WordPress on turvallinen julkaisujärjestelmä ja usein tietoturvan heikoin lenkki on käyttäjä itse. Järjestelmästä mahdollisesti löytyvät tietoturva-aukot ja -uhat korjataan nopeasti ja järjestelmän jatkuva ajantasaisuus pitääkin sivuston suhteellisen turvallisena. Jatkuvat päivitykset ovat tärkeitä mutta nekään eivät pelasta käyttäjän virheiltä.
Sisäänkirjautumisen vahvistaminen
Heikoilla salasanoilla ei juuri ole vaikutusta murtautujiin. WordPress oletuksena edellyttääkin käyttäjiltä vahvoja salasanoja eikä sitä käytäntöä kannata muuttaa. Pyri siis parempaan tietoturvaan käyttäjätiedoissa ja sisäänkirjautumisen kontrolloinnissa. Erilaisin tietoturvalisäosin voidaan kiristää sisäänkirjautumisyrityksiä, rajoittaa lukumäärää tai blokata tiettyjä osoitteita pois tai esimerkiksi mahdollistaa sisäänkirjautuminen vain tietystä osoitteesta. Nämä voi toki tehdä ilman lisäosia mutta useimmille sen on helpoin ratkaisu.
Kaksivaiheinen tunnistautuminen
Hyväksi todettu tietoturvan parannuskeino on ottaa käyttöön kaksivaiheinen tunnistautuminen. Sellaista käyttävät monet verkkopalvelut kuten esimerkiksi Dropbox ja suosittelen ottamaan sen käyttöön aina kuin mahdollista. Kaksivaiheisen tunnistautumisen idea on, että kirjautumiseen tarvitaan jotain minkä käyttäjä tietää ja jotain mitä käyttäjällä on. Käytännössä tämä tapahtuu siten, että sisäänkirjautumisessa tarvitaan lisäkoodi, joka tulee käyttäjän puhelimeen tekstiviestinä tai erityisen sovelluksen esimerkiksi Google Authenticator generoimana.
Kirjauduttaessa on siis siis tiedettävä käyttäjätunnus, salasana sekä vaihtuva lisäkoodi.
Salasanan poistaminen käytöstä kokonaan
Yksi vaihtoehto on poistaa salasanalla kirjautuminen kokonaan pois käytöstä ja sallia kirjautuminen ainoastaan hallussa olevalla laitteella. Tällainen vaihtoehto on esimerkiksi Clef -lisäosa. Clef -kirjautumista käytettäessä sisäänkirjautumisen näytöllä näkyy animoitu viivakuvio, joka kuvataan palveluun rekisteröidyllä kännykällä ja jos puhelimessa oleva sovellus osaa synkronoida oman kuvionsa näytöllä näkyvään kuvioon, sivusto avautuu.
Varoituksen sana
Jos otat käyttöön kaksivaiheisen tunnistautumisen ja käytät tunnistautumisen jotain sovellusta, esimerkiksi Google Authenticator tai Clef, niin ota itsellesi talteen ns. ”recovery” koodi, jolla saat kirjautua sisään kerran mikäli kadotat laitteesi. Tämä on tärkeää sillä koko järjestelmän idea on vaikeuttaa sisäänkirjautumista ilman vaadittua laitetta. Ellei laitetta ole eikä recovery koodia ole käytössä, voi palveluun kirjautuminen olla mahdotonta! Jos näin ikävästi kävisi, saattaa tilanteen korjata kirjautuminen palvelimelle SFTP:llä ja poistamalla lisäosa palvelimelta tiedostotasolla. Varovaisuutta silti!
-Kari Selovuo
Advisor Kari Selovuo on kokenut konsultti ja kouluttaja jonka erityisosaamista ovat mm. webin perustekniikat HTML, CSS ja Javascript sekä WordPress.
Katso Karin WordPress koulutukset Corelliassa:
https://corellia.fi/kurssit/web/