WP-palvelun Blogi

Kirjoituksia suomalaisilta WordPress-asiantuntijoilta.

Huolehdi sinä salasanahygieniasta, me huolehdimme kaikesta muusta

WordPress on yleisyytensä takia suosittu tietoturvamurtoyritysten kohde. Pahikset skannaavat kokoajan verkkoa ja yrittävät murtautua kaikille löytämillensä WordPress-sivustoille. Ei ole kuitenkaan syytä paniikkiin, koska ei ole olemassa turvattomia WordPress-sivustoja, on vain huonosti ylläpidettyjä WordPress-sivustoja.

WP-palvelun asiakkaana WordPressin tietoturvamurroista ei ole syytä huolestua, sillä hakkereiden murtautumisyritykset ovat kelvottomia ja perustuvat pääasiassa siihen, että hyökkääjät koittavat onneaan etsiessään vanhentuneita WordPress-asennuksia tai lisäosia, joissa on paikkaamattomia tietoturva-aukkoja.

Brute force wp-login
Esimerkkinä keskimääräisen asiakkaan wp-login.php-kirjautumissivun liikennetilastoa. Piikit näyttävät ns. brute force -murtautumisyritykset.

 

Salasanahygienia on omissa käsissäsi

Ainoa asia, josta yksittäisen WordPress-käyttäjän tai Seravon WP-palvelun asiakkaan tarvitsee huolehtia, on salasanahygienia. Aivan kuten säännöllinen käsien pesu saippualla estää tautien leviämistä, tulee kaikkien muistaa tietyt perusasiat salasanojen osalta, jotta ikävyyksiä ei pääse sattumaan.

 

1. Säilytä salasanat turvallisesti

Kukaan ei pysty muistamaan kaikkia salasanojaan, joten mieti suosiolla mikä on turvallinen tapa säilyttää ne. Paperilappu kassakaapissakin käy, mutta moderni tapa on käyttää salasanamanageria. Managerin avulla kaikki salasanat pysyvät tallessa yhdessä paikassa ja ovat helposti käytettävissä eri laitteilla. Seravossa suosikki on KeePass, koska se on avointa lähdekoodia ja sen yksityisyyteen ja turvallisuuteen voi luottaa.

 

2. Käytä eri salasanoja eri järjestelmissä

Kuvitellaan seuraava tilanne: pelisivustolla on tietomurto ja hakkeri saa käsiinsä listan käyttäjätunnuksia ja salasanoja, sinun tunnus ja salasanasi mukaanlukien. Varsinaisella sivustolla aikaansaatava vahinko voi jäädä pieneksi, mutta mitä tapahtuu jos murtautuja yrittää kirjautua saamillaan tunnuksilla ja salasanoilla myös Facebookiin, Twitteriin ja WordPress-sivustoille? Jos sama salasana sopii myös sähköpostiin, kaikista muista palveluista voi tilata salasanan resetoinnin sähköpostiviestinä. Huolimattoman käyttäjän kaikki tilit kaikkialla voivat tulla kaapatuksi kerralla. Käytä siis eri salasanoja eri paikoissa, ja tallenna kaikki salasanat turvallisesti esimerkiksi KeePassilla.

 

3. Käytä vaikeasti arvattavia, monimutkaisia salasanoja

WordPressiä ja kaikkia muitakin paikkoja, joissa on kirjautumiskenttiä, pommitetaan jatkuvasti väärillä kirjautumisyrityksillä. WP-palvelun asiakkailla on automaattisesti Seravon rakentama suojaus käytössä, joka rajoittaa montako kertaa kirjautumista voi yrittää yksittäisestä IP-osoitteesta. Hyökkääjä voi kuitenkin käyttää useita ei IP-osoitteita, ja pommittaa sivustoa hissukseen ja hitaasti niin, että rajoittimet eivät iske päälle. Yritys jää kelvottomaksi kunhan salasanat eivät ole kelvottoman yksinkertaisia. Älä siis käytä salasananan omaa nimeäsi, älä edes lemmikin tai anopin nimeä. Käytä salasanassa isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. WordPressissä on vakiona salasanan vahvuuden mittari, joka auttaa valitsemaan riittävän pitkän ja monimutkaisen salasanan. Kaikki on hyvin, kunhan käyttäjä ei itse väkisin valitse liian yksinkertaista salasanaa.

 

WordPress salasanan vahvuusmittari

4. Vaihda salasana säännöllisesti

Pitkää ja monimutkaista salasanaa, joka on säilytetty turvallisesti, ei tarvitse vaihtaa kuin sukkia. Tavaksi kannattaa kuitenkin ottaa salasanojen vaihtaminen säännöllisesti, vaikkapa kerran vuodessa.  Jos epäilet, että salasanasi on vuotanut vääriin käsiin, vaihda se heti.

 

5. Älä koskaan kerro salasanaasi kenellekään

Kaikki fiksut tietojärjestelmät on rakennettu niin, että salasanat ovat vain käyttäjiä itseään varten ja ylläpitäjät tekevät ylläpitotoimenpiteet omilla ylläpitotunnuksillaan. Jos saat puhelun, jossa henkilö väittää olevansa hosting-yrityksestä ja tarvitsevansa WordPress-salasanaasi tehdäkseen jotain tärkeää puolestasi, pitäisi hälytyskellojen soida. WP-palvelun ylläpitäjät tekevät oman työnsä omilla tunnuksillaan eivätkä koskaan kysele asiakkailta näiden WordPress-tunnuksia.

Jos kaverisi haluaa ”lainata” käyttäjätunnustasi, suhtaudu siihen varauksella. Useimmissa järjestelmissä käyttöehdotkin kieltävät salasanojen paljastamisen muille. Yleisesti salasanalla tunnistautumista pidetään niin vahvana, että jos tunnuksellasi on tehty jotain väärin, on syy sinun eikä oikeudessa kelpaa puolustukseksi, että joku muu lainasi tunnustasi.

 

6. Lähetä salasanasi oikealle kohteelle ja vain suojatussa yhteydessä

WP-admin https

Verkkosivustoilla tämä tarkoittaa sitä, että ennen kuin kirjaudut minnekään ja syötät johonkin lomakkeeseen käyttäjätunnuksen ja salasanasi, tarkista aina selaimen osoiteriviltä, että olet oikealla sivustolla etkä huijaussivustolla. Varmista myös, että yhteys oikeaan sivustoon on suojattu salakuuntelulta, eli https on käytössä. Monilla selaimilla suojatun yhteyden tunnistaa myös vihreästä lukon kuvasta.

 

Tietoturvaan ei tarvita tietoturvalisäosia

Google ReCaptcha

WP-palvelun asiakkaana ei ole tarvetta huolestua turhaan tietoturvasta. Kunhan pitää huolen omasta salasanahygieniastaan, niin on tietoturva kokonaisuutena hyvällä tasolla. WordPressiin ei myöskään tarvitse asentaa erikseen tietoturvalisäosia. Emme suosittele WordFencea, iThemes Securityä tai vastaavia, koska niissä itsessään on historiallisesti ollut paljon tietoturva-aukkoja ja ne hidastavat sivuston toimintaa turhaan. Ainoa tietoturvaan liittyvä suositeltava lisäosa on mikä tahansa Google ReCaptchan toteuttava lisäosa, joka antaa lisäsuojaa kirjautusmissivulle sekä auttaa estämään roskakommentteja ja robottikäyttäjien rekisteröitymisiä.

 

Lisätietoa WordPressin tietoturvan perusasioista löytyy Seravon Slidesharen WordPress Security 101 -esityksestä.

 

 


Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *