Kaksivaiheinen tunnistautuminen on ilmainen, helppo ja varma keino suojautua ulkopuolisten tunkeutumiselta nettisivujesi hallintaan. Vaikka salasana päätyisi ulkopuolisen käsiin, pelkästään sillä ei pääse sisään, sillä tunnistautumisessa on nyt myös toinen vaihe. Kun kirjaudut nettisivuillesi, voit esimerkiksi puhelimesi tai sähköpostisi avulla vahvistaa, että se olit todellakin sinä, joka sivuille on kirjautumassa.
Miksi WordPressiin tunkeudutaan?
WordPress on maailman suosituin julkaisujärjestelmä yli 43% markkinaosuudellaan. Esimerkiksi Joomla, Drupal ja Magento jäävät WordPressin suosion taakse. Suosionsa ansiosta WordPressiin myös hyökätään useammin – ei siis siksi, että se olisi vähemmän turvallinen kuin jokin muu julkaisujärjestelmä.
Toinen iso syy siihen, miksi juuri WordPressiin kohdistuu niin paljon hyökkäyksiä, johtuu WordPressin käyttäjistä: monellakaan ei ole tietoa eikä taitoa ennaltaehkäistä ulkopuolisen tunkeutumista sivuille. WordPress on niin helppo, että kuka tahansa voi ottaa sen käyttöönsä ilman minkäänlaista osaamista tai kokemusta. Kokematon käyttäjä jättää hakkereille takaovet levälleen: salasanat ovat heikkoja, ja WordPressiä, teemoja tai lisäosia ei päivitetä. Ei siis ihme että sisään lompsitaan helposti ja usein – ja ne sivut joihin ei suoraa päätä pääsekään, yritetään tutkia tarkemmin ja löytää niistä heikkoja kohtia, joista murtautua.
Vahvan salasanan tärkeyttä ei voi liikaa korostaa. Siitä huolimatta salasanat ovat mitä ovat. NordPress selvitti yleisimmät käytössä olevat salasanat vuonna 2021. Tässäpä top 10 salasanat:
1. 123456
2. 123456789
3. 12345
4. qwerty
5. password
6. 12345678
7. 111111
8. 123123
9. 1234567890
10. 1234567
Huolimatta siitä että WordPress varoittaa heikoista salasanoista, hirveän moni käyttäjä on päätynyt käyttämään salasanaa admin123 tai password456. Eipä tarvitse ihmetellä, miten sivuille on päästy tunkeutumaan…
Sen lisäksi että käytät vahvaa salasanaa, voit parantaa turvallisuutta entisestään kaksivaiheisen tunnistautumisen avulla:
Kaksivaiheinen tunnistautuminen on tehokas suoja
Kaksivaiheinen tunnistautuminen on ilmainen, helppo ja varma keino suojautua tunkeutumiselta. Vaikka salasana päätyisi ulkopuolisen käsiin, sillä ei pääse sisään ilman seuraavaa tunnistautumisen vaihetta:
Kaksivaiheinen tunnistautuminen sisältää nimensä mukaisesti kaksi vaihetta
Ensimmäisessä vaiheessa kysytään käyttäjätunnusta ja salasanaa aivan kuten normaalistikin.
Toinen vaihe voi olla vaikkapa sähköpostiviesti, aikarajoitteinen kertakäyttöinen salasana (time-based one-time password, TOTP) tai avainlukulista-tyyppinen listaus kertakäyttöisistä salasanoista.
Kaksivaiheista tunnistautumista käytettäessä ulkopuolisen pääsy WordPress-sivuille vaikeutuu huomattavasti: tunkeutujalla pitää olla vahvistusmenetelmästäsi riippuen pääsy puhelimeesi, sähköpostiisi tai “avainlukulistaasi”.
Suosittelen kaksivaiheista tunnistautumista yrityksesi WordPress sivuille.
Miten kirjautuminen tapahtuu kun kaksivaiheinen tunnistautuminen on käytössä?
Kun kaksivaiheinen tunnistautuminen on käytössä, kirjautumiseen tulee yksi vaihe lisää – mutta kirjautuminen on silti helppoa. Tässä kolme vaihtoehtoista keinoa vahvistat, että juuri sinä olet kirjautumassa sivuillesi:
1. TOTP eli aikarajoitteinen kertakäyttöinen salasana
Omasta mielestäni helpoin ja nopein vaihtoehto on aikarajoitteinen kertakäyttöinen salasana.
Käytännössä kirjautuminen tapahtuu näin:
- Siirry WordPress-sivujesi kirjautumisosoitteeseen ja kirjoita tunnus ja salasana kuten ennenkin, jonka jälkeen kirjautumissivulla kysytään koodi
- Avaa puhelimesi Auhenticator-sovellus ja katso sieltä koodi
- Kirjoita koodi kirjautumissivulla olevaan kenttään. