WordPress on yleisyytensä takia suosittu tietoturvamurtoyritysten kohde. Pahikset skannaavat kokoajan verkkoa ja yrittävät murtautua kaikille löytämillensä WordPress-sivustoille. Ei ole kuitenkaan syytä paniikkiin, koska ei ole olemassa turvattomia WordPress-sivustoja, on vain huonosti ylläpidettyjä WordPress-sivustoja.
WP-palvelun asiakkaana WordPressin tietoturvamurroista ei ole syytä huolestua, sillä hakkereiden murtautumisyritykset ovat kelvottomia ja perustuvat pääasiassa siihen, että hyökkääjät koittavat onneaan etsiessään vanhentuneita WordPress-asennuksia tai lisäosia, joissa on paikkaamattomia tietoturva-aukkoja.
Salasanahygienia on omissa käsissäsi
Ainoa asia, josta yksittäisen WordPress-käyttäjän tai Seravon WP-palvelun asiakkaan tarvitsee huolehtia, on salasanahygienia. Aivan kuten säännöllinen käsien pesu saippualla estää tautien leviämistä, tulee kaikkien muistaa tietyt perusasiat salasanojen osalta, jotta ikävyyksiä ei pääse sattumaan.
1. Säilytä salasanat turvallisesti
Kukaan ei pysty muistamaan kaikkia salasanojaan, joten mieti suosiolla mikä on turvallinen tapa säilyttää ne. Paperilappu kassakaapissakin käy, mutta moderni tapa on käyttää salasanamanageria. Managerin avulla kaikki salasanat pysyvät tallessa yhdessä paikassa ja ovat helposti käytettävissä eri laitteilla. Seravolla suosikki on KeePass, koska se on avointa lähdekoodia ja sen yksityisyyteen ja turvallisuuteen voi luottaa.
2. Käytä eri salasanoja eri järjestelmissä
Kuvitellaan seuraava tilanne: pelisivustolla on tietomurto ja hakkeri saa käsiinsä listan käyttäjätunnuksia ja salasanoja, sinun tunnus ja salasanasi mukaanlukien. Varsinaisella sivustolla aikaansaatava vahinko voi jäädä pieneksi, mutta mitä tapahtuu jos murtautuja yrittää kirjautua saamillaan tunnuksilla ja salasanoilla myös Facebookiin, Twitteriin ja WordPress-sivustoille?
Jos sama salasana sopii myös sähköpostiin, kaikista muista palveluista voi tilata salasanan resetoinnin sähköpostiviestinä. Huolimattoman käyttäjän kaikki tilit kaikkialla voivat tulla kaapatuksi kerralla. Käytä siis eri salasanoja eri paikoissa, ja tallenna kaikki salasanat turvallisesti esimerkiksi KeePassilla.
3. Käytä vaikeasti arvattavia, monimutkaisia salasanoja
WordPressiä ja kaikkia muitakin paikkoja, joissa on kirjautumiskenttiä, pommitetaan jatkuvasti väärillä kirjautumisyrityksillä. WP-palvelun asiakkailla on automaattisesti Seravon rakentama suojaus käytössä, joka rajoittaa montako kertaa kirjautumista voi yrittää yksittäisestä IP-osoitteesta.
Hyökkääjä voi kuitenkin käyttää useita ei IP-osoitteita, ja pommittaa sivustoa hissukseen ja hitaasti niin, että rajoittimet eivät iske päälle. Yritys jää kelvottomaksi, kunhan salasanat eivät ole kelvottoman yksinkertaisia. Älä siis käytä salasananan omaa nimeäsi, älä edes lemmikin tai anopin nimeä. Käytä salasanassa isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.
WordPressissä on vakiona salasanan vahvuuden mittari, joka auttaa valitsemaan riittävän pitkän ja monimutkaisen salasanan. Kaikki on hyvin, kunhan käyttäjä ei itse väkisin valitse liian yksinkertaista salasanaa.
