin Käyttäjät Ikuisesti, IKI ry:n jäsenenä kokea ihan asialliseksi kirjoittaa muutama havainto, jolla mielestäni pystyy parantamaan oman WordPress -pohjalla toimivan sivuston turvallisuutta helmikuussa 26.02.2020 saatavilla olevan tiedon mukaan.

  • WordPress -sivuston JSON-data on ollut julkista WordPress -järjestelmän joulukuisen WordPress REST APIn julkaisun jälkeen joulukuusta 2016. Liitännäisellä (Plug-in) nimeltä Disable WP REST API –on mahdollistaa hylätä JSON-datan julkisuus.
  • WordPressin -sivun ylläpitäjän kirjautumissivu on oletuksena wp-admin -alikansiossa, jota kaikki hämärämiehet kokeilevat ensimmäisenä halutessaan yrittää kirjautua hallintapaneeliin. Olen havainnut liitännäisen nimeltä WPS Hide Login – ihan käteväksi.
  • Vielä, jos käyttää WPS Hide Loginia, joku pitkäkyntinen tai automatisoitu botti voi löytää kirjautumissivun tiedä, miten hakukoneet kehittyvät jatkossa, vaikka varmaan kirjautumissivun osalta on määritelty oletuksena, että sitä ei sallita hakukoneiden löytävän, mutta en tiedä, tulevaisuudessa voi olla toisin. Kolmas liitännäinen, jonka olen asentanut, on Limit Login Attempts Reloaded, jossa voi määritellä melko tarkasti, kuinka monta kirjautumisyritystä sallitaan ennen lukkiutumista, ja kuinka kauan kestää ennen kuin kirjautumislukkiutuminen jällleen aukeaa.
  • Jos on kommentointi sallittua, Akismet -roskaviestisuodatus on hyvä olla asennettuna, mikä taitaa tulla joka WordPressin asennuksen jälkeen vakiona järjestelmässä jo valmiisi asennetuissa Liitännäisissä.
  • Lisäksi kannattaa pitää aina ajan tasalla uusin WordPress -järjestelmän versio palvelimella pystyssä, koska yleensä uusimmassa versiossa on korjattu ainakin useita tunnettua haavoittuvuuksia. Jo tunnettuja ja tulevia, reaaliajassa WordPress -Haavoittuvuuksia voi seurata sivustolta https://wpvulndb.com/
  • Vaikka Verkkosivujen kopiointi on mahdollista, jos verkkopalvelin on oikein konfiguroitu, WordPress, kun on toteutettu PHP -kielellä, ja PHP on palvelimella ajettava kooditiedosto, käyttäjä ei saa haltuunsa sivun lähdekoodia. Jos saisi, kukaan todennäköisesti ei käyttäisi WordPressiä, koska wp-config.php -tiedosto sisältää kovakoodattuna tietokannan nimen, palvelinosoitteen ja myös salasanan. Lisäsin seuraavat rivit .htaccess -tiedostooni $HOME/public_html -kansiossa palvelimella.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

About Jere Sumell

Graduated in February 2017 at the degree program of Bachleor of Business and Administration in Information Technology at Turku Univerity of Applied Sciences. At the end of the last semester I started to be a sole trader for my private projects and I'm officially taking public action in Politics through the Left Alliance in Finland. I'm the member of the Left Alliance Educational Division. I did the takedown my current business activities at the 31.5.2018 (Mostly responsive web developement orders based on CMS-solutions was the works some enterpeurers ordered from me.) I'm article writer in my Computer -related blog @ Wordpress. My first appearance at Wordpress blogs was our IT-student team blog called "The Gr8 Tigers".
This entry was posted in Aktivismi, Blogi, Demokratia, Internet, Koulutus, Linkkivinkki, Linux, nettivinkki, Ohjelmat, Ohjelmointi, Talous, Tietokannat, Tulevaisuus, Turvallisuus, Versionhallinta, Wordpress. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s