WordPress-saittia ylläpitävän kannattaa käyttää hetki turvallisuutensa pohtimiseen. Vaikka omaa saittia ei sinänsä kenelläkään olisi syytä uhata, hakkerit pommittavat löytämiään WordPress-saitteja testeillä, jotka paljastavat tunnettuja heikkouksia, joiden kautta on mahdollista päästä sisään.
Jos seuraa omalle saitille tehtyjä epäonnistuneita kyselyitä (JH 404 Logger on erinomainen apuväline tähän), voi huomata, kuinka hakkerit lataavat eri teemojen style.css-tiedostoa tai kokeilevat, onko saitille asennettu tiettyjä plugineita. Ajatus on se, että jos teema tai plugini löytyy, hakkerit käyttävät sitä murtautuakseen sisään.
Näitä testejä ajetaan varmasti täysin automaattisesti, joten mikä tahansa julkinen saitti voi joutua niiden kohteeksi. Tästä jutusta löydät muutaman niksin, joilla lisäät turvallisuuttasi.
wp-content hakemiston uudelleennimeäminen
Yksinkertainen suojakeino on muuttaa wp-content-hakemiston nimi joksikin muuksi. Näin hakkerit, jotka olettavat teemojen ja pluginien olevan wp-content-hakemistossa, eivät niitä löydä. Lisää wp-config.php-tiedostoon seuraavat rivit:
define ('WP_CONTENT_DIR',$_SERVER['DOCUMENT_ROOT’] . '/sisalto');
define ('WP_CONTENT_URL','http://www.example.com/sisalto');
Nyt voit nimetä wp-content-hakemiston nimellä ‘sisalto’ ja WordPressin pitäisi toimia entisellään, mutta turvallisemmin, kun hakkerit eivät voi koputella ja etsiä viallisia teemoja ja plugineita.
Huomaa, että osa plugineista ja teemoista on sen verran huolimattomasti tehty, että tämä muutos rikkoo niiden toiminnan. Mallikelpoinen plugini tai teema ei oleta, että wp-content-hakemiston nimi on wp-content, mutta kaikki koodarit eivät ole tulleet ajatelleeksi asiaa. Kannattaa siis varautua siihen, että jotain menee rikki. Korjaaminen on onneksi helppoa.
wp-configin suojaaminen
Ihan näppärää on myös suojata WordPressin asetustiedosto wp-config.php. Kenellekään ei ole mitään syytä kajota siihen WordPressin ulkopuolelta, joten yksinkertainen säätö .htaccess-tiedostoon varmistaa, ettei näin pääse tapahtumaan. Lisää vain seuraava teksti .htaccess-tiedostoon WordPress-hakemistoosi.
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
Tiedosto on jo valmiina, jos olet tehnyt WordPressin osoiterakenteeseen muutoksia (toivottavasti olet), muuten sinun täytyy tehdä se itse. Tämä muutos ei vaikuta sivujesi toimintaan millään tavalla, mutta estää ulkopuolisia pääsemästä asetustiedostoon käsiksi. Tiedostossa ovat muun muassa tietokantatunnuksesi ja -salasanasi, joten se on hyvä suojata.
TimThumb-haavoittuvuus
Yksi roistojen hyödyntämä haavoittuvuus on TimThumb-apuohjelmassa, joka tekee thumbnail-kuvia automaattisesti. Tämä ei ole mitenkään WordPressin yksinoikeutta, mutta TimThumbia käytetään monissa teemoissa.
Jos teemasi tekee automaattisia thumbnail-kuvia, kannattaa tarkistaa käyttääkö se TimThumbia. Jos käyttää, teeman tiedostoista löytyy jostain timthumb.php. Se tulee ehdottomasti päivittää uuteen versioon. Nykyinen löytyy täältä. Korvaa tiedoston sisältö vaikka WordPressin tiedostomuokkaimella tuolla uudella versiolla, niin kaikki toimii kuten ennenkin, mutta haavoittuvuus on korjattu.
Tämä saitti käyttää Thesis-teemaa
Jos et ole PHP-, HTML- tai CSS-guru, Thesis tarjoaa runsaasti mahdollisuuksia muokata blogin ulkoasua ilman mitään muutoksia koodiin. Kehittyneille käyttäjille tarjolla on todella laajat mahdollisuudet kustomoida sivustoa kattavien koukkujen ja suodattimien avulla.
Jos olet asiantuntija, pystyt tekemään todella siistiä jälkeä, kiitos Thesiksen erinomaisten käyttöohjeiden ja laadukkaan tukifoorumin. Saat kaiken oman koodin siististi yhteen tiedostoon. Voit käyttää Thesiksen luotettavaa pohjaa ja teräksistä typografiaa kerta toisensa jälkeen ja tehdä silti aivan erinäköisiä sivustoja. Lue lisää Thesiksestä:
email: mikko (a) mikkosaari.fi