Missä mennään WordPressin tietoturvan kanssa

Tietoturvan painoarvo kasvaa kaiken aikaa. Millainen on WordPressin tietoturvan tilanne tässä hetkessä alkuvuodesta 2025? Kokeneet WordPress-kehittäjämme Joni ja Jukka ottavat asiaan kantaa omasta näkökulmastaan.

Millaisena alustana näet WordPressin tietoturvan kannalta?

Joni: WordPress on suunniteltu yksinkertaiseksi alustaksi, joka on helppo ottaa käyttöön. Niin sanottu ”puhdas” WordPress on melko tietoturvallinen, mutta käyttäjän asentamat lisäosat ja teemat heikentävät turvallisuutta.

Jukka: WordPress on lähtökohtaisesti tietoturvallinen, mutta huonoilla valinnoilla on mahdollista itse luoda tietoturvariskejä.

WordPress on vapaa alusta, jolloin eri lisäosat ja teemat vaihtelevat laadullisesti huomattavasti ja on täysin riippuvainen tekijän omasta tahdosta ennaltaehkäistä tietoturva-aukot ja huomioda ne omassa toiminnassaan.

Tätä varten kehittäjän vastuulla on noudattaa eri tietoturvastandardeja ja hyödyntää tarkistustyökaluja koodin laadun varmistuksessa. WordPress on PHP-pohjainen, jolloin tarkistukseen käytetään pääosin PHP Code Sniffer nuuskimaan koodista laadullisia puutteita. PHP Standard Recommendation lisäksi tarkistuksessa verrataan erillistä WordPress-standardia. Näiden avulla oman teeman ja lisäosien koodin voi tarkistaa, että koodi noudattaa yleisiä tietoturvakäytänteitä.

Onko WordPressin tietoturvan taso sinusta muuttunut viime vuosina mitenkään?

Joni: Uusien versioiden myötä tietoturva parantuu jatkuvasti, kun tilkitään löydettyjä tietoturva-aukkoja. Ei mitenkään merkittävästi muuttunut, mutta suuntaus on kohti parempaa. Joitakin konkreettisia vuosien varrella tulleita parannuksia ovat mm. REST API:n parannukset (WP 5.6) ja HTTPS-siirtymän automatisointi (WP 5.7). Tietoturvaa on parannettu myös epäsuorasti lisäosien ja teemojen kehittäjiin kohdistuvilla vaatimuksilla, esimerkiksi pakollinen kaksivaiheinen autentikointi (alkaen lokakuusta 2024).

Jukka: Ainakin alalla näkyy entistä pätevämpiä asiantuntijoita, kuten palvelinkumppanimme Seravo. Ne ovat omalta osaltaan luoneet lisää uskoa siihen, että WordPress otetaan vakavissaan myös tietoturvan kannalta.

Mitkä ovat WordPressin suurimmat tietoturvariskit?

Joni: Sanoisin, että käyttäjät on suurin tietoturvariski. Heikot salasanat ja se että asennetaan paljon erilaisia lisäosia ja teemoja, joita ei sitten pidetä ajan tasalla. Myös Ylläpitäjä-tason käyttäjätunnuksia luodaan liian hövelisti. Mitä enemmän ylläpitäjä-roolin käyttäjiä sivustolla on, sitä isompi on myös riski että sivustoon päästään murtautumaan.

Jukka:

Huonot salasanat. Näistä on haastavampi pitää huolta, koska jokainen käyttäjä toimii omatoimisesti salasanojensa suhteen ja tietoturvan taso vaihtelee. Voidaan kuitenkin parantaa tietoturvaa mm. kaksivaiheisella tunnistautumisella.
Tiedon esittäminen ja tiedon tallentaminen ”raakana”. WordPress tarjoaa hyvät toiminnot tiedon sanitointiin ennen sen esittämistä ja tallentamista. Tämä on kuitenkin edelleen kehittäjästä riippuvaista ja kiireinen kehitys liian helposti ohittaa hyvät käytännöt.
Huono roolitus, jolloin myönnetään liian monelle käyttäjille tarpeettoman paljon käyttöoikeuksia.
Vanhentunut teema. Monesti teema tehdään kertaalleen ja sitä harvoin päivitetään samaan tahtiin kuin lisäosia.
Puutteellinen ylläpito. Kaikki ylläpidot eivät ole samalla tasolla. Kannattaa tarkkaan katsoa hinnan lisäksi, mitä ylläpito sisältää. Osa tarjotuista ylläpidoista sisältää vain sivuston hostingin palvelimella. Tämä jättää vastuun WordPressin ja lisäosien päivityksistä kokonaan sivuston omistajalle. Monesti sivu julkaistaan tai siirretään mahdollisimman halpaan palvelinympäristöön ja unohdetaan sinne.
Vähäinen auditointi. Sivustojen kausittainen auditointi edesauttaa laadun varmistuksessa.

Mikä on tärkeintä WordPressin tietoturvan takaamisessa?

