6.5. Sivuston yläpito ja turvallisuus

WordPress-sivujen ylläpitotoimet

WordPress-sivustot vaativat aktiivisempia ylläpitotoimia, kuin esimerkiksi koodatut sivustot. Koska WordPress on alusta ja palvelimella toimiva ohjelmisto, siihen julkaistaan päivityksiä. Perinteisesti koodatut sivustot eivät vaadi suurempaa ylläpitoa, paitsi tietysti sisällön päivittäminen on suositeltavaa. WordPressissä sen sijaan on huolehdittava WordPressin, teeman ja lisäosien päivittämisestä säännöllisesti. Sivuston hallintapaneeliin kannattaa kurkata minimissään parin viikon välein, mieluummin useammin. Tutustutaan tässä artikkelissa sivuston ylläpitotoimiin ja turvallisuuteen.

Varmuuskopiointi

Ennen päivitysten asentamista kannattaa suorittaa sivuston varmuuskopiointi. Varmuuskopiointiin on hyviä lisäosia mutta varmuuskopiointi voidaan tehdä myös CPanelin toiminnoista jolloin lisäosia ei tarvitse välttämättä käyttää. Hyvässä webhotellipalvelussa varmuuskopiointi tapahtuu ajastetusti automaattisesti aika ajoin.

WordPress-asennuksen varmuuskopio voidaan tehdä manuaalisesti CPanelin Omat ohjelmat -paneelista klikkaamalla WordPress asennuksen ikonia. Avautuvasta ikkunasta voit tarkastella WordPress-asennuksien varmuuskopioita ja tehdä uuden varmuuskopion valitusta asennuksesta ikkunan oikeassa yläkulmassa olevista painikkeista.

Varmuuskopiointi WordPress-asennuksesta ja luotujen varmuuskopioiden tarkastelu.
Varmuuskopiointi WordPress-asennuksesta ja luotujen varmuuskopioiden tarkastelu.

Varmuuskopiointi lisäosalla

Jos haluat tehdä varmuuskopioinnin WordPress-asennuksesta käsin, voit käyttää toimintoon esimerkiksi lisäosaa WP Migrate and Backup lataamalla lisäosalla .wpress-tiedoston tietokoneellesi. Varmuuskopiointiin on tarjolla kosolti muitakin lisäosia, joita kannattaa asentaa ja kokeilla.

Sivuston päivittäminen

WordPress hallintapaneelissa päivitystoimet ovat yksi tärkeimmistä ylläpitotoimenpiteistä ja ne kannattaa pitää ajan tasalla. Ylimmän Ohjausnäkymä-valinnan alavalintoina löytyvät vaihtoehdot Etusivu ja Päivitykset (Updates). Kun sivustoilla (WordPressissä) on jotain päivitettävää päivitykset valinnan vasemmalle puolelle ilmestyy vihreä päivityksien lukumäärän ilmoittava ikoni.

Kun klikkaat päivitykset paneelin auki, saat näkyviin seuraavat asiat:

  1. Uusimmat ladattavissa olevat WordPress-versiot
  2. Asennettuihin lisäosiin saatavilla olevat päivitykset
  3. WordPressiin asennettuihin teemoihin olemassa saatavilla olevat päivitykset
  4. Käännöksien tarjolla olevat päivitykset
WordPressin päivitysten ohjauspaneeli.
WordPressin päivitysten ohjauspaneeli.
Hallintapaneelin päivitykset välilehdeltä löytyvät päivittämistä kaipaavat lisäosat, teemat ja WordPress-versio.
Hallintapaneelin päivitykset välilehdeltä löytyvät päivittämistä kaipaavat lisäosat, teemat ja WordPress-versio.

Päivittämiseen liittyvää

Sivustojen päivittämisessä saattaa tulla eteen tilanne, että jokin sivustolla ei toimi oikein päivittämisen jälkeen ja on palautettava WordPressin tai lisäosan vanhempi versio. Toimintoon voit ladata lisäosan, jonka avulla edelliseen versioon palaaminen on mahdollista sekä WordPressissä että lisäosissa. Lisäosa WP Rollback – Rollback Plugins and Themes mahdollistaa palaamisen WordPressin edelliseen versioon, jos jokin menee vikaan päivittämisen yhteydessä.

Päivittämisprosessi

Kun aloitat päivitysprosessin WordPressissä, sen on annettava rauhassa suoriutua loppuun. WordPress asettaa päivityksen asentamisessa sivuston ylläpitotilaan, josta ei saa poistua ennen kuin päivitys on asentunut. Useat meistä kehittäjistä tekevät joskus epähuomiossa virheen ja keskeyttävät prosessin. Seurauksena on, että sivusto juuttuu ylläpitotilaan. Herää kysymys kuinka se poistetaan?

Ylläpitotilassa WordPress asettaa palvelimelle .maintainance -nimisen tiedoston, joka täytyy jollain tapaa poistaa, jotta sivut saadaan uudelleen toimintaan ja voimme aloittaa päivitysprosessin uudelleen. Tiedoston voi poistaa joko CPanelin tiedostonhallinnasta käsin tai käyttää FTP-siirto -ohjelmaa, kuten WinSCP tai vastaava.

Päivittämisen keskeyttäminen saa sivustot lukkiutumaan ylläpitotilaan. Sellaista sattuu ja ongelma on korjattavissa palvelimelta.
Päivittämisen keskeyttäminen saa sivustot lukkiutumaan ylläpitotilaan. Sellaista sattuu ja ongelma on korjattavissa palvelimelta.

WP-debug – virheenkorjaus

WP-debug on WordPressin virheenkorjaustyökalu, joka voidaan asettaa päälle tai pois WordPressin ydintiedostosta WP-config.php. Kun toiminto on asetettu käyttöön havaitut virheet tallentuvat lokitiedostoon debug.log wp-content kansiossa.”Debuggaus” saattaa joskus tuottaa epätoivottuja ilmoituksia sivustolle selaajien nähtäville, kun sivulle ilmestyy ilmoitus virheestä koodina sivun sisältöön. Siksi WP-debug kannattaa asettaa päälle vain tilanteessa, jolloin teet ylläpitotoimenpiteitä sivustolla ja poistaa toiminnasta heti, kun lopetat sivustojen fiksailun.

Avaa siis wp-config-tiedosto muokattavaksi esimerkiksi lataamalla se FTP-yhteydellä omalle koneelle. Etsi tiedoston koodista koodirivi, jossa on määritys WP_DEBUG_DISPLAY.

Koodissa on kaksi vaihtoehtoista asetusta:

Virheekorjausloki asetettu pois päältä ja virheitä ei tallenneta:

define( 'WP_DEBUG_DISPLAY', false );

Virheekorjausloki asetettu päälle ja virheet tallennetaan tiedostoon debug.log:

define( 'WP_DEBUG_DISPLAY', true );

Wp-config.php -tiedosto on yksi WordPress ydintiedostoista.
Wp-config.php -tiedosto on yksi WordPress ydintiedostoista.

Muuta huomioitavaa

Kun teet ylläpitotoimia, kannattaa käydä läpi myös seuraavat kohdat:

  1. Teemat: Jos Teemat– osiossa on muita, kuin käytössä olevia teemoja ne kannattaa poistaa. Muistathan kuitenkin, että lapsiteema tarvitsee äititeeman, joten ethän epähuomiossa poista sitä.
  2. Kuvat: Ovatko kaikki kuvatiedostosi käytössä? Jos mediakirjastossa on kuva- tai muita tiedostoja, jotka eivät ole käytössä missään sivustolla, ne kannattaa poistaa.
  3. Avainsanat ja kategoriat: Onko artikkelityyppisien sivujen osalta olemassa avainsanoja tai kategorioita, jotka eivät ole käytössä missään artikkelisivulla, ne kannattaa poistaa.

Uncategorized-kategoria

WordPress ei anna poistaa artikkelien taksonomiasta kategoriaa Uncategorized, mutta voit kiertää tämän ongelman periaatteessa kahdella tavalla:

  1. Asetukset → Kirjoittaminen → Oletusartikkelikategoria
    • Luo artikkelien kategorioihin uusi kategoria yleisille artikeleille (esim: Yleinen) ja aseta se oletuskategoriaksi WordPressin oletusasetuksissa. Näin ollen Uncategorized säilyy kategioissa mutta jää käytännössä tyhjäksi eikä näy normaalissa käytössä.
  2. Piilota Uncategorized kategorioiden listauksesta functions.php-tiedostosta käsin. (Valmisteemassa vaatii lapsiteeman käytön, jotta asetus säilyy.)
    • Lisää seuraava koodaus functions.php-tiedostoon: 
      function hide_uncategorized_from_list( $args ) {
    $uncat = get_cat_ID( 'Uncategorized' );
    $args['exclude'] = $uncat;
    return $args;
}
add_filter( 'widget_categories_args', 'hide_uncategorized_from_list' );
add_filter( 'wp_list_categories', 'hide_uncategorized_from_list' );

Ylläpidon lisäosia

Jotkut ylläpitotoiminnot, kuten tietokannan optimointi, ovat teknisyydeltään niin monivaiheisia ja vaivalloisia että ne kannattaa suorittaa lisäosan avulla. Seuraavassa käteviä lisäosia, joilla ylläpitotoimia saadaan hoidettua.

Tietokannan optimointityökalut poistavat tietokannasta ajan myötä kertyneitä väliaikaisia tietoja, jotka voivat hidastaa tietokannan toimintaa ja siten sivuston latautumista. Lisäosien avulla voit puhdistaa tietokannan turhista tietueista ja parantaa sekä tietokannan että sivuston suorituskykyä.

Keskeisiä siivouskohteita ovat esimerkiksi:

  • Tietokannan transientit: Nämä ovat ikään kuin selaimen evästeitä. Ne poistuvat yleensä automaattisesti, mutta joskus niitä kertyy tietokantaan, ja ne kannattaa siivota säännöllisesti.
  • Artikkeliversiot: Jokainen julkaisu tai sivu tallentaa vanhat versiot tietokantaan, jolloin voit palata edelliseen versioon. Jos päivität usein, versioita kertyy ajan myötä paljon, ja niitä voi poistaa tarpeettomina.
  • Metatiedot: Julkaisujen mukana tallentuu metatietoja, kuten tekijä, päivämäärä tai muut tiedot. Kun julkaisu poistetaan tai muokataan, vanhat metatiedot jäävät tietokantaan turhina. Näiden poistaminen siivouksen yhteydessä parantaa tietokannan eheyttä.
  • Lisäosien jäljellä olevat tiedot: Kun poistat lisäosia, ne voivat jättää tietokantaan turhia tietueita, jotka kannattaa siivota.

Siivoaminen ei ole pelkästään roskien poistamista – se auttaa sivustoa toimimaan sujuvammin ja pitää tietokannan järjestyksessä.

Lisäosia WordPressin ylläpitoon ja optimoimiseen

Valitse seuraavista kolmesta lisäosasta jokin sivuston välimuistin lisäosaksi ja asenna se sivustolle. Kaikki nämä lisäosat löytyvät WordPressin hallintapaneelin Lisäosat (Plugins) toiminnon kautta.

Turvallisuus – Rest API

WordPressin käyttäjätietoja voidaan tutkia, jos tiedetään millä osoitteella tietoa haetaan. Hakkerin on helppo selvittää esimerkiksi mikä on sivuston käyttäjien käyttäjänimet syöttämällä selaimen osoitekenttään osoite: https://sivustosi.fi/wp-json/wp/v2/users, joka tulostaa näytölle sivuston käyttäjien käyttäjätunnukset ja muita tietoja.

Osoite voidaan kuitenkin suojata, jolloin siihen pääsy on estetty muilta paitsi kirjautuneilta admin-tunnuksen omistavilta lisäämällä functions.php-tiedostoon oheinen koodi.

// Disable REST API user endpoint

add_filter('rest_endpoints', function($endpoints) {



    if (isset($endpoints['/wp/v2/users'])) {

    

        unset($endpoints['/wp/v2/users']);

    

    }

    return $endpoints;

    

});

Käyttäjäarkistot – Author Archives

Käyttäjäarkistot tietokanta voi paljastaa käyttäjänimesi hyökkääjille, joten se kannattaa piilottaa esimerkiksi functions.php-tiedoston kautta. Domainhaku https://sivustosi.fi/?author=1 voidaan estää uudelleenohjaamalla pyyntö etusivulle tai 404-virhesivulle.

// Poista käyttäjäarkistot käytöstä

add_action('template_redirect', function() {



    if (is_author()) {

    

        wp_redirect(home_url());

        exit;

    

    }



});

Käyttäjänumerointi – User Enumeration

Hyökkääjät voivat selvittää käyttäjiä lisäämällä URL:iin esimerkiksi ?author=1, ?author=2 jne., mikä paljastaa käyttäjänimiä. Toiminto voidaan estää lisäämällä oheinen koodi functions.php-tiedostoon.

// Estä käyttäjäenumerointi

if (!is_admin()) {



    add_action('init', function() {

    

        if (isset($_REQUEST['author'])) {

        

            wp_redirect(home_url());

            exit;

        

        }

    

    });



}

WordFence lisäosa

Jos haluat luoda turvan ja palomuurin sivustoillesi lisäosan avulla, voit tehdä sen esimerkiksi WordFence-nimisellä lisäosalla. Lisäosan asennuksen jälkeen joudut aktivoimaan lisäosan luomalla tilin Wordfence-palveluun. Lisäosa on hyvä siinä mielessä, että suojaa sivuston laajamittaisesti ja lisäksi asentaminen ja käyttöönotto on luonnollisesti helpompaa, kun ei tarvitse käsitellä koodia. Lisäksi lisäosassa on lukematon määrä lisätoimintoja, joilla voidaan parantaa turvallisuutta huomattavasti tehokkaammin kuin edellä mainituilla kolemlkla koodauksella. Wordfence-lisäosalla voidaan esimerkiksi ottaa sivustolle käyttöön kaksivaiheinen tunnistautuminen (Two-way Identification).

Käytettäessä Wordfence-lisäosaa edellä olevat koodauksella tehdyt suojaukset ovat turhia. Tee suojaukset joko Wordfencellä tai koodaamalla ylläolevat koodit functions.php-tiedostoon.