1. WordPress asennuksensuojaaminen Jukka Weissenfelt (@JukkaWe)

2. WordPress lienee tmn hetken tunnetuimpia ja kytetyimpiavoimen lhdekoodin web-sovelluksia. Tll on tietysti hyvi ja huonoja puolia. Web-kehittjt hydyntvt valmiita tai puolivalmiita teemoja(themes), ilmaisia lisosia (plugins) ja muita ilmaisialisominaisuuksia tuovia laajennuksia kuten prettyPhoto jaTimthumb. 3. WordPress itsessn, valmiit teemat ja varsinkin Timthumb:nvanhat versiot ovat osoittautuneet tietoturvariskiksi, joltavoidaan suojautua. Seuraavilla kalvoilla on tarkoituksena kyd lvitse keinoja,miten voit tehd WordPress asennuksesta huomattavastialkuperist turvallisemman. Kalvot on suunnattu ensijaisesti web-kehittjille, muttakyttjtkin voivat tehd ainakin osan esitettvist asioista. 4. WordPress asennuksen suojaaminen Hyv lhtkohta WordPressin suojaamiseen on noudattaaWordPress:n omia ohjeita palvelun suojaamiseksi:http://codex.wordpress.org/Hardening_WordPress Erityisen trke toimenpide on siirt wp-config.php poispublic_html kansiosta. 5. Asennuksen suojaaminen jatkuu .htaccess-tiedostoon kannattaa list seuraavat koodit,jotka estvt kyttji psemst suoraan ksiksi wp-includes-kansioon.# Block the include-only files.RewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]# BEGIN WordPress 6. Est kirjautumissivulle psy Luo wp-admin kansioon .htaccess-tiedosto. Listn sinne salasanan kysely, mutta varmistetaan ett admin-ajax.php:ta voidaan kytt ilman salasanaa. Admin-ajax.php huolehtii esimerkiksi liitetiedostojen lataamisestapalvelimelle.AuthType BasicAuthName "Kirjaudu"AuthUserFile /var/www/path/to/passwdRequire valid-userOrder allow,denyAllow from allSatisfy any 7. Tunnus ja tietokanta WordPress luo oletuksena admin-nimisenkyttjn. Korvaa admin vaikka yrityksesinimell. Korvaa WordPressin automaattinentietokantataulujen etuliite wp_ jollakinmuulla. 8. Yleisi neuvoja (lisosat) Lisosat vaikuttavat aina sivustosi tietoturvaan. Sivustosi on yht turvallinen kuin heikoin koodinptksi. Suosittelen erityisesti vlttmn lisosia jotka tarvitsevat tietokantaoikeudet. Asenna vain ne lisosat mit todella tarvitset. Asenna vain lisosia joilla on hyvt arvostelut ja useita,mieluiten satoja tai tuhansia kyttji. Varmista, ett lisosa tukee sinun WordPress-asennuksesiversiota ja sit pivitetn edelleen. 9. Lisosat - jatkuu Asenna lisosa vain jos et voi tehd sit itse. Listoiminnallisuudet eivt ole rakettetiedett. Useat toiminnallisuudet voidaan ottaa kyttn muokkaamalla functions.php-tiedostoa. Google on kehittjn paras kaveri. Muutamia esimerkkej: http://www.wpbeginner.com/wp-tutorials/25-extremely-useful-tricks-for-the-wordpress-functions-file/ http://www.catswhocode.com/blog/10-super-useful-wordpress-shortcodes http://www.catswhocode.com/blog/8-new-and-amazing-wordpress-hacks 10. Pivit TimThumb TimThumbia kytetn kuvien muokkaamiseen ja ksittelyynhyvin usealla WordPress-sivustolla. Helpoin tapa pit TimThumb pivitettyn on asentaaTimthumb Vulnerability Scanner lisosa. Listietoa Timthumb-hykkyksist. 11. Asenna WordPress Firewall 2 WordPress Firewall 2 est joitainautomaattisia ja manuaalisia hykkyksi. Valitettavasti lisosaa ei ole hetkeen pivitetty. http://wordpress.org/extend/plugins/wordpress-firewall-2/ 12. Est vr salasana ilmoitus Lis functions.php-tiedostoon pieni koodinptk, jokaest erittelemst onko kyttj olemassa vai ei. Huom. Jos olet jo suojannut WordPressin .htaccesssalasanalla voi tm tm olla jo tarpeetonta.// Remove default error message and replace withcustom error message add_filter(login_errors,login_error_mess); function login_error_mess(){ return ERROR:Invalid username or password.;} 13. Lopuksi Pid WordPress-asennus aina ajantasalla! Pivit teemasi, lisosasi, Timthumb ja tietystimys WordPress-asennus. 14. Anna palautettaE-mail: jukka@ebrand.fiPuhelin: +358 440 5544 08LinkedIn: Jukka WeissenfeltFacebook: jukkawTwitter: @JukkaWeGoogle+: JukkaWehttp://www.whitefield.fihttp://www.ebrand.fi/blog