Kuten blogini ja Tuntikirjuri-sivuni seuraajat, ja muut politiikkakeskustelu-kannanottoni seuraajat muistavat, sivuni olivat alhaalla viime jouluaattoa edeltävänä aikana noin vuorokauden.
Eilen oli nimimerkki ”samppa75” -vastannut WordPress Suomi Support-tuki ja vianmääritys-foorumille esittämääni ”DocumentHandlerError” -kysymykseen, kun samppa75 -nimimerkillä on nyt sama tilanne. Suora linkki keskusteluun löytyy täältä: https://fi.wordpress.org/support/topic/json-in-aktivointi/#post-10556
Ajattelin ihan punavihreän avoimuuden ja aktivismin ja Internetin Käyttäjät Ikuisesti, IKI ry:n jäsenenä kokea ihan asialliseksi kirjoittaa muutama havainto, jolla mielestäni pystyy parantamaan oman WordPress -pohjalla toimivan sivuston turvallisuutta helmikuussa 26.02.2020 saatavilla olevan tiedon mukaan.
- WordPress -sivuston JSON-data on ollut julkista WordPress -järjestelmän joulukuisen WordPress REST APIn julkaisun jälkeen joulukuusta 2016. Liitännäisellä (Plug-in) nimeltä Disable WP REST API –on mahdollistaa hylätä JSON-datan julkisuus.
- WordPressin -sivun ylläpitäjän kirjautumissivu on oletuksena wp-admin -alikansiossa, jota kaikki hämärämiehet kokeilevat ensimmäisenä halutessaan yrittää kirjautua hallintapaneeliin. Olen havainnut liitännäisen nimeltä WPS Hide Login – ihan käteväksi.
- Vielä, jos käyttää WPS Hide Loginia, joku pitkäkyntinen tai automatisoitu botti voi löytää kirjautumissivun tiedä, miten hakukoneet kehittyvät jatkossa, vaikka varmaan kirjautumissivun osalta on määritelty oletuksena, että sitä ei sallita hakukoneiden löytävän, mutta en tiedä, tulevaisuudessa voi olla toisin. Kolmas liitännäinen, jonka olen asentanut, on Limit Login Attempts Reloaded, jossa voi määritellä melko tarkasti, kuinka monta kirjautumisyritystä sallitaan ennen lukkiutumista, ja kuinka kauan kestää ennen kuin kirjautumislukkiutuminen jällleen aukeaa.
- Jos on kommentointi sallittua, Akismet -roskaviestisuodatus on hyvä olla asennettuna, mikä taitaa tulla joka WordPressin asennuksen jälkeen vakiona järjestelmässä jo valmiisi asennetuissa Liitännäisissä.
- Lisäksi kannattaa pitää aina ajan tasalla uusin WordPress -järjestelmän versio palvelimella pystyssä, koska yleensä uusimmassa versiossa on korjattu ainakin useita tunnettua haavoittuvuuksia. Jo tunnettuja ja tulevia, reaaliajassa WordPress -Haavoittuvuuksia voi seurata sivustolta https://wpvulndb.com/
- Vaikka Verkkosivujen kopiointi on mahdollista, jos verkkopalvelin on oikein konfiguroitu, WordPress, kun on toteutettu PHP -kielellä, ja PHP on palvelimella ajettava kooditiedosto, käyttäjä ei saa haltuunsa sivun lähdekoodia. Jos saisi, kukaan todennäköisesti ei käyttäisi WordPressiä, koska wp-config.php -tiedosto sisältää kovakoodattuna tietokannan nimen, palvelinosoitteen ja myös salasanan. Lisäsin seuraavat rivit .htaccess -tiedostooni $HOME/public_html -kansiossa palvelimella.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>