4. Vaihda salasana säännöllisesti
Pitkää ja monimutkaista salasanaa, joka on säilytetty turvallisesti, ei tarvitse vaihtaa kuin sukkia. Tavaksi kannattaa kuitenkin ottaa salasanojen vaihtaminen säännöllisesti, vaikkapa kerran vuodessa. Jos epäilet, että salasanasi on vuotanut vääriin käsiin, vaihda se heti.
5. Älä koskaan kerro salasanaasi kenellekään
Kaikki fiksut tietojärjestelmät on rakennettu niin, että salasanat ovat vain käyttäjiä itseään varten ja ylläpitäjät tekevät ylläpitotoimenpiteet omilla ylläpitotunnuksillaan. Jos saat puhelun, jossa henkilö väittää olevansa hosting-yrityksestä ja tarvitsevansa WordPress-salasanaasi tehdäkseen jotain tärkeää puolestasi, pitäisi hälytyskellojen soida. WP-palvelun ylläpitäjät tekevät oman työnsä omilla tunnuksillaan eivätkä koskaan kysele asiakkailta näiden WordPress-tunnuksia.
Jos kaverisi haluaa ”lainata” käyttäjätunnustasi, suhtaudu siihen varauksella. Useimmissa järjestelmissä käyttöehdotkin kieltävät salasanojen paljastamisen muille. Yleisesti salasanalla tunnistautumista pidetään niin vahvana, että jos tunnuksellasi on tehty jotain väärin, on syy sinun eikä oikeudessa kelpaa puolustukseksi, että joku muu lainasi tunnustasi.
6. Lähetä salasanasi oikealle kohteelle ja vain suojatussa yhteydessä
Verkkosivustoilla tämä tarkoittaa sitä, että ennen kuin kirjaudut minnekään ja syötät johonkin lomakkeeseen käyttäjätunnuksen ja salasanasi, tarkista aina selaimen osoiteriviltä, että olet oikealla sivustolla etkä huijaussivustolla.
Varmista myös, että yhteys oikeaan sivustoon on suojattu salakuuntelulta, eli https on käytössä. Monilla selaimilla suojatun yhteyden tunnistaa myös vihreästä lukon kuvasta.
Tietoturvaan ei tarvita tietoturvalisäosia
WP-palvelun asiakkaana ei ole tarvetta huolestua turhaan tietoturvasta. Kunhan pitää huolen omasta salasanahygieniastaan, niin tietoturva on kokonaisuutena hyvällä tasolla. WordPressiin ei tarvitse asentaa erikseen tietoturvalisäosia. Emme suosittele WordFencea, iThemes Securityä tai vastaavia, koska niissä itsessään on historiallisesti ollut paljon tietoturva-aukkoja ja ne hidastavat turhaan sivuston toimintaa.
Ainoa tietoturvaan liittyvä suositeltava lisäosa on mikä tahansa Google ReCaptchan toteuttava lisäosa, joka antaa lisäsuojaa kirjautusmissivulle sekä auttaa estämään roskakommentteja ja robottikäyttäjien rekisteröitymisiä.
Lisätietoa WordPressin tietoturvan perusasioista löytyy Seravon Slidesharen WordPress Security 101 -esityksestä.
Comments
2 vastausta artikkeliin “Huolehdi sinä salasanahygieniasta, me huolehdimme kaikesta muusta”
[…] salasanahygieniasta huolehtimiseen? Jaa vinkkisi kommentteihin! Voit myös tutustua alkuperäiseen salasanahygieniaa käsittelevään blogikirjoitukseen. Myös muutamalla muulla asialla voit parantaa WordPressin tietoturvaa […]
[…] Kaksivaiheinen tunnistautuminen on suositeltavaa, sillä se parantaa sivustosi tietoturvaa merkittävästi. On myös suositeltavaa ottaa käyttöön kaksivaiheinen tunnistautuminen muihin käyttämiisi palveluihin, mikäli vain mahdollista. Tutustu lisäksi muihin vaihtoehtoihin kaksivaiheiseen tunnistautumiseen WordPress-sivustolla, Google Authenticatorin käyttöönottoon Googlen palveluissa sekä hyvän salasanahygienian periaatteisiin. […]