Posted in Teknologia, Tietoturva

WordPress-ohjelmisto on helppo asentaa, mutta palvelimen avaaminen internetiin vaatii muutakin

WordPress-ohjelmiston asentaminen on varsin suoraviivainen operaatio, mutta sen virittäminen sellaiseen kuntoon, että järjestelmä selviää teknisistä ongelmista ja väistämättömistä hakkerointiyrityksistä vaatii työtä.

WordPress-ohjelmiston käyttäjäksi voi ryhtyä perustamalla tilin WordPress.com-palveluun. Sitä hallinnoi ohjelmiston kehitykseen eniten investoiva yhtiö Automattic. Varsinkin yrityskäytössä tämän palvelun rajoitukset tulevat kuitenkin vastaan pian, jolloin on syytä siirtyä oman WordPress-järjestelmän hallintaan. Web hosting -palvelu on tätä varten helppo löytää, mutta WordPressin tuotantokäyttöön saattaminen vaatii lisätoimia. Tässä muutama tärkeä vinkki.

Tevya Washburn kirjoitti pitkän blogijutun jossa hän kertoi oman yrityksenä tarinan WordPress-hosting palveluiden tuottajana. Häneltä meni vuosia ennen kuin hän hallitsi kaikki mahdolliset ja mahdottomat tilanteen ohjelmiston kanssa. Näistä kokemuksista hän pystyi kiteyttämään tärkeimmät asiat, jotka tulee tehdä ja joita ei missään nimessä pidä tehdä kun laittaa omaa WordPress-palvelinta tuotantokuntoon. Yhdistin omat kokemukseni Tevyan kokemuksiin, joista muodostui seuraava lista.

Ehdottomasti tehtävät asiat oman WordPress-palvelimen rakentamisessa

Korkealla tasolla tämä kiteytyy kahteen asiaan:

  1. Vältä laittamasta järjestelmän kaikkia osia ja palveluita samaan koriin.
  2. Järjestelmän tietoturva ja sen toipuminen ongelmista on suunniteltu ja kunnossa ennen kuin tuotanto aloitetaan.

Konkreettisina tehtävinä tämä tarkoittaa:

  • Tilaa hosting-palvelu, joka tarjoaa optimoidun ympäristön WordPress-ohjelmistolle (tässä ei ole mitään mystiikkaa, vaan ympäristön voi hyvin rakentaa itsekin hosting-palveluun).
  • Konfiguroi jokainen WordPress-sivusto omaksi virtuaalipalvelimekseen.
  • Jos sivustoja on useita, niitä olisi hyvä sijoittaa eri palvelimille.
  • Käytä sen palvelutarjojan DNS-palvelua, josta ostit domain-nimen.
  • Hosting-palvelut tarjoavat usein kontrollipaneelia, jolla palvelinta voi monitoroida ja mahdollisesti myös konfiguroida. Se ei kuitenkaan riitä. Linuxin komentotulkkia ja käsin syötettäviä komentoja on syytä opetella.
  • Asenna palomuuri käyttöjärjestelmän puolelle. WordPressin firewall-pluginit voivat myös auttaa, mutta hyökkäykset tulisi ensisijaisesti pysäyttää WordPressin ulkopuolelle.
  • Muita WordPress-tietoturvaa parantavia plugineja voi myös asentaa. Esimerkiksi pääkäyttäjän login on eniten yritetty tapa murtautua järjestelmään, joten siihen on hyvä kiinnittää huomiota.

mies tietokoneen äärellä, ohjelmakoodia ruudulla. Kuva Jefferson Santos

Vältä näitä asioita WordPress-ohjelmiston asennuksessa

  • WordPress Multisite -ominaisuuden käyttöä ei suositella, vaan olisi parempi konfiguroida palvelimelle virtuaalipalvelimia.
  • Sähköpostipalvelinta ei pidä ajaa samassa palvelimessa. Sähköpostipalvelin spam-filttereineen voi vaatia paljon resursseja.
  • Aloita tuotantokäyttö vasta kun tietoturvakomponentit ovat paikoillaan.
  • Älä luota ainoastaan hosting-palvelun varmuuskopiointiin (jollei vielä ole kokemusta miten se toimii). Automaattinen varmuuskopiointi jonnekin toiselle koneelle, johon administraattorilla on aina pääsy on varma ratkaisu. Hosting-palvelun varmuuskopion palautus voi joskus olla riippuvainen asiakaspalvelun aukioloajoista.

WordPressin tietoturvasta

WordPress on eniten käytetty sisällönhallintajärjestelmä maailmassa, ja se on myös eniten hakkereita houkutteleva ohjelmisto. Mikäli murtautuja pääsee sisälle WordPress-palvelimeen, hän voi ottaa se hetkeksi omaan käyttöönsä, tai vielä pahempaa – piilottaa haittaohjelmia järjestelmään, jotka hiljakseen tekevät hämärähommia taustalla.

Monia palveluita ja ohjelmia on saatavilla palvelimen valvontaan ja myös korjaamiseen jos se on päätynyt vääriin käsiin. Olemme omilla WordPress-sivustoillamme seuranneet (ja ainakin toistaiseksi myös estäneet) hakkereiden hyökkäyksiä jo hyvän aikaa. Kolme eniten yritettyä murtautumistapaa ovat:

  1. Yritys kirjautua järjestelmään pääkäyttäjänä.
  2. Yritys käynnistää jokin WordPressiin kuuluva tai pluginin mukana tullut ohjelma palvelimella.
  3. xmlrpc.php:n kautta tunkeutuminen järjestelmään.

Pluginit ovat tunnetusti riskialttiita komponentteja. Ne tulisi pitää ajantasalla. WordPress osaa automaattisesti päivittää pluginit, mutta tässä piilee riski. Esimerkiksi jonkin pluginin uusi versio voi halvaannuuttaa osan WordPressin toiminnasta, koska plugin ei enää toimikaan yhteen muiden komponenttien kanssa. Näin on käynyt. Siinä on vain löydettävä oma tasapaino miten pluginien kanssa toimii.

Nämä olivat muutamia perusasioita WordPress-palvelimen saamiseksi tuotantokuntoon. Tärkeintä on tosiaan varmistaa, että perusasiat ovat kohdallaan ennen kuin palvelimen avaa maailmalle. Lisää tietoa tästä.

One thought on “WordPress-ohjelmisto on helppo asentaa, mutta palvelimen avaaminen internetiin vaatii muutakin

  1. lokitiedosto tosiaan näyttää jatkuvia yrityksiä kirjautua sisään. jotain tarttis tehdä.

Vastaa käyttäjälle kreeta Peruuta vastaus

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *