Lisäturvaa WordPress -sivustolle kirjautumiseen
Käyttäjätunnus ja salasana, sillähän sitä yleensä tunnistaudutaan verkossa oleviin palveluihin, näin myös WordPressissä. Kaksivaiheinen tunnistautuminen antaa lisäturvaa, sillä salasanan lisäksi on kirjautumisen yhteydessä annettava jotain muutakin, yleensä alati muuttuva PIN -koodi.
Google Authenticator
Google tarjoaa omiin palveluihinsa kirjautumiseen kaksivaiheista vahvistusta (2-step authentication) . Tämän voi ottaa käyttöön oman Google -tilin tietoturva-asetuksissa. Tarvitset Android- tai iPad-laitteeseesi Google Authenticator -sovelluksen, ne saat maksutta mobiililaiteeseesi Play Kaupasta / Appstoresta.
Lisätietoa: Google kaksivaiheinen vahvistus
Authenticator ja WordPress.com -palvelu
WordPress.com -palvelussa voi ottaa tämän Googlen tarjoaman tunnistautumispalvelun käyttöönsä tunnuksen ja salasanan rinnalle helposti. Siihen on kattava englanninkielinen artikkeli verkossa: Security – Two Step Authentication
Oma WordPress ja Authenticator
Omaan / Web-hotellin serveriin sijoitettuihin WordPress -asennuksiin Googlen kaksivaiheisen vahvistamisen saa käyttöönsä lisäosan avulla.
Lisätietoja ja linkit lisäosiin WordPress Codex artikkelissa: Two Step Authentication
Google Authenticator -lisäosa ja WordPress
Otin vast’ikään omalle sivustolleni käyttöön Google Authenticator -lisäosan. Se kävi helposti, sillä minulla oli jo käytössäni Andoid-puhelimessa Authenticator -sovellus.
- Lisäosan lataus sivustoon, lisäosan aktivointi
- Omassa käyttäjäprofiilissa Käyttäjät – Omat tietosi Authenticator -asetuksissa aktivointi ja asetusten tallennus
- Sen jälkeen kirjautuminen WordPressiin muuttuu näin:
- Tarvitset puhelimesi Authenticator -sovelluksen generoiman vaihtuvan PIN -koodin
Kaksivaiheinen tunnistautuminen tuo tietenkin lisävaiheen sivustolle kirjautumiseen, mutta se on pieni vaiva. Itse koen ominaisuuden tarpeelliseksi, sillä joudun usein koulutuksissani demoamaan WordPress -sivustoa ja joskus lipsahtaa salasana näkyviin oman huolimattomuuden vuoksi. Nyt ei käyttäjä-tunnuksen ja salasanan ”näkeminen” enää riitä, vaan vaihtuva PIN -koodi turvaa sivuston.
WordPress on yksi maailman suosituimmista järjestelmistä ylläpitää Web -sivustoja. Laajan suosion syy on tietty laadukas ja helppokäyttöinen ohjelmisto. Suosiosta on myös haittaa. Krakkerit tuppaavat tekemään haittakoodia ja yrittävät murtautua järjestelmiin, jotka ovat yleisesti käytössä. WordPressin voi tehdä tietoturvallisemmaksi melko helposti, ei se mitään rakettitiedettä ole.
WordPressin automaattinen päivitys
WordPress -ohjelmisto on päivittynyt automaattisesti versiosta 3.7 lähtien. Se on erinomainen ominaisuus, joka auttaa pitämään ohjelmiston koodin aina uusimpana, bugikorjauksia ja tietoturvapäivityksiä tulee ohjelmistoon säännöllisesti. Tämä ominaisuus pitää mm. perus ”core” -koodin tuoreimpana. Itse käytän automaattipäivitystä kontrolloidusti Easy Updates Manager -lisäosan avulla, sillä haluan itse päättää mm. milloin teeman tiedostot päivittyvät.
