WordPress-tietoturva

Tarkista WordPress-sivustosi tietoturva

Selvitä maksutta, mitä WordPress-sivustostasi on julkisesti havaittavissa: HTTPS, tietoturvaotsakkeet, hakemistolistaukset, oletustiedostot ja muut yleiset asetukset. Tarkistus kestää vain muutaman sekunnin eikä tee muutoksia sivustollesi.

Mitä hakemistolistaus tarkoittaa?

Hakemistolistaus tarkoittaa palvelimen asetusta, joka näyttää selaimessa automaattisen luettelon hakemiston tiedostoista ja alihakemistoista silloin, kun hakemistossa ei ole sopivaa aloitussivua tai listaus on erikseen sallittu.

Miksi se kannattaa poistaa käytöstä?

Julkinen hakemistolistaus voi paljastaa muun muassa tiedostojen ja kansioiden nimiä, tiedostojen muokkauspäivämääriä, WordPressin hakemistorakennetta, vanhoja tai tarpeettomia tiedostoja sekä tietoa, joka helpottaa sivuston teknistä kartoittamista.

Hakemistolistaus ei yksinään tarkoita, että sivusto olisi murrettu. Se on kuitenkin yleensä tarpeeton tiedonpaljastus ja suositeltavaa poistaa käytöstä.

Miten ongelma korjataan?

Korjaustapa riippuu palvelimesta ja hosting-ympäristöstä. Hakemistolistauksen voi poistaa käytöstä esimerkiksi Apache- tai nginx-palvelimen asetuksissa, hosting-paneelin turva-asetuksissa tai WordPress-ympäristön konfiguraatiossa. Toteutus tehdään aina ympäristöön sopivalla tavalla.

Usein kysytyt kysymykset

Tarkistus käy läpi sivuston HTTPS-yhteyden, TLS-varmenteen, yleisiä HTTP-tietoturvaotsakkeita, WordPress-hakemistojen selattavuutta, version julkista näkymistä, oletustiedostoja, XML-RPC-rajapinnan saatavuutta, mahdollisia PHP-virheilmoituksia sekä rajatun joukon yleisiä varmuuskopiotiedostoja. Tarkistus perustuu vain julkisiin HTTP-vastauksiin.

Ei. Automaattinen tarkistus havaitsee vain osan ulospäin näkyvistä asetuksista ja ongelmista. Se ei tarkista kirjautumisen takana olevia asetuksia, lisäosien todellista päivitystilannetta, käyttäjätilien turvallisuutta, haittaohjelmia, tietokantaa tai palvelimen sisäisiä asetuksia.

Hakemistolistaus ei yleensä yksin mahdollista sivustolle murtautumista. Se voi kuitenkin paljastaa tarpeettomasti sivuston tiedostoja ja rakennetta sekä helpottaa muiden ongelmien kartoittamista.

Ei. Tarkistus kertoo vain havainnoista julkisesti näkyvissä asetuksissa. Se ei tarkoita, että sivustolle olisi murtauduttu.

Ei. Tarkistus lähettää tavallisen verkkosivupyynnön vain ennalta määritettyihin julkisiin osoitteisiin. Se ei kirjaudu sivustolle eikä muuta tiedostoja tai asetuksia.

Ei. Automaattinen tarkistus käy läpi joukon julkisesti havaittavia WordPress- ja palvelinasetuksia, kuten HTTPS-yhteyden, tietoturvaotsakkeita, hakemistolistauksia, julkisia oletustiedostoja ja mahdollisia virheilmoituksia. Tarkistus ei kirjaudu sivustolle eikä korvaa laajaa manuaalista tietoturvatarkastusta.

Uploads-hakemisto voi sisältää kuvia, dokumentteja ja muita sivustolle ladattuja tiedostoja. Julkinen hakemistolistaus voi helpottaa sellaisten tiedostojen löytämistä, joihin ei muuten olisi suoraa linkkiä.

Wp-includes sisältää WordPressin ydintoimintoihin kuuluvia tiedostoja. Hakemiston listaaminen ei yleensä ole tarpeellista ja paljastaa ulkopuolisille tietoa sivuston teknisestä rakenteesta.

Yksinkertainen hakemistolistauksen korjaus voidaan yleensä tehdä nopeasti sen jälkeen, kun olemme saaneet tarvittavat käyttöoikeudet. Vahvistamme aikataulun ennen työn aloittamista.

Oikein toteutettuna hakemistolistauksen poistaminen ei estä WordPressiä käyttämästä tiedostoja eikä vaikuta sivuston normaaliin toimintaan.

Sivustosi tekijä ei ollut huono. Täytyy muistaa, ettei 100% tietoturvaa ikinä ole. On myös täysin eri asia olla taitava graafisesti, tekniset toteutuksen osalta ja tietoturvan osalta.

Seuraukset vaihtelevat ongelman vakavuuden mukaan. Hyökkääjä voi muuttaa sivuston sisältöä, ohjata kävijöitä huijaussivuille, levittää haittaohjelmia tai käyttää sivustoa roskapostin lähettämiseen. Vakavammissa tapauksissa hyökkääjä voi päästä käsiksi yhteydenottolomakkeiden kautta lähetettyihin tietoihin, käyttäjätunnuksiin tai muihin sivustolle tallennettuihin tietoihin.

Olemme itsekin pieni yritys ja tiedämme, että tietoturvapalveluiden kustannukset voivat tuntua pienelle yritykselle korkeilta. Haluamme auttaa erityisesti pieniä yrityksiä parantamaan verkkosivustojensa turvallisuutta matalalla kynnyksellä.

Ei tarvitse. Voit korjauttaa havaitun ongelman millä tahansa valitsemallasi palveluntarjoajalla tai oman ylläpitäjäsi kautta. Tärkeintä on, että havainto tulee asianmukaisesti korjatuksi.