Viime aikoina on havaittu poikkeuksellisen paljon WordPress-sivustojen tietomurtoja, joiden perimmäisenä syynä on ollut sivuston käyttäjän heikko salasana. Onkin jälleen aika muistuttaa WordPress-käyttäjiä hyvän salasanahygienian noudattamisesta!
Julkaistu

Vaikka omista käyttäjätunnuksista huolehtiminen voi ensin vaikuttaa melko vähänpätöiseltä – kuka muka minun salasanaani urkkisi? – on vuotanut salasana valitettavasti yleisimpiä WordPress-sivuston tietomurtoon johtaneita syitä. Voit katsoa esimerkiksi tämän Team Whackin jakson Yle Areenasta niin näet, kuinka hakkeri voi saada selville käyttäjätunnuksen ja salasanan mm. digitaalisia jalanjälkiä seuraamalla.

Hyvä salasanahygienia

Vaikka salasanasi olisi hyvä, siitä kannattaa pitää huolta oikealla tavalla. Muista siis nämä seitsemän asiaa, kun käsittelet salasanaasi! Samat ohjeet ja vinkit pätevät toki muihinkin järjestelmiin ja palveluihin WordPressin ohella.

1. Pidä salasana turvassa

Salasanojen muistaminen voi olla vaikeaa, joten suosittelemme erillistä salasanamanagerin käyttöä – yhtenä esimerkkinä ilmainen ja avoimen lähdekoodin KeePass. Ohjelman avulla voit myös generoida uusia, tarpeeksi monimutkaisia ja vahvoja salasanoja, joten voit heittää hyvästit niiden keksimiselle!

2. Käytä eri salasanoja eri palveluissa

Mikäli käyttämässäsi palvelussa tapahtuu tietomurto, voi salasanasi levitä nettiin ja päätyä sitä kautta vääriin käsiin. Jos käytit samaa salasanaa muuallakin, pääsee käyttäjätunnukseksi ja nyt myös salasanasi tietävä taho kirjautumaan muihin palveluihin. Esimerkiksi haveibeenpwned.com-sivustolta voit tutkia, onko sähköpostisi salasana vuotanut internetiin jonkin aiemman suuren tietomurron yhteydessä.

haveibeenpwned.com-sivustolta voit tarkistaa, onko esimerkiksi sähköpostiosoitteesi ollut mukana netin tietovuodoissa. Kuvakaappaus sivustosta.

Eri salasanoja voi olla vaikea muistaa, mutta tähänkin auttaa salasanamanageriohjelman käyttäminen. Vieläkin kätevämmän salasanamanageristasi saat, mikäli käytät  selainlaajennosta.

3. Varmista, että salasanasi on tarpeeksi monimutkainen

Isoja ja pieniä kirjaimia, erikoismerkkejä, numeroita… Vaikka salasanavaatimukset voivat vaihdella järjestelmästä riippuen, älä käytä mitään yksittäistä sanaa WordPress-sivustosi salasanana. Botit voivat yrittää kirjautua sisään erillisten sanalistojen kanssa, ja näiltä listoilta löytyvät ainakin tavallisimmat sanakirjoista löytyvät sanat.

Pidempi salasana on todennäköisesti turvallisempi, mutta pitkä sana omituisine kirjain-, numero- ja merkkiyhdistelmineen voi olla vaikea muistaa ja kirjoittaa. Salasana voikin olla esimerkiksi kokonainen lause, joko välimerkeillä tai ilman – se voi soveltua jokapäiväiseen käyttöön monimutkaisen sanan sijaan.

4. Salasanan vaihtaminen kannattaa

Mikäli epäilet että salasanasi on päätynyt vääriin käsiin, on mahdollisesti liian yksinkertainen ja heikko tai se on ollut käytössäsi yhtämittaisesti jo vuosia, kannattaa se vaihtaa oitis uuteen!

Salasanan vaihtaminen esimerkiksi järjestelmänvalvojan avulla voi tulla tarpeeseen, mikäli kyse on uudemmantyyppisestä MFA-väsytyksestä. Kaksivaiheisen kirjautumisen vahvistuspyynnöillä ei kuitenkaan pystytä käyttäjää spämmäämään, mikäli salasana ei ole alunperinkään päätynyt vääriin käsiin.

5. Älä jaa salasanaasi kenenkään kanssa

Mistä tunnistaa tosiystävän? Ainakin siitä, ettei hän koskaan pyydä salasanaasi. Älä siis anna salasanaa kenellekään – älä jaa sitä edes asiakastuen, työkaverisi tai perheenjäsenesi kanssa. Se on vain omaa käyttöäsi varten, eikä kenenkään muun tulisi ikinä tarvita sitä. Myös käyttämäsi palvelun käyttöehdot voivat kieltää tunnusten jakamisen muille.

6. Tarkista, että olet yhteydessä oikealle sivustolle

Huijaussivusto ei ole aina ilmeinen. Etevällä hakkerilla on voinut olla roppakaupalla aikaa hioa ja valmistella huijaustarkoitukseen rakentamaansa sivua. Valesivusto voi siis muistuttaa aitoa sivustoa erehdyttävästi, vaikka silmäsi olisikin harjaantunut.

Kuvassa Firefox-selaimen ilmoitus suojatun yhteyden käyttämisestä.

Varmista selaimen osoiteriviltä, että käytössä on HTTPS eli salattu yhteys. Tämän painikkeen takaa voit myös tutkia, kuka on toimittanut sivuston sertifikaatin. Seravon WP-palvelussa sivustot käyttävät oletuksena Let’s Encrypt -sertifikaattia.

7. Älä luota tietoturvalisäosaan

Vaikka WordPress-sivustoille on saatavilla lukuisia lisäosia joiden luvataan parantavan sivuston tietoturvaa, vaikutus voi olla päinvastainen: niiden koodissa saattaa piillä heikkous, jota ei-toivotut tahot pääsevät hyödyntämään sivustolle pyrkiessään. Mitä vähemmän sivustollesi on asennettu lisäosia, sitä pienempi on sivustosi tietoturva-aukkojen mahdollisuus.

Seravon WP-palvelussa sivustosi on valvonnassa vuorokauden ympäri vuoden jokaisena päivänä, ja sivustoa skannataan haittakoodin varalta. Teemme kriittiset tietoturvapäivitykset sivustollesi viipymättä, ja otamme yhteyttä, mikäli sivustollasi havaitaan tietoturvapoikkeama. Palvelussamme olevilla sivustoilla on myös tietoturvatakuu: putsaamme sivustosi haittakoodista ilmaiseksi, mikäli se murretaan Seravon WP-palvelussa ollessaan.

Kohti vieläkin turvallisempaa WordPressiä

Onko sinulla lisävinkkejä salasanahygieniasta huolehtimiseen? Jaa vinkkisi kommentteihin! Voit myös tutustua alkuperäiseen salasanahygieniaa käsittelevään blogikirjoitukseen. Myös muutamalla muulla asialla voit parantaa WordPressin tietoturvaa entuudestaan.

2FA & reCaptcha

Kaksivaiheisen tunnistautumisen eli 2FA:n käyttöönottoa suosittelemme kaikilla sivustoilla, sillä se estää pääsyn sivustolle vaikka joku saisi selville salasanasi. Lisäosa löytyy esiasennettuna Seravon WP-palveluun perustettavilta sivustoilta. Seravon blogista löydät myös ohjeet kuvien kera lisäosan käyttöönottoon!

Näitkö sivustosi lokeista, että botit näyttävät kokeilevan sisäänpääsyä kirjautumissivulla? Tietopankista löydät lisätietoja reCaptcha-lisäosasta ja ohjeet sen asentamiseen. Myös kontaktilomakkeilla on suotavaa käyttää captcha-arvoitusta, sillä botit pystyvät hyödyntämään suojaamatonta lomaketta roskapostien lähettämiseen – eli roskapostit alkavat kulkea sivustosi kautta!

Seravo Plugin

Seravon oma lisäosa tarjoaa myös sivustosi tietoturvaa parantavia ominaisuuksia ja asetuksia. WordPressistä löytyvä xmlrpc.php-tiedosto on bottien suosikkikohde, mutta mikäli et tarvitse XML-RPC:tä esimerkiksi sivuston etähallintaan, voit muuttaa asetusta kirjautumalla WordPress-sivustosi hallintapaneeliin ja valitsemalla Työkalut > Tietoturva. Voit myös tarkistaa tietopankistamme, mitä kaikkia muita ominaisuuksia lisäosa pitää sisällään.

Haluatko tietää enemmän WordPress-sivuston tietoturvasta tai nähdä esimerkin siitä, miltä sivustolle sujautettu haittakoodi näyttää? Voit lukea aiheesta lisää aiemmasta blogikirjoituksesta!

Lue lisää

Kategoriassa: Tietoturva

Miten suojautua palvelunestohyökkäyksiltä?

Palvelunestohyökkäyksessä sivustolle lähetetään loputon määrä samanaikaisia pyyntöjä, jolloin sivusto ei enää avaudu vierailijoille. Miten niiltä voi suojautua?

12 huhtikuun, 2022

Salasanojen suojauksia tiukennetaan

Seravo tiukentaa helmikuun aikana suojauksia asiakkaidensa WordPress-sivustoilla liittyen salasanojen, kirjautumisten ja yhteyksien suojaamiseen.

9 helmikuun, 2021

WordPress-tietokannan suojaukset Seravolla

Viime viikkoina tietoturva on ollut esillä Suomalaisissa uutisotsikoissa. Lue Seravon blogista, mitä kaikkea Seravo tekee tietokannan suojaamiseksi WordPress-sivustoillamme.

9 marraskuun, 2020

Paranna tietoturvaasi kaksivaiheisella tunnistautumisella

Tässä artikkelissa esittelen TOTP-sovelluksen käyttöä kaksivaiheiseen tunnistautumiseen ja miksi TOTP on monia muita vaihtoehtoja parempi menetelmä.

14 toukokuun, 2020

Salasanahygienia on puoli tietoturvaa

Huolehdimme Seravolla paitsi WordPress-sivustojen toimivuudesta ja suorituskyvystä, myös niiden tietoturvasta. WP-palvelussa ylläpidossa olevalle sivustolle tehdään toistuvasti automaattisia tarkistuksia haittakoodin varalta, […]

7 toukokuun, 2020

TLS 1.1 ja 1.0 historiaan maaliskuussa

Seravon WP-palvelussa on vuoden 2020 alusta ollut ensisijaisena HTTPS-liikenteen salausprotokollana käytössä TLS 1.3, jonka lisäksi käytössä on TLS 1.2. Sen […]

10 maaliskuun, 2020