WordPress on maailman käytetyin julkaisujärjestelmä, mutta samalla se on myös yksi yleisimmistä kyberhyökkäysten kohteista. Tietoturvan testaaminen ei ole pelkästään suurten yritysten vastuulla – jokaisen sivuston omistajan kannattaa säännöllisesti arvioida oman sivustonsa suojaustaso. Onneksi monia tarkistuksia voi tehdä itse ilman syvää teknistä osaamista.
Tietoturvatesti alkaa aina perusasioista: onko WordPressin, teemojen ja lisäosien versiot ajan tasalla?...
Moni ei tiedä, että WordPress voi paljastaa käyttäjien käyttäjätunnukset REST API:n tai kirjoittajalinkkien kautta. Tämä on hyökkääjälle arvokas tieto, sillä se on puolet kirjautumisesta....
Tietoturvatestiin kuuluu myös kirjautumisen suojaus. Kokeile itse luoda uusi käyttäjä tai vaihtaa salasana ja katso, varoittaako WordPress heikoista salasanoista....
Useita työkaluja voi käyttää itse ilman ohjelmointiosaamista. Tässä kolme suosittua vaihtoehtoa:...
WordPressin oletuskirjautumissivu (/wp-login.php) on hyökkäysten yleinen kohde. Testaa, onko sivu altis brute force -yrityksille....
WordPressin hallinnasta löytyy kohta Ulkoasu → Tiedoston muokkain, jonka kautta hyökkääjä voisi muokata teematiedostoja, jos pääsee adminiksi. Tämä tulisi poistaa käytöstä kokonaan....
Avaa selaimessa sivustosi ja varmista, että osoite alkaa https:// ja selaimen osoitepalkissa näkyy lukko....
Lokitiedot kertovat paljon siitä, mitä sivustolla tapahtuu. Testaa, tallentaako palvelimesi lokit ja näkyvätkö niissä epäilyttävät kirjautumiset tai 404-virheet....
Tietoturva ei ole täydellinen ilman palautussuunnitelmaa. Tee testi:...
Viimeiseksi kannattaa tarkistaa, onko sivusto indeksoinut tiedostoja, joita ei pitäisi näkyä....
WordPressin tietoturvan testaaminen ei vaadi ammattilaista – se vaatii huolellisuutta ja säännöllisiä tarkistuksia....
Tässä artikkelissa käymme läpi, miten voit testata WordPressin tietoturvaa itse vaihe vaiheelta, käyttäen turvallisia ja luotettavia menetelmiä.
1. Päivitykset ja versiotarkistus
Tietoturvatesti alkaa aina perusasioista: onko WordPressin, teemojen ja lisäosien versiot ajan tasalla?
Hyökkääjät etsivät sivustoja, joissa on vanhentuneita versioita, koska niissä on usein tunnettuja haavoittuvuuksia.
Tarkista seuraavat asiat:
-
WordPress-versio: Käy kohdassa Ohjausnäkymä → Päivitykset ja varmista, että käytät uusinta versiota.
-
Lisäosat ja teemat: Poista kaikki, joita et enää käytä, ja päivitä loput.
-
Automaattiset päivitykset: Ota käyttöön automaattiset tietoturvapäivitykset, esimerkiksi lisäämällä
define('WP_AUTO_UPDATE_CORE', true);wp-config.php-tiedostoon.
Voit myös tarkistaa, näkyykö WordPressin versio julkisesti sivustosi lähdekoodissa. Avaa sivun lähdekoodi (Ctrl+U) ja etsi rivi meta name="generator" content="WordPress X.X". Jos löydät sen, piilota se lisäämällä tämä koodi functions.php-tiedostoon:
remove_action('wp_head', 'wp_generator');
2. Testaa käyttäjätunnusten näkyvyys
Moni ei tiedä, että WordPress voi paljastaa käyttäjien käyttäjätunnukset REST API:n tai kirjoittajalinkkien kautta. Tämä on hyökkääjälle arvokas tieto, sillä se on puolet kirjautumisesta.
Tee testi:
-
Mene osoitteeseen
https://sinunsivusto.fi/wp-json/wp/v2/users -
Jos näet listan käyttäjiä ja tunnuksia, rajapinta on liian avoin.
Voit estää tämän lisäämällä functions.php-tiedostoon seuraavan suodattimen:
add_filter('rest_endpoints', function($endpoints) {
if (isset($endpoints['/wp/v2/users'])) {
unset($endpoints['/wp/v2/users']);
}
return $endpoints;
});
Tämä piilottaa käyttäjälistauksen REST API -rajapinnasta.
