Botit ovat hyviä arvaamaan käyttäjätunnuksia ja yrittämään murtautua WP-asennukseesi arvaamalla salasanasi.
WordPressin kirjautumisen suojauksessa ei ole kyse vain tileistä kuten ’admin’ ja ’yourdomainname’. Vaikka yrittäisit kuinka hyvin piilottaa käyttäjätunnuksesi, se voi vuotaa ulos monta kautta, ja botit voivat löytää sen.
Wordfence on näppärä ominaisuus, joka estää jokaisen kirjautumisen käyttäjätunnuksella, jota ei ole WP:n käyttäjätaulukossa, mutta kun botti on saanut oikean käyttäjätunnuksesi, se voi yrittää arvata salasanaa, kunnes Wordfence estää sen. Jos et käytä minkäänlaista kirjautumissuojausta, se voi jatkaa yrittämistä, kunnes se murtaa salasanan.
Seuraavassa on muutamia peruskäytäntöjä käyttäjätunnuksen ja kirjautumisen suojaamiseksi.
Peruskäytäntö #1: 2FA
On suositeltavaa käyttää kaksivaiheista tunnistautumista (2FA:ta) kaikkialla, missä se on mahdollista. Tämä todella tiukentaa kirjautumisturvallisuutta, ja se on Wordfence-lisäosan ominaisuus (Dashboard > Wordfence > Login Security). 2FA vaatii puhelimessasi sovelluksen, joka näyttää ajastetun koodin. Kun kirjaudut sivustollesi, avaat sovelluksen ja kirjoitat koodin kirjautumiskenttään.
2FA aiheuttaa ylimääräistä säätämistä käyttäjänäkökulmasta, ja se voi olla hankalaa teknologialle allergisille käyttäjille, mutta sen hyödyt ovat kuitenkin haittoja suuremmat, ja sopeutumisajan jälkeen sivustosi käyttäjät kirjautuvat sisään helposti.
Lisäksi, 2FA:sta on tullut hyvin tavallinen käytäntö monissa muissa sovelluksissa, ja se on monilla organisaatioilla yleisesti käytössä , joten käyttäjilläsi on todennäköisesti jo sovellus.
Peruskäytäntö #2: Käyttäjänimen hämärtäminen
Tee käyttäjätunnuksestasi vaikeasti arvattava. Aina ei ole käytännöllistä käyttää vain salasanan kaltaista käyttäjätunnusta ja vahvaa salasanaa, mutta esimerkiksi ’user727d68’ on paljon vaikeampi arvata kuin ’user’.
Peruskäytäntö #3: Ei yleisnimiä
Älä käytä yleisiä käyttäjätunnuksia, kuten admin, editor, author jne. Käyttäjätunnuksesi ei myöskään saisi olla sama kuin verkkotunnuksesi. Esimerkiksi makeesivusto.fi-sivustolla ei pitäisi olla käyttäjätunnusta ’makeesivusto’. Sinun tulisi myös välttää yhdistelmiä, kuten ’etunimi. sukunimi’, koska ne ovat helposti tunnistettavissa verkkosivustollasi. Nämä ovat järjestäen ensimmäiset käyttäjätunnukset, joita botit yrittävät käyttää sivustollasi hyökätessään.
Peruskäytäntö #4: Tietovuoto
WP:ssä on muutamia paikkoja, joissa käyttäjätunnuksesi/käyttäjätietosi ovat näkyvissä.
Ensimmäinen on käyttäjäprofiilisi näyttönimikenttä (Dashboard > Users > Profile). Näyttönimesi pitäisi olla eri kuin käyttäjänimesi. Tämä näyttönimi näkyy kirjoittajan biossa ja mahdollisesti yksittäisissä sivupohjissa jne.
Toinen mahdollinen paikka, joka voi vuotaa tietoja, on Yoastin Author Archives, joka linkittää kirjoittajan sivukarttaan käyttämällä todellista käyttäjätunnustasi. Voit joko kytkeä Yoast Author Archivesin pois päältä tai käyttää tätä kätevää pientä lisäosaa, jolla voit nimetä kirjoittajan slugin uudelleen. Lisää tietoa tästä asiasta löytyy esimerkiksi (jo vuodesta 2019 alkaen…) täältä.
Peruskäytäntö #5: Brute force -hyökkäysten estäminen
Kun varmistat, että Wordfence on asetettu estämään väärät käyttäjätunnukset ja rajoittamaan kirjautumisyrityksiä, olet jo askeleen edellä peliä. On kuitenkin hyvä pitää mielessä, että voit auttaa näitä työkaluja suojaamaan sivustoasi paremmin noudattamalla joitakin perusturvakäytäntöjä blogissasi. Tietoturvatyökalut voivat auttaa sinua vain osan matkaa, jos kirjautumistietosi ovat heikot.
Peruskäytäntö #6: Brute Force -hyökkäysten seuranta
Wordfence pitää hyvät lokitiedot kirjautumisyrityksistä ja epäonnistumisista. Jos seuraat näitä yrityksiä, voit nähdä, yrittävätkö botit murtaa oikeaa käyttäjätunnustasi. Jos näin tapahtuu, voit vaihtaa käyttäjätunnuksesi (yleensä se on vaihdettava suoraan tietokantaan).
Sivustosi tapahtumien seuraamisen ei tarvitse olla kokopäivätyötä. Noudattamalla joitakin peruskäytäntöjä voit tiukentaa tietojesi suojausta. Ota yhteyttä rohkeasti, jos sinulla on kysyttävää siitä, miten alustamme voi turvata sivustosi, tai tutustu ilmaiseen kurssiimme (englanniksi), jolla opit, miten voit turvata sivustosi itse.
Kuva: Patrick Tomasso Unsplash.
