Kuidas WordPressi turvalisust kontrollida ja parandada

WordPress on maailma populaarseim veebisaidi platvorm — ja just seetõttu on see ka häkkerite lemmiksihtmärk. Hea uudis on see, et enamiku turvariskide vastu saab ise midagi ette võtta, ilma et peaksid olema tehniline ekspert. Selles postituses käin läbi 10 kõige olulisemat turvasammu, mida iga WordPressi saidi omanik peaks teadma.

1. Hoia WordPress, teemad ja pluginad alati ajakohasena

Miks see oluline on: Enamik häkkimisi toimub läbi tuntud turvaaukude, mille jaoks on juba parandus olemas — aga mida kasutaja pole veel uuendanud. Vananenud plugin on nagu lahtine uks.

Kuidas parandada: Mine WordPressi admin-paneelis Töölaud → Uuendused ja uuenda kõik, mis seal kirjas on — WordPress ise, pluginad ja teemad. Seadista automaatsed minor-uuendused, et väikesed turvaparandused toimuksid ise.

2. Kasuta tugevaid paroole ja kaheastmelist autentimist

Miks see oluline on: Lühike või lihtne parool (nt “admin123”) purustatakse automaatsete tööriistadega mõne minutiga. Kui lisad kaheastmelise autentimise, siis isegi parool käes — ilma telefonita sisse ei pääse.

Kuidas parandada: Vaheta oma parool vähemalt 16-märgilise juhuslike tähemärkide kombinatsiooni vastu (kasuta paroolihaldurit nagu 1Password või Bitwarden). Kaheastmelise autentimise saad lisada näiteks pluginaga WP 2FA.

3. Muuda admin-kasutajanimi millekski mitte-äraarvatavaks

Miks see oluline on: Bots proovivad pidevalt sisse logida kasutajanimedega nagu “admin”, “administrator” või “test”. Kui selline kasutajanimi eksisteerib, on pool tööd juba tehtud.

Kuidas parandada: Loo uus admini konto eesnime-tüüpi kasutajanimega, määra sellele admini õigused, logi sisse uue kontoga ja kustuta vana “admin” konto. Sama tulemusega.

4. Piira sisselogimiskatseid

Miks see oluline on: Ilma piiranguta saab bot proovida tuhandeid paroolide kombinatsioone järjest. Seda nimetatakse brute-force rünnakuks ja see on üks levinuim viis WordPressi saitide häkkimiseks.

Kuidas parandada: Installi plugin Limit Login Attempts Reloaded. See blokeerib IP-aadressi automaatselt pärast mõnda ebaõnnestunud katset — seadista näiteks 5 katset, siis 30 minutit blokki.

5. Peida või blokeeri wp-login.php aadress

Miks see oluline on: Kõik teavad, et WordPressi login-leht asub /wp-login.php all. Automatiseeritud bots külastavad seda aadressi pidevalt. Kui muudad selle aadressi, ei leia enamik roboteid seda üldse.

Kuidas parandada: Kasuta pluginat WPS Hide Login, mis laseb sul määrata oma sisselogimislehe aadressi — näiteks /minu-sisselogimine. Lihtne ja efektiivne.

6. Keela XML-RPC, kui sa seda ei kasuta

Miks see oluline on: XML-RPC on WordPressi vana API, mida kasutatakse harva — aga häkkerid kasutavad seda aktiivselt brute-force rünnakuteks, sest see lubab ühes päringus proovida tuhandeid paroole korraga.

Kuidas parandada: Lisa oma saidi .htaccess faili järgmine koodirida:

# Blokeeri XML-RPC
<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

Kui kasutad Jetpack’i või mobiilirakendust WordPressi haldamiseks, siis XML-RPC võib olla vajalik — kontrolli enne blokeerimist.

7. Lisa wp-config.php kaitseks DISALLOW_FILE_EDIT

Miks see oluline on: WordPressi admin-paneelis on teemade ja pluginate failiredaktor, mille kaudu saab PHP koodi otse muuta. Kui häkker pääseb su admin-kontole ligi, saab ta selle kaudu kogu serveri üle kontrolli võtta.

Kuidas parandada: Ava wp-config.php fail (FTP või cPaneli kaudu) ja lisa enne /* That's all, stop editing! */ rida:

define( 'DISALLOW_FILE_EDIT', true );
define( 'FORCE_SSL_ADMIN', true );

Esimene rida eemaldab failiredaktori admin-paneelist. Teine kindlustab, et admin-paneel töötab alati üle turvalise HTTPS ühenduse.

8. Keela kataloogide sirvimine

Miks see oluline on: Kui külastad aadressi nagu saidiaadress.ee/wp-content/uploads/ ja näed seal failide nimekirja, tähendab see, et kataloogide sirvimine on lubatud. See annab häkkeritele tasuta ülevaate su saidi struktuurist.

Kuidas parandada: Lisa .htaccess faili esimeste ridade hulka:

Options -Indexes

Pärast seda näitavad kataloogid ilma index-failita 403 viga, mitte failide nimekirja.

9. Tee regulaarseid varukoopiaid

Miks see oluline on: Ükski turvameede pole 100% kindel. Kui midagi läheb valesti — kas häkkimise, plugina konflikti või inimvea tõttu — on ainus garanteeritud pääsetee ajakohane varukoopia. Ilma selleta võid kaotada kuude töö minutitega.

Kuidas parandada: Kasuta pluginat nagu UpdraftPlus või WPVivid. Seadista automaatne igapäevane varukoopia, mis salvestatakse välisele asukohale — Google Drive, Dropbox või S3. Ärge jätke varukoopiaid samale serverile.

10. Kontrolli oma saiti regulaarselt turvatööriistadega

Miks see oluline on: Pahavara ei pruugi kohe nähtav olla. Mõnikord istub see kuid vaikselt saidi koodis, varastab andmeid või saadab rämpsposti — ilma et saidi omanik midagi märkaks.

Kuidas parandada: Installi Wordfence Security (tasuta versioon on piisav algajale) — see skannib saidi koodi, hoiatab kahtlastest muudatustest ja blokeerib tuntud ohtlikke IP-aadresse. Käivita skann kord kuus.

Kokkuvõte

WordPressi turvalisus ei ole ühekordne tegevus — see on harjumus. Hea uudis on see, et enamiku probleemide ennetamine ei nõua palju aega ega raha. Alusta kõige olulisemast: tugevad paroolid, regulaarsed uuendused ja varukoopiaid. Need kolm sammu kaitsevad sind juba enamiku rünnakute eest. Ülejäänud punktid lisa järk-järgult ja su sait on turvalisem kui 90% WordPress-saitidest maailmas.