Joni: Sivustolla asianmukainen ylläpito. Ylläpidossa on tärkeää säännölliset varmuuskopiot, automaattiset lisäosien ja WordPressin päivitysten asennus. Ylläpito seuraa, että sivusto toimii asianmukaisesti ja yrittää havaita kaikki epänormaalit käytökset. Epänormaalia voi olla esimerkiksi että WordPressin ydinkoodissa muuttuu koodi ilman, että on mikään päivitysprosessi menossa.

Jukka:

Ylläpitopäivitykset. Varmistetaan että sivuston eri komponentit eivät sisällä tietoturva-aukkoja.
Ennaltaehkäisevät toimenpiteet, jotta haavoittuvuuksia syntyisi mahdollisimman vähän. Esimerkiksi käyttäjäoikeuksien rajaaminen, datan sanitointi ja luotettavien lisäosien valinta.
Automatisoitu monitorointi: Sivustolle asennettujen lisäosien ja WordPressin version haavoittuvuuksien seuranta on oleellista, jotta tietoturva-aukot paikataan heti, kun niistä tiedotetaan.
Kun haavoittuvuuksia havaitaan (esimerkiksi kun jokin lisäosa ei saa pitkään aikaan päivitystä) se tunnistetaan ja korjataan (esimerkiksi vaihtamalla lisäosa).
Automatisoitu testaus. Tämä koskee sekä kehityksen yhteydessä tehtyä testausta että ylläpitopäivitysten testausta ennen käyttöönottoa, jolloin yhteensopivuusongelmien virheet havaitaan ennakkoon ja voidaan ratkaista ilman, että sivusto on alhaalla.

Mitä itse teet tietoturvan eteen töissäsi?

Joni: Seurailen, että sivustojen lisäosat ja WordPress ovat ajan tasalla. Tutkin myös päivittäin haavoittuvuusraportteja, missä näkee että mikä versio mistäkin lisäosasta kaipaa päivitystä. Sen lisäksi pyrin miettimään ratkaisuja asiakkaille, että saisin parannettua sivuston tietoturvaa yleisesti. Esimerkiksi kahdennuksen lisääminen kirjautumisessa auttaa paljon estämään tunnusten hakkerointia.

Jukka: Otan vakavissani asiakkaan alustan tärkeyden. Helposti WordPress-sivustot nähdään vain ”sivustoina”, eikä nähdä liiketoiminnallista tai maineellista tärkeyttä niiden ylläpidossa. Pienestäkin sivustosta voi tulla iso mainehaitta, jos se päätyy tietomurron kautta vaikkapa spämmin välityksen välineeksi.

Mitä ajankohtaista nostaisit esiin WordPressin tietoturvaan liittyen?

Joni: Vastikään minulle tuli vastaan uusi, vakuuttava tiedonlähde, jonka kautta voi seurailla löydettyjä tietoturva-aukkoja WordPress lisäosissa ja WordPressissä itsessään. https://vulnerability.wpsysadmin.com/

Jukka: Seuraava WP:n versio 6.8 tuo merkittävänä parannuksena bcrypt -salasanojen tiivistämisen (eli ”hashing”). Myös muut turvallisuutteen liittyvät tiivistykset parantuvat.

Mitä ennustat tulevalle vuodelle 2025 WP:n tietoturvan osalta?

Joni: WordPressin käyttö maailmassa edelleen kasvaa. Samalla kasvaa kiinnostus hakkereilla löytää tietoturva-aukkoja sivustoilta ja yrittää käyttää nämä hyödyksi. Onneksi tätä vastaan myös kamppaillaan jatkuvilla päivityksillä. WordPress-yhteisö myös tarjoaa rahallista palkkiota haavoittuvuuksien löytämisestä ja raportoinnista. Palkkiota tuplataan uusimman version 6.8 testaamisen ajaksi.

Jukka: WordPress kehitystiimi ottaa tietoturvan jatkossakin vakavasti ja voimme odottaa alustan paranevan tältäkin osin entisestään.

Joni Ahola ja Jukka Viilo ovat Agenda Digitalin senior-tason kehittäjiä.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	2 vuotta	Sivusto käyttää Googlen analatytiikkapalveluita, joihin kuuluvat Google Analytics, Google Tag Manager, Google ADS hakusanamainonta. Tämän seurantakoodin asettaa Google, joka yhdistää istunnosta tietoa muuhun samaan käyttäjään liittyvään tietoon. Tieto on anonyymiä. Tällaista tietoa on mm. session pituus, interaktiot palvelussa. Tämä tieto tallennetaan luokkaan "Analytiikka".
_ga_R32WER4VML	2 vuotta	Sivusto käyttää Googlen analatytiikkapalveluita, joihin kuuluvat Google Analytics, Google Tag Manager, Google ADS hakusanamainonta. Tämän seurantakoodin asettaa Google, joka yhdistää istunnosta tietoa muuhun samaan käyttäjään liittyvään tietoon. Tieto on anonyymiä. Tällaista tietoa on mm. session pituus, interaktiot palvelussa. Tämä tieto tallennetaan luokkaan "Analytiikka".