Lue lisää automaattisesta päivittymisestä:
https://codex.wordpress.org/Configuring_Automatic_Background_Updates
Tietoturvaa lisäosilla
Lisäosat eli pluginit ovat olennainen osa WordPress -sivuston muokkaamiseksi mieleiseksesi. Lisäosilla saa myös lisättyä tietoturvaa sivustoosi. Olen itse kokeillut / käytän erinäisiä lisäosia, kuten esimerkiksi:
JetPack – siinä on useampiakin tietoturvaan liittyviä ominaisuuksia otettavissa käyttöön
Google Authenticator – kaksivaiheinen vahvistus, eli pelkkä tunnus ja salasana ei riitä kirjautumiseen, vaan tarvitaan jotain lisää. Kirjoitin kaksivaiheisen vahvistamisen käyttöönotosta jokin aika sitten.
Automaattiset päivitykset, valikoidut lisäosat ja muutamat muut pienet lisäkeinot apunani ja WordPress -sivustoni on hyökkäyksiltä paremmassa turvassa. Sivustooni ei toistaiseksi ole murtauduttu, tai ainakaan en ole sitä vielä huomannut ?
Lisää luettavaa WordPress tietoturvasta
WordPress -ohjelmiston kotisivuilla on hyvä tietopaketti tietoturvasta:
https://codex.wordpress.org/Hardening_WordPress
Yoast blogikirjoitus aiheesta:
https://yoast.com/wordpress-security/
WordPress on yksi maailman suosituimmista järjestelmistä ylläpitää Web -sivustoja. Laajan suosion syy on tietty laadukas ja helppokäyttöinen ohjelmisto. Suosiosta on myös haittaa. Krakkerit tuppaavat tekemään haittakoodia ja yrittävät murtautua järjestelmiin, jotka ovat yleisesti käytössä. WordPressin voi tehdä tietoturvallisemmaksi melko helposti, ei se mitään rakettitiedettä ole.
WordPressin automaattinen päivitys
WordPress -ohjelmisto on päivittynyt automaattisesti versiosta 3.7 lähtien. Se on erinomainen ominaisuus, joka auttaa pitämään ohjelmiston koodin aina uusimpana, bugikorjauksia ja tietoturvapäivityksiä tulee ohjelmistoon säännöllisesti. Tämä ominaisuus pitää mm. perus ”core” -koodin tuoreimpana. Itse käytän automaattipäivitystä kontrolloidusti Easy Updates Manager -lisäosan avulla, sillä haluan itse päättää mm. milloin teeman tiedostot päivittyvät.
Lue lisää automaattisesta päivittymisestä:
https://codex.wordpress.org/Configuring_Automatic_Background_Updates
Tietoturvaa lisäosilla
Lisäosat eli pluginit ovat olennainen osa WordPress -sivuston muokkaamiseksi mieleiseksesi. Lisäosilla saa myös lisättyä tietoturvaa sivustoosi. Olen itse kokeillut / käytän erinäisiä lisäosia, kuten esimerkiksi:
JetPack – siinä on useampiakin tietoturvaan liittyviä ominaisuuksia otettavissa käyttöön
Google Authenticator – kaksivaiheinen vahvistus, eli pelkkä tunnus ja salasana ei riitä kirjautumiseen, vaan tarvitaan jotain lisää. Kirjoitin kaksivaiheisen vahvistamisen käyttöönotosta jokin aika sitten.
Automaattiset päivitykset, valikoidut lisäosat ja muutamat muut pienet lisäkeinot apunani ja WordPress -sivustoni on hyökkäyksiltä paremmassa turvassa. Sivustooni ei toistaiseksi ole murtauduttu, tai ainakaan en ole sitä vielä huomannut ?
Lisää luettavaa WordPress tietoturvasta
WordPress -ohjelmiston kotisivuilla on hyvä tietopaketti tietoturvasta:
https://codex.wordpress.org/Hardening_WordPress
Yoast blogikirjoitus aiheesta:
https://yoast.com/wordpress-security/