Tiedät, että se on ilkeä maailma tuolla ulkona, jossa pahantahtoiset toimijat vain kutkuttavat saada likaiset kätensä WordPress-sivustollesi. Tiedät myös, että sinun pitäisi luultavasti tehdä ”jotain” pitääkseen WordPress-sivustosi turvassa kaikilta näiltä pahiksilta.

Mitä et ehkä tiedä, on se, mikä tuo ”jotain” on.

Ei hätää – WordPress-sivuston turvaaminen ei vaadi sinulta ohjelmointigurua, kuten TV-sarjoissa nähdään. Tarvitset kuitenkin joitakin WordPressin tietoturvaliitännäisiä ja -työkaluja saadaksesi työn tehtyä.

Sen aion jakaa kanssasi tässä postauksessa.

Kerron kahdeksasta parhaasta WordPressin tietoturvaliitännäisestä ja -työkalusta sekä kunkin työkalun eduista ja haitoista. Sitten lopussa yritän auttaa sinua valitsemaan oikeat työkalut oman ainutlaatuisen tilanteesi perusteella.

Aluksi haluan kuitenkin aloittaa nopealla varoituksella…

WordPressin tietoturva ei koske vain liitännäisiä ja työkaluja

Kaikki tämän listan tietoturvaliitännäiset ja -työkalut auttavat sinua tekemään WordPressistä turvallisemman. Ne eivät kuitenkaan poista tarvetta toimia omalta osaltasi.

Ajattele niitä vähän kuin moottoripyöräkypärän käyttämistä. Toki – moottoripyöräkypärät auttavat suojaamaan sinua onnettomuustilanteessa, mutta ne eivät ole lupa lähteä ajamaan holtittomasti.

Nämä työkalut ovat samanlaisia. Ne antavat sinulle kaivattua suojaa, mutta sinun on silti ajettava turvallisesti, jos haluat pysyä turvassa.

Mitä on siis ”turvallinen ajaminen” WordPress-maailmassa? Puhun todella yksinkertaisista asioista, kuten:

  • WordPress-ohjelmiston, liitännäisten ja teemojen oikea-aikainen päivittäminen
  • Turvallisen salasanan käyttäminen WordPressin ylläpitäjätiliäsi ja web-hosting-tiliäsi varten
  • Käytät vain hyvämaineisilta kehittäjiltä/lähteistä peräisin olevia teemoja ja liitännäisiä
  • Sivustosi varmuuskopioiminen säännöllisin väliajoin

Nämä vinkit saattavat tuntua turhan yksinkertaisilta, mutta pelkästään näiden neljän asian tekeminen auttaa suojaamaan sinua useimmilta WordPressin tietoturvaongelmilta.

Sitten voit suojata sivustosi kaikelta muulta käyttämällä näitä WordPressin tietoturvaliitännäisiä ja -työkaluja.

Muutama keskeinen tietoturvatermi selitettynä, ennen kuin syvennymme asiaan

Vaikka nämä liitännäiset ja työkalut tekevät asioista melko yksinkertaisia, WordPressin tietoturva sisältää silti paljon termejä, joita et ehkä tunne.

Voidakseni auttaa sinua ymmärtämään, mitä nämä työkalut oikeastaan tekevät, haluan selittää muutamia yleisimpiä termejä, joita tulet näkemään loppupuolella postausta.

Ensiksi, tulet näkemään sanan palomuuri tulevan usein esiin (kutsutaan myös nimellä WAF: web application firewall). WordPress-sivustollasi palomuuri on periaatteessa sivustosi palvelimen ja kaiken saapuvan liikenteen välissä. Koska se on tässä asemassa, se pystyy tarkastamaan ja suodattamaan haitalliset toimijat ennen kuin ne edes pääsevät palvelimellesi.

Kaikki palomuurit eivät kuitenkaan ole samanlaisia. Ja valitsemasi palomuurin tehokkuus riippuu palomuurin tarjoajan asettamista säännöistä ja määrityksistä.

Toinen termi on haittaohjelmien skannaus, joka on sinulle todennäköisesti tutumpi. Aivan kuten skannaisit oman tietokoneesi virusten ja haittaohjelmien varalta, monet näistä työkaluista voivat skannata WordPress-sivustosi palvelimen haittaohjelmien varalta.

Viimeiseksi heittelen paljon termiä tietoturvan koventaminen. Nämä ovat periaatteessa pieniä hienosäätöjä, jotka yhdistettynä auttavat tekemään sivustostasi turvallisemman.

