Sivuston eheyden ja turvallisuuden tarkistus
Seravon WP-palvelun ylläpitoon sisältyy huolehtiminen siitä, että sivusto pysyy toimivana ja turvallisena. Edellytyksenä kuitenkin on, että sivusto on eheä. Esimerkiksi selainvirheitä antava sivusto ei päivity automaattisesti. Jos sivustolla oli jo alun perin haittakoodia tai esimerkiksi räätälöidyssä teemassa on koodivirhe, ei ylläpitoomme sisälly sivuston korjausta tai viimeistelyä julkaisukuntoon. Ohessa esittelemme vinkkejä, joilla voi ja kannattaa tarkistaa julkaisuhetkellä. Alla oleva eheystarkastus kannattaa tehdä myös, mikäli sivustolle tehdään laajoja muutoksia tai muita kehitystoimenpiteitä.
Perusasiat
- Poista käytöstä pois olevat teemat ja lisäosat kokonaan ja siivoa käytössä olevista lisäosista tarpeettomat tietoturva-, varmuuskopio- ja välimuistilisäosat.
- Vaihda sivuston tietokannassa ja tiedostoissa kaikki sivuston URL:t alkamaan https://, turvattoman http:// sijasta.
Varmista, että selain ei varoita virheistä avaamalla selaimen Developer Console tai vastaava selaimen työkalu, josta näkyy verkkovirheet ja JavaScript-virheet. Selaa läpi etusivu, muutama alasivu sekä muutama WP-adminin sivu ja tarkkaile tuleeko selaimen Developer Consoleen ilmoituksia.- Tarkista PHP:n virheloki (Tiedosto
php-error.logkansiossa/data/log) joko suoraan palvelimella SSH-yhteyden yli tai WP:n hallintapaneelista Työkalut-kohdan alta lokeista. - Aja
wp-testja tarkista ettei se ilmoita virheistä. Komennon voi ajaa joko palvelimella SSH-yhteyden tai WP:n hallintapaneelista Työkalut - Ylläpito - Päivitystestit alta.
Varmista, että selain ei varoita virheistä avaamalla selaimen Developer Console tai vastaava selaimen työkalu, josta näkyy verkkovirheet ja JavaScript-virheet. Selaa läpi etusivu, muutama alasivu sekä muutama WP-adminin sivu ja tarkkaile tuleeko selaimen Developer Consoleen ilmoituksia.Lisäksi suosittelemme
- Tarkista, että käyttämäsi lisäosat ovat yhteensopivia nykyisen PHP-version kanssa. Ohjeet yhteensopivuuden tarkastamiseen löydät artikkelista Uusimpaan PHP versioon siirtyminen.
- Komennolla
wp-check-http-cachevoi tarkistaa että ainakin verkkosivuston etusivulla toimii HTTP-tason välimuisti. - Tarkista että sivustolla on käytössä
object-cache.phpja sen avulla Redis-välimuisti. Tietokannassa olevat vanhat transientit kannattaa siivota pois kokonaan. - Tarkista myös käyttäjien salasanat Seravon
wp-check-passwordstyökalun avulla. Salasanahygieniasta huolehtiminen on ainoa yksittäinen tietoturva-asia, joka on asiakkaan vastuulla, jos sivusto on Seravon ylläpidossa. Tietoturvatakuumme kattaa sivuston siivoamisen kunhan sivuston käyttäjien salasanahygienia on kunnossa. - Mikäli sivustolla on kommentointi sallittu, kannattaa ottaa käyttöön Google ReCaptcha -lisäosa robottikommenttien estämiseksi. Samalla lisäosalla voi suojata myös sisäänkirjautumissivun ja käyttäjärekisteröinnit niin, että botit eivät pääse niistä läpi. Lue lisää myös Seravon WP-palvelun blogista.