3. Tarkista salasanan vahvuus
Tietoturvatestiin kuuluu myös kirjautumisen suojaus. Kokeile itse luoda uusi käyttäjä tai vaihtaa salasana ja katso, varoittaako WordPress heikoista salasanoista.
Käytä salasanoja, jotka sisältävät:
-
vähintään 12 merkkiä
-
isoja ja pieniä kirjaimia
-
numeroita ja erikoismerkkejä
-
ei mitään todellista sanaa tai nimeä
Voit vahvistaa käytäntöä lisäämällä koodin, joka pakottaa vahvat salasanat kaikille:
add_action('user_profile_update_errors', function($errors, $update, $user) {
if (isset($_POST['pass1']) && !wp_check_password_strength($_POST['pass1'])) {
$errors->add('weak_password', __('Salasana on liian heikko. Käytä vahvempaa.'));
}
}, 10, 3);
4. Skannaa sivusto tietoturvatyökaluilla
Useita työkaluja voi käyttää itse ilman ohjelmointiosaamista. Tässä kolme suosittua vaihtoehtoa:
-
WPScan (https://wpscan.com)
Käytä komentoriviltä tai selaimesta tarkistaaksesi, löytyykö sivustostasi tunnettuja haavoittuvuuksia.
Esim.wpscan --url https://sinunsivusto.fi -
Wordfence Security
WordPress-lisäosa, joka skannaa haitalliset tiedostot, epäilyttävät linkit ja tunkeutumisyritykset. -
Sucuri onlineCheck
Verkkopohjainen skanneri, joka tunnistaa haittaohjelmat ja mustat listat.
Kun suoritat nämä testit, tarkista erityisesti:
-
Löytyykö vanhentuneita lisäosia
-
Onko sivusto listattu mustilla listoilla (Google Safe Browsing, Norton, McAfee)
-
Löytyykö tuntemattomia tiedostoja
wp-content-hakemistosta
5. Testaa kirjautumissivun suojaus
WordPressin oletuskirjautumissivu (/wp-login.php) on hyökkäysten yleinen kohde. Testaa, onko sivu altis brute force -yrityksille.
Voit tehdä sen itse seuraavasti:
-
Yritä kirjautua sisään useita kertoja väärillä tunnuksilla. Jos saat rajattomasti yrityksiä, sivusto ei rajoita kirjautumisia.
-
Asenna lisäosa kuten Limit Login Attempts Reloaded tai käytä Wordfencea rajoittamaan yrityksiä ja estämään IP-osoitteita.
Lisäksi voit vaihtaa kirjautumissivun osoitteen esimerkiksi lisäosalla WPS Hide Login, jolloin bottihyökkäykset eivät löydä sitä helposti.
6. Testaa tiedostojen muokkaus ja pääsyoikeudet
WordPressin hallinnasta löytyy kohta Ulkoasu → Tiedoston muokkain, jonka kautta hyökkääjä voisi muokata teematiedostoja, jos pääsee adminiksi. Tämä tulisi poistaa käytöstä kokonaan.
Lisää wp-config.php-tiedostoon:
define('DISALLOW_FILE_EDIT', true);
Tämän lisäksi testaa tiedostojen oikeudet. FTP:llä tai File Managerilla tarkista, että:
-
wp-config.phpon vähintään 600 -
wp-content/uploadson 755 -
Ei ole ylimääräisiä
test.phptaiinfo.php-tiedostoja juurihakemistossa
7. Testaa SSL-sertifikaatti ja HTTPS-yhteys
Avaa selaimessa sivustosi ja varmista, että osoite alkaa https:// ja selaimen osoitepalkissa näkyy lukko.
Jos ei näy, hanki SSL-sertifikaatti (esim. Let’s Encrypt) ja pakota HTTPS lisäämällä .htaccess-tiedostoon:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Voit myös tarkistaa SSL:n kunnon palvelulla https://www.ssllabs.com/ssltest/.
8. Tarkista tietoturvalokit
Lokitiedot kertovat paljon siitä, mitä sivustolla tapahtuu. Testaa, tallentaako palvelimesi lokit ja näkyvätkö niissä epäilyttävät kirjautumiset tai 404-virheet.
Hyvä käytäntö on asentaa Activity Log tai WP Security Audit Log, jotka näyttävät:
-
kuka kirjautui ja milloin
-
mitä tiedostoja muokattiin
-
mitä lisäosia asennettiin
Jos huomaat tuntemattomia toimia, vaihda salasanat ja tarkista sivuston tiedostot.
9. Testaa varmuuskopiot ja palautus
Tietoturva ei ole täydellinen ilman palautussuunnitelmaa. Tee testi:
-
Palauta varmuuskopio testipalvelimelle tai aliverkkotunnukseen.
-
Varmista, että tiedostot ja tietokanta toimivat.
Jos varmuuskopio ei avaudu tai on liian vanha, varmuuskopiointiratkaisu ei toimi luotettavasti. Hyviä vaihtoehtoja ovat UpdraftPlus, VaultPress tai palvelintason varmuuskopiot.
10. Tarkista piilotetut tietovuodot
Viimeiseksi kannattaa tarkistaa, onko sivusto indeksoinut tiedostoja, joita ei pitäisi näkyä.
Kokeile hakukoneessa:
online:sinunsivusto.fi wp-content/uploads
online:sinunsivusto.fi wp-json
Jos löydät yksityisiä tiedostoja (esim. varmuuskopioita, lomaketietoja, logeja), siirrä ne palvelimen ulkopuolelle tai suojaa .htaccess-tiedostolla.
Yhteenveto
WordPressin tietoturvan testaaminen ei vaadi ammattilaista – se vaatii huolellisuutta ja säännöllisiä tarkistuksia.
Käymällä läpi nämä kymmenen vaihetta:
-
Päivitysten tarkistus
-
Käyttäjätunnusten suojaus
-
Salasanojen vahvuus
-
Tietoturvaskannaus
-
Kirjautumissivun suojaus
-
Tiedostojen oikeudet
-
SSL-tarkistus
-
Lokiseuranta
-
Varmuuskopiointi
-
Piilotettujen tietojen tarkistus
– voit varmistaa, että WordPress-sivustosi kestää hyökkäyksiä ja pysyy turvallisena myös tulevaisuudessa.
📚 Aiheeseen liittyvät artikkelit
8 artikkelia
Miksi jotkut WordPress-sivustot kestävät miljoonia kävijöitä?
WordPressistä puhutaan usein pienten yrityssivustojen, blogien ja verkkokauppojen alustana, mutta todellisuudessa sitä käytetään myös...
Lue lisää →
WordPressin piilotetut tietoturvariskit, joista harva puhuu
Kun WordPressin tietoturvasta keskustellaan, huomio kiinnittyy usein tuttuihin aiheisiin kuten vahvoihin salasanoihin, kaksivaiheisee...
Lue lisää →
Kuinka paljon WordPress kuluttaa palvelinresursseja oikeasti?
WordPressistä puhutaan usein joko erittäin kevyenä tai yllättävän raskaana järjestelmänä. Totuus on, että WordPressin resurssikulutus ri...
Lue lisää →
Mitä tapahtuu WordPressille, jos JavaScript poistetaan käytöstä?
JavaScript on nykyisten verkkosivustojen tärkeimpiä teknologioita. Vaikka WordPress perustuu edelleen vahvasti PHP:hen ja palvelimell...
Lue lisää →
WordPress-sivuston hiilijalanjälki – miten sitä voi pienentää?
Verkkosivustot tuntuvat usein aineettomilta, mutta todellisuudessa jokainen sivulataus kuluttaa energiaa. Kun käyttäjä avaa WordPress...
Lue lisää →
Voiko tekoäly korvata WordPress-lisäosat tulevaisuudessa?
Tekoäly on muuttanut verkkosivujen rakentamista nopeammin kuin moni osasi vielä muutama vuosi sitten ennustaa. Sisällöntuotanto, kuvien...
Lue lisää →
WordPressin lokitiedostot ongelmanratkaisun työkaluna
Kun WordPress-sivustolla ilmenee ongelmia, ensimmäinen reaktio on usein tarkistaa lisäosat, teema tai viimeisimmät muutokset. Monissa t...
Lue lisää →
Kuinka estää tarpeettomat skriptit WordPressissä
Facebook X WhatsApp WordPress-sivuston suorituskykyyn vaikuttavat monet tekijät, mutta yksi yleisimmistä ongelmista liittyy tarpeettomiin JavaScript- ja CSS-tiedostoihin. Moni lisäosa ja…
Lue lisää →