Suojaa WP-kirjautumisesi

Botit ovat hyviä arvaamaan käyttäjätunnuksia ja yrittämään murtautua WP-asennukseesi arvaamalla salasanasi.

WordPressin kirjautumisen suojauksessa ei ole kyse vain tileistä kuten ’admin’ ja ’yourdomainname’. Vaikka yrittäisit kuinka hyvin piilottaa käyttäjätunnuksesi, se voi vuotaa ulos monta kautta, ja botit voivat löytää sen.

Wordfence on näppärä ominaisuus, joka estää jokaisen kirjautumisen käyttäjätunnuksella, jota ei ole WP:n käyttäjätaulukossa, mutta kun botti on saanut oikean käyttäjätunnuksesi, se voi yrittää arvata salasanaa, kunnes Wordfence estää sen. Jos et käytä minkäänlaista kirjautumissuojausta, se voi jatkaa yrittämistä, kunnes se murtaa salasanan.

Seuraavassa on muutamia peruskäytäntöjä käyttäjätunnuksen ja kirjautumisen suojaamiseksi.

Peruskäytäntö #1: 2FA

On suositeltavaa käyttää kaksivaiheista tunnistautumista (2FA:ta) kaikkialla, missä se on mahdollista. Tämä todella tiukentaa kirjautumisturvallisuutta, ja se on Wordfence-lisäosan ominaisuus (Dashboard > Wordfence > Login Security). 2FA vaatii puhelimessasi sovelluksen, joka näyttää ajastetun koodin. Kun kirjaudut sivustollesi, avaat sovelluksen ja kirjoitat koodin kirjautumiskenttään.

2FA aiheuttaa ylimääräistä säätämistä käyttäjänäkökulmasta, ja se voi olla hankalaa teknologialle allergisille käyttäjille, mutta sen hyödyt ovat kuitenkin haittoja suuremmat, ja sopeutumisajan jälkeen sivustosi käyttäjät kirjautuvat sisään helposti.

Lisäksi, 2FA:sta on tullut hyvin tavallinen käytäntö monissa muissa sovelluksissa, ja se on monilla organisaatioilla yleisesti käytössä , joten käyttäjilläsi on todennäköisesti jo sovellus.

Peruskäytäntö #2: Käyttäjänimen hämärtäminen

Tee käyttäjätunnuksestasi vaikeasti arvattava. Aina ei ole käytännöllistä käyttää vain salasanan kaltaista käyttäjätunnusta ja vahvaa salasanaa, mutta esimerkiksi ’user727d68’ on paljon vaikeampi arvata kuin ’user’.

Peruskäytäntö #3: Ei yleisnimiä

Älä käytä yleisiä käyttäjätunnuksia, kuten admin, editor, author jne. Käyttäjätunnuksesi ei myöskään saisi olla sama kuin verkkotunnuksesi. Esimerkiksi makeesivusto.fi-sivustolla ei pitäisi olla käyttäjätunnusta ’makeesivusto’. Sinun tulisi myös välttää yhdistelmiä, kuten ’etunimi. sukunimi’, koska ne ovat helposti tunnistettavissa verkkosivustollasi. Nämä ovat järjestäen ensimmäiset käyttäjätunnukset, joita botit yrittävät käyttää sivustollasi hyökätessään.

Peruskäytäntö #4: Tietovuoto

WP:ssä on muutamia paikkoja, joissa käyttäjätunnuksesi/käyttäjätietosi ovat näkyvissä.

Ensimmäinen on käyttäjäprofiilisi näyttönimikenttä (Dashboard > Users > Profile). Näyttönimesi pitäisi olla eri kuin käyttäjänimesi. Tämä näyttönimi näkyy kirjoittajan biossa ja mahdollisesti yksittäisissä sivupohjissa jne.

Toinen mahdollinen paikka, joka voi vuotaa tietoja, on Yoastin Author Archives, joka linkittää kirjoittajan sivukarttaan käyttämällä todellista käyttäjätunnustasi. Voit joko kytkeä Yoast Author Archivesin pois päältä tai käyttää tätä kätevää pientä lisäosaa, jolla voit nimetä kirjoittajan slugin uudelleen. Lisää tietoa tästä asiasta löytyy esimerkiksi (jo vuodesta 2019 alkaen…) täältä.

Peruskäytäntö #5: Brute force -hyökkäysten estäminen

Kun varmistat, että Wordfence on asetettu estämään väärät käyttäjätunnukset ja rajoittamaan kirjautumisyrityksiä, olet jo askeleen edellä peliä. On kuitenkin hyvä pitää mielessä, että voit auttaa näitä työkaluja suojaamaan sivustoasi paremmin noudattamalla joitakin perusturvakäytäntöjä blogissasi. Tietoturvatyökalut voivat auttaa sinua vain osan matkaa, jos kirjautumistietosi ovat heikot.

Peruskäytäntö #6: Brute Force -hyökkäysten seuranta

Wordfence pitää hyvät lokitiedot kirjautumisyrityksistä ja epäonnistumisista. Jos seuraat näitä yrityksiä, voit nähdä, yrittävätkö botit murtaa oikeaa käyttäjätunnustasi. Jos näin tapahtuu, voit vaihtaa käyttäjätunnuksesi (yleensä se on vaihdettava suoraan tietokantaan).


Sivustosi tapahtumien seuraamisen ei tarvitse olla kokopäivätyötä. Noudattamalla joitakin peruskäytäntöjä voit tiukentaa tietojesi suojausta. Ota yhteyttä rohkeasti, jos sinulla on kysyttävää siitä, miten alustamme voi turvata sivustosi, tai tutustu ilmaiseen kurssiimme (englanniksi), jolla opit, miten voit turvata sivustosi itse.

Kuva: Patrick Tomasso Unsplash.

Lisa Karvonen

Kirjoittaja: Lisa Karvonen

Lissu on full-stack-kehittäjä, joka aloitti työskentelyn WordPressin parissa vuonna 2004. Siitä lähtien hän on koodannut lisäosia, teemoja ja sovelluksia yrityksille ja organisaatioille sekä WordPressissä, Multisite-järjestelmässä että muissa PHP/MySQL-sovelluksissa.

Hän alkoi kehittää WP-Ensure-alustaa vuonna 2017 vastauksena asiakassivustojen hyökkäyksiin, ja on siitä lähtien jatkuvasti kehittänyt ja laajentanut yritystä ja alustaa.

Hän on alun perin kotoisin Skotlannista, mutta asuu Suomessa miehensä, poikansa, kahden koiransa, kahden kissansa ja riutta-akvaarionsa kanssa.

Quick Security Audit

Our quick website security audit instantly checks for common issues and delivers a detailed report to your inbox. No hassle, just clear insights.

Käytämme parasta

Alue- ja kielivaihtoehdot

Pidämme verkkosivustosi Helsingissä taataksemme yksityisyyden, nopeuden ja turvallisuuden.

Valitse alueesi ja kielesi alla:

U.S.A.

Yhdysvaltojen kansallislippu.

UK

The Union Jack.

Suomi

Suomen kansallislippu.