Kun tämä tieto on hallussa, kaivetaanpa lisäosia.

MalCare

MalCare on WordPressin tietoturva-lisäosa, joka, kuten nimestä varmaan arvaatkin, keskittyy haittaohjelmien havaitsemiseen ja poistamiseen.

Yksi niistä asioista, joista pidän MalCaressa verrattuna johonkin muuhun, kuten Wordfenceen, on se, että MalCare tekee skannauksensa omilla palvelimillaan. Haittaohjelmien skannaus on melko intensiivinen prosessi, joten jos lisäosa tekee skannaukset live-palvelimellasi, se voi hidastaa sivustosi toimintaa skannauksen ollessa käynnissä.

MalCare korjaa tämän käyttämällä omia palvelimia skannauksen tekemiseen.

Se on myös vain yleisesti rakennettu nappaamaan haittaohjelmia, joita muut lisäosat eivät nappaa. Ja jos se nappaa jotain, se tarjoaa haittaohjelmien poiston yhdellä napsautuksella, jotta pääset eroon haitallisesta tiedostosta.

MalCare sisältää myös palomuurin, mutta en usko, että se on yhtä laadukas kuin Sucuri, joten suosittelen silti Sucurin palomuuria sen sijaan, jos voit maksaa sen hinnan.

Sen lisäksi se tarjoaa myös joitain perusturvallisuuden koventamisia, kuten:

  • kirjautumissivulle
  • Limitoit kirjautumisyrityksiä
  • Tiedostojen muokkauksen esto
  • Tiedostojen suorittamisen esto uploads-kansiossa

Yleisesti ottaen MalCaren ainutlaatuisena myyntivaltuutena pidän kuitenkin palvelimen ulkopuolista haittaohjelmistojen skannausta. Sen avulla voit myös hallita useita sivustoja yhdeltä kojelaudalta, mikä on toinen mukava bonus.

Hinta:

Wordfence

Wordfence on WordPressin tietoturvan suurin nimi, etenkin kun kyse on all-in-one-ratkaisuista. Se on aktiivinen yli kahdella miljoonalla sivustolla ja ylläpitää samalla vaikuttavaa 4,8 tähden arvosanaa yli 3 000 arvostelussa.

Se riittää, kun sanotaan, että monet pitävät siitä.

Miksi se sitten on niin suosittu?

Ensiksikin, siitä on tarjolla antelias ilmaisversio (sekä premium-versio).

Toisekseen, se tarjoaa WordPressin tietoturvan all-in-one.

Laaja-alaisesti se sisältää web-sovellusten palomuurin, joka suodattaa ja estää haitallisen liikenteen, sekä sisäänrakennetun haittaohjelmien skannerin, joka tarkistaa tiedostosi haittaohjelmien, takaovien ja muiden haitallisten injektioiden varalta.

Sekä ilmais- että Pro-versio sisältävät nämä kaksi keskeistä ominaisuutta, mutta Pro-versio tarjoaa molempiin enemmän reaaliaikaista lähestymistapaa. Esimerkiksi Pro-version palomuuri saa reaaliaikaisia palomuurisääntöpäivityksiä, kun taas ilmaisversio päivittyy vain 30 päivän välein.

Samoin Pro-version haittaohjelmatarkistus päivittää allekirjoituksensa reaaliaikaisesti, kun taas ilmaisversio päivittää ne 30 päivän viiveellä.

Jos siis haluat suojaa uusimpia hyväksikäyttökohteita vastaan, sinun kannattaa valita Pro-versio.

Näiden laajojen suojausten lisäksi se tekee myös paljon pieniä hienosäätöjä, jotka voivat edelleen koventaa sivustoasi. Tarkoitan esimerkiksi seuraavia asioita:

  • Kahden tekijän todennus sisäänkirjautumisen turvaamiseksi
  • Päivitysilmoitukset
  • Sähköpostihälytykset tärkeistä toimista, kuten ylläpitäjätilin kirjautumisesta sisään
  • Kirjautumisyritysten rajoittaminen (estää automaattisesti käyttäjät, jotka syöttävät vääriä salasanoja/käyttäjänimiä liian monta kertaa)
  • Pakottaa vahvoja salasanoja

Hinta: WordPress.org. Pro-versio alkaa 99 dollarista vuodessa, tosin saat alennusta, jos ostat useamman vuoden kerrallaan.

iThemes Security

iThemes Security on toinen suosittu all-in-one-tietoturvaratkaisu, joka on saatavana sekä maksuttomana että premium-versiona.

iThemes Security ei sisällä palomuuria, kuten esimerkiksi Wordfence, mutta se tarjoaa haittaohjelmistojen tarkistuksen.

Haittaohjelmien skannauksen lisäksi se sisältää myös koko joukon pienempiä tietoturvatarkennuksia, joilla voit kovettaa WordPress-sivustoasi.

Esimerkiksi se tekee useita asioita kirjautumissivusi suojaamiseksi, kuten:

  • Kirjautumissivun piilottaminen.
  • Hostien/käyttäjien, joilla on liian monta epäonnistunutta sisäänkirjautumispyrkimystä, estäminen suojaa raa’an voiman avulla tehdyiltä hyökkäyksiltä.
  • Vahvojen salasanojen pakottaminen kaikille käyttäjätunnuksille.
  • ”admin”-tilin uudelleennimeäminen, jos käytät edelleen käyttäjätunnuksena admin.
  • Kirjautumisvirheilmoitusten poistaminen.
  • Kahden tekijän todennuksen tarjoaminen (Pro).

Sitten on paljon muita pieniä hienosäätöjä, joista monet näet WordPressin tietoturvaoppaista:

  • Tiedostojen muokkauksen poistaminen näytönäytössä.
  • Poista päivitysilmoitukset luvattomille käyttäjille.
  • Muuta WordPress-tietokannan etuliitettä.
  • Muuta wp-content-polkua.
  • Loggaa käyttäjän toimet.

Jos haluat käyttää iThemes Securityä, kehittäjät suosittelevat sen yhdistämistä Sucurin WordPress-palomuurin kanssa, jota käsittelemme seuraavaksi.

Hinta: Ilmainen osoitteessa WordPress.org. Pro-versio alkaa 80 dollarista vuodessa.

Sucuri

Sucuri on suosittu verkkosivustojen tietoturvaratkaisu, jolla on kaksi eri tuotetta, jotka auttavat WordPressin tietoturvassa:

  • Vapaa lisäosa
  • Maksullinen palomuuripalvelu

Voit yhdistää molemmat yhdessä, tai voit halutessasi käyttää vain jompaakumpaa (tai yhdistää palomuurin toisen lisäosan kanssa, kuten iThemesin tietoturva).

Sucuri-lisäosa

Sucurin tietoturva-lisäosa on saatavilla ilmaiseksi WordPress.org-sivustolla. Se ei sisällä palomuuritoimintoja, mutta se tekee paljon sivustosi turvallisuuden eteen (ja se voi auttaa sinua integroimaan palomuurin, jos päätät maksaa siitä).

Ensinnäkin se sisältää toiminnan tarkastuksen ja tiedostojen eheyden valvonnan. Periaatteessa nämä kaksi ominaisuutta auttavat sinua seuraamaan, mitä sivustollasi tapahtuu. Toiminnan auditointi voi esimerkiksi näyttää epäonnistuneet kirjautumisyritykset, ja tiedostojen eheyden valvonta voi kertoa, onko jotakin WordPressin ydintiedostoa muutettu.

Tämän lisäksi lisäosa sisältää perushaittaohjelmien skannauksen. Tämä toiminto on pohjimmiltaan Sucurin ilmaisen SiteCheck-skannerin näyttöruututoteutus. Sellaisenaan se on rajoitetumpi kuin monet muut ratkaisut, eikä se pysty havaitsemaan kaikkia haittaohjelmia.

Loppujen lopuksi Sucurin lisäosa sisältää myös joitain WordPressin tietoturvan perusparannuksia, kuten PHP-tiedostojen estämisen uploads-hakemistossa ja tiedostojen muokkauksen poistamisen käytöstä hiusruutuun.

Hinta: Sucuri Firewall

Siinä missä Sucurin laajennuksessa on kyse seurannasta ja peruskarkaisusta, Sucurin palomuuripalvelu torjuu uhkia ennakoivasti ennen kuin ne tapahtuvat ja suojaa myös DDoS-hyökkäyksiltä.

Haitallisten bottien ja tunnettujen hyväksikäyttökohteiden estämisen lisäksi Sucuri käyttää myös suurta verkostoaan ja koneoppimista parantaakseen jatkuvasti palomuurisääntöjään ja suojatakseen sivustosi uusilta löydetyiltä hyväksikäyttökohteilta.

Lisäksi Sucuri antaa sinun luoda omia palomuurisääntöjäsi. Voit esimerkiksi antaa Sucurin rajoittaa pääsyn WordPressin kojelautaan tiettyihin valkoiselle listalle merkittyihin IP-osoitteisiin.

Kivana bonuksena Sucuri-palomuuri sisältää myös CDN:n sivustosi nopeuttamiseksi, vaikka sillä ei olekaan mitään tekemistä WordPressin tietoturvan kanssa!

Hinta: 199,99 dollaria/vuosi Basic-paketti, Pro-paketti 299,99 dollaria/vuosi.

WebARX

WebARX on suhteellisen uusi palvelu, joka lisää verkkosivuillesi turvallisen palomuurin sekä muutamia muita ominaisuuksia.

Se ei ole spesifinen WordPressille, mutta se sisältää WordPress-lisäosan, joka helpottaa asennusta.

Yksi WebARXin mukavista puolista on se, että sen avulla on helppo valvoa kaikkia verkkosivustojasi yhdeltä kojelaudalta. Jos sinulla on siis paljon pienempiä sivustoja hajallaan, tämä on kätevä tapa pitää niitä kaikkia silmällä yhdestä paikasta.

Palomuurin lisäksi, joka suojaa sivustoasi hyökkäyksiltä ja pahansuovilta boteilta, WebARX sisältää myös käytettävyyden ja turmeltumisen seurannan. Jos sivustosi kaatuu tai sitä häpäistään, saat ilmoituksen sähköpostitse tai Slackin kautta. Tämäkin on hyödyllistä, jos sinulla on joukko pieniä sivustoja, joita et tarkista kovin usein.

Hinta: Alkaa 14,99 dollaria/kk, säästät 15 % vuositilauksella.

VaultPress (osa Jetpackia)

VaultPress on varmuuskopiointi- ja tietoturvapalvelu Automatticilta, samalta yhtiöltä, joka on WordPress.comin takana. Se on osa maksullisia Jetpack-paketteja, joten saat käyttöösi myös kaikki muut Jetpackin premium-ominaisuudet, jos valitset VaultPressin.

MalCaren tavoin yksi VaultPressin hienouksista on se, että se tekee tietoturvaskannauksen omilla palvelimillaan, mikä varmistaa, että sivustosi suorituskyky ei koskaan kärsi.

Näin se toimii:

Varmuuskopioi sivustosi automaattisesti päivittäin suojatuille palvelimilleen. Sitten se skannaa juuri varmuuskopioidut tiedostot haittaohjelmien tai muiden soluttautumisten varalta.

Korkeimman tason paketissa VaultPress voi myös korjata automaattisesti kaikki havaitsemansa tietoturvaongelmat (halvin taso tosin tukee vain ”manuaalista ratkaisua”).

Kaiken kaikkiaan VaultPress on hyvä vaihtoehto, jos haluat jotakin, jossa yhdistyvät tietoturvaskannaus ja varmuuskopiointi. Saatat kuitenkin edelleen haluta erillisen palomuuriratkaisun.

Hinta: Security Daily -paketti maksaa 11,40 puntaa/kk tai 9,55 puntaa/kk (laskutetaan vuosittain).

Cloudflare

Cloudflarea pidetään yleisesti suorituskykyä parantavana työkaluna sen CDN-toimintojen vuoksi. Äläkä ymmärrä väärin – se on hyvä vaihtoehto WordPress-sivuston nopeuttamiseen.

Mutta koska Cloudflare toimii käänteisenä välityspalvelimena, se on myös erinomainen työkalu WordPress-sivuston suojaamiseen. Pohjimmiltaan käänteinen välityspalvelin asettuu kävijöiden selainten ja verkkosivustosi palvelimen väliin ja ohjaa liikennettä, minkä ansiosta se voi suodattaa pahantahtoiset toimijat pois.

Cloudflaren ilmaispaketti tarjoaa perusturvan DDoS-suojauksen ja maineeseen perustuvan uhkasuojauksen muodossa (estää tunnettuja pahantahtoisia uhkia pääsemästä sivustollesi).

Jos olet valmis maksamaan, kautta, Cloudflaren maksulliset paketit sisältävät web-sovellusten palomuurin sekä IP-valkoluettelosääntöjä.

Jos käytät Cloudflarea jo sen suorituskykyä parantavien ominaisuuksien vuoksi, kannattaa harkita maksullisiin paketteihin päivittämistä, jotta voit hyödyntää web-sovellusten palomuuria.

Hinta: Ilmainen perusturvan kanssa. Maksulliset suunnitelmat palomuurin kanssa alkavat 20 dollarista kuukaudessa

Login No re

Login No re on paljon pienempi ratkaisu kuin kaikki muut laajennukset. Kun muut työkalut keskittyvät kaikki palomuureihin, haittaohjelmien skannaukseen ja muihin isoihin hienosäätöihin, Login No re tekee oikeastaan vain yhden asian:

Lisää Google re -suojauksen kirjautumissivullesi.

Tämä on helppo tapa suojata kirjautumissivusi brute force -hyökkäyksiltä ja pitää luvattomat käyttäjät poissa.

Jotkut all-in-one-security-pluginit lisäävät tämän toiminnallisuuden jo valmiiksi tähänkin toimintoon (esimerkiksi iThemesin tietoturva). Mutta jos päätät olla käyttämättä jotakin näistä all-in-one-ratkaisuista, sinun kannattaa silti harkita Login No re -toimintoa kirjautumissivusi lukitsemiseksi.

Hinta: 100 % ilmainen

Mikä näistä WordPressin tietoturvaliitännäisistä ja -työkaluista sopii tarpeisiisi?

Et varmastikaan halua käyttää kaikkia näitä tietoturvaliitännäisiä ja -työkaluja sivustollasi. Mitkä niistä sinun pitäisi siis valita? Miten rakennat tietoturvapinosi?

Ennen kuin teet valintasi, suosittelen, että tarkistat, mitä WordPress-isäntäsi jo tekee. Jotkut isännät – erityisesti hallinnoidut WordPress-isännät – saattavat jo toteuttaa palomuurit ja haittaohjelmien skannauksen puolestasi palvelintasolla. Jos näin on, niiden toimia ei siis tarvitse monistaa.

Kun tiedät, mitä isäntäsi jo tekee, tässä on muutamia vinkkejä ratkaisujen valintaan.

Jos haluat verkkosivuston palomuurin, Sucuri Firewall on paras vaihtoehto kriittisille sivustoille, kun taas MalCare tarjoaa edullisemman version, jossa on kojelauta, jolla on helppo hallita useita sivustoja.

Jos haluat haittaohjelmien skannauksen, MalCare ja VaultPress ovat hyviä vaihtoehtoja, koska ne eivät suorita skannauksia palvelimellasi.

Voit myös yhdistää palomuurin ja haittaohjelmien skannauslisäosan. Voit esimerkiksi käyttää WebARXia palomuuriin ja MalCarea haittaohjelmien skannaukseen. Vaikka Malcare tarjoaa teknisesti palomuurin, se ei ole palvelun vahvuus. Siksi sinun on parempi poistaa Malcaren plugin-pohjainen palomuuri käytöstä ja yhdistää se johonkin WebARXin tai Sucurin kaltaiseen palveluun.

Jos isäntäsi on jo toteuttanut palomuurit ja haittaohjelmien skannauksen puolestasi, voit jättää nämä pluginit väliin, mutta suosittelen silti Login No re -palvelun kaltaisen pluginin lisäämistä kirjautumissivun lukitsemiseen. Wordfence ja WebARX sisältävät kuitenkin tämän ominaisuuden sisäänrakennettuna, joten ne eivät vaadi ylimääräistä lisäosaa.

Loppujen lopuksi sinulla on all-in-one-turvaliitännäisiä, kuten Wordfence ja iThemes Security. Nämä lisäosat tekevät tietoturvasta todella yksinkertaista, mikä on hyvä. Mutta koska ne ovat aina päällä ja käynnissä palvelimellasi, ne voivat myös hidastaa sivustosi toimintaa, mikä on huono asia.

Sen vuoksi en itse käytä niitä ja valitsen mieluummin haluamani erityiset tietoturvaominaisuudet.

Sen sanottuani tunnustan niiden hyödyn yksinkertaisuuden kannalta.

Huomautus: Wordfencea ja iThemes Securitya ei pitäisi käyttää yhdessä. Jos päätät mennä ”all-in-one security plugin” -reittiä pitkin – käytä vain yhtä.

Jos siis tunnet olevasi hukkua kaikkiin näihin vaihtoehtoihin ja haluat vain jotain, joka on helppokäyttöinen suoraan laatikosta, nuo kaksi ovat varmasti vakaita vaihtoehtoja. Mutta kiinnitä tarkkaan huomiota sivustosi latausaikoihin ennen ja jälkeen varmistaaksesi, ettei havaittavaa hidastumista tapahdu.

Disclosure: Tämä viesti sisältää affiliate-linkkejä. Tämä tarkoittaa, että saatamme saada pienen provision, jos teet ostoksen.

831Shares

Vastaa

Sähköpostiosoitettasi ei julkaista.