WordPressin tietoturva ja turvallisuuden parantaminen omalla verkkosivulla

Abstract

Tämän opinnäytetyön tarkoituksena oli selvittää, miten WordPress-sisällönhallintajärjestelmän tietoturva toimii ja millä keinoilla turvallisuutta voidaan lisätä omalla WordPress-pohjaisella verkkosivulla. Tietoturva on merkittävää, kun suurta määrää tietoa säilytetään internetissä. Turvallisuus on tärkeää jokaisella verkkosivulla, mutta erityisesti sen merkitys korostuu silloin, kun sivustolla tai sen tietokannassa käsitellään arkaluontoisia ja henkilökohtaisia tietoja. Tällaisia tietoja ovat muun muassa henkilö- ja pankkitunnukset sekä yhtiöiden salaiset tiedot.

Työssä tutustuttiin WordPressin toimintaan ja siihen, millaisia uhkia sivuille kohdistuu. Selvitettiin, kuka hyökkäyksiä tekee, miksi niitä tehdään ja millä tavoin hyökkäyksissä onnistutaan. Tietoa haettiin lähtökohtaisesti verkkomateriaaleista, kuten tietoturvayhtiöiden kirjoituksista sekä WordPressin omalta kotisivulta. Opinnäytetyön tuotteena syntyi teema, joka on kehitetty mahdollisimman turvalliseksi, sekä pieni tietoturvaopas jokaiselle verkkosivun omistajalle.

Selvityksessä kävi ilmi, että hyökkääjät ovat joko ihmisiä tai automatisoituja botteja, jotka käyttävät hyväkseen sivustoilta löytyviä tietoturva-aukkoja. WordPress parantaa tietoturvaansa jatkuvasti, ja löydettyihin ongelmiin reagoidaan nopeasti. On myös olemassa paljon tapoja, joilla oman WordPress-pohjaisen verkkosivun turvallisuutta voi itse parantaa. Mistään verkkosivusta ei kuitenkaan saada täysin turvallista, sillä tekniikka kehittyy jatkuvasti, minkä vuoksi myös hyökkääjien taidot paranevat.

The purpose of this thesis was to understand the basics of WordPress security and find out how to secure one’s own WordPress website. Information security is very important, especially on websites that have plenty of sensitive data, such as social security numbers, credit card numbers or business ideas. However, every website can be hacked.

One of the main goals was to understand who the attackers are, why they target websites and what kinds of methods they use. The data was mainly collected from online sources, such as cyber security blogs and the official WordPress site. The end products of this thesis were a secure WordPress theme and security guide for every website owner.

The investigation showed that attackers are either people or automated bots, which exploit website vulnerabilities. WordPress is constantly improving its security, and the WordPress Security Team responds immediately to any potential vulnerabilities found. There are also many ways to improve the security of one’s own WordPress website. However, no website is completely safe, because the technology is continually evolving and changing and so are the skills of the attackers