WordPress blogien tietoturva
WordPress tietoturva nousee aina uudestaan ja uudestaan keskusteluun. Yksi syy tähän on yksinkertaisesti se että WordPress on niin laajalti käytetty ja liian moni ”asentaa ja unohtaa” sen. Siksi annamme muutamia vinkkejä siihen miten saat pidettyä oman WordPress-sivustosi turvallisena webhotellissa.
Pidä WordPress ajantasalla
Olipa käytössä mikä tahansa ohjelmisto, sen ajan tasalla pitäminen on kaiken tietoturvan perusta. WordPress on nykyään varsin helppo pitää ajan tasalla ja päivittää, sillä sen uusimmat versiot tarkistavat säännöllisesti päivitysten saatavuuden ja jopa päivittävät itsensä automaattisesti. Toki tätä voi muuttaa WordPressin asetuksissa. Olemme testanneet että myös automaattiset päivitykset toimivat WordPress webhotellissa. On tärkeää kuitenkin muistaa että vaikka WordPress päivittää itsensä, on myös lisäosat ja teemat pidettävä ajan tasalla, sillä myös niissä saattaa olla haavoittuvuuksia. WordPress ei päivitä teemoja ja lisäosia itse, vaan sinun on itse päivitettävä ne. Kun WordPress, sen lisäosat ja teemat pidetään päivitettynä on tietoturva jo varsin hyvällä mallilla.
Lisäturvaa WordPress sivustoihin
Koska WordPress on ehkäpä maailman suosituin julkaisualusta, mm. hakkerit ja roskapostittajat etsivät haavoittuvia sivustoja omien robottiensa avulla. Tämän lisäksi käytetään ns. ”brute force” työkaluja joilla yritetään arvata salasanoja yleisesti käytössä oleviin käyttäjätunnuksiin.
Vaihda admin käyttäjätunnus
WordPress kysyy asennuksen aikana minkä haluat pääkäyttäjän käyttäjätunnukseksi. Oletuksena se ehdottaa että pääkäyttäjän tunnukseksi luodaan ”admin”, mutta voit vaihtaa sen helposti vaikkapa omaksi etunimeksesi, tai etunimen ja sukunimen yhdistelmäksi jolloin siitä tulee hieman pidempi ja vaikeampi arvata. Jussi Virtanen voisi valita käyttäjätunnukseksi ”jussinie”.
Käytä riittävän vahvoja salasanoja
Heikko, yksinkertainen salasana on murrettu hetkessä ”brute force” työkaluilla. Älä käytä salasanana mitään yksittäistä sanaa. Käytä salasanassa numeroita (123…), kirjaimia (abc…) ja eri merkkikokoja (AbC…). Voit parantaa salasanaa myös käyttämällä joitakin erikoismerkkejä kuten !#%&/()+-,. Kun lisäksi salasanasi on riittävän pitkä, on sellaisen koneellinen arvaaminen jo haastavaa. Kuvitellaan että haluaisin salasanaksi vaikkapa sanan ”lehtipuu”. Salasanana se on erittäin huono, sillä se on lyhyt (8 merkkiä) ja sisältää vain pieniä kirjaimia.
Asenna brute-force tunnistus
Login Security Solution -niminen WordPressin lisäosa on periaatteeltaan yksinkertainen. Aina kun joku syöttää väärän salasanan, hidastuu seuraava kirjautumisyritys yhdellä sekunnilla. Normaalia käyttäjäähän tämä ei haittaa yhtään vaikka hän salasanansa muutaman kerran unohtaisi, mutta robotille joka yrittää tuhansia vääriä salasanoja asia on eri ja salasanan arvaaminen muuttuu uskomattoman hitaaksi, sillä jokainen väärä salasana kasvattaa seuraavaa viivettä.
Vaihtoehtoisesti voit asentaa Brute Force Login Protection -nimisen lisäosan joka seuraa kirjautumisyrityksiä ja esim. 20 väärän kirjautumisyrityksen jälkeen estää vääriä salasanoja yrittäneen IP-numero pääsyn koko sivustolle esim. 60 minuutin ajaksi.
Ota käyttöön kertakäyttöiset salasanat
Google Authenticator on palvelu jossa puhelimeen tai tablettiin asennetaan Google Authenticator niminen ohjelma joka tuottaa uuden kuusinumeroisen numerosarjan 30 sekunnin välein. Ohjelmisto on saatavilla niin iOS ja Android laitteille. WordPressiin on saatavilla Google Authenticator lisäosa jonka avulla kirjautumiseen vaaditaan käyttäjätunnus, salasana ja puhelimen sovelluksen näytöllä näkyvä kertakäyttöinen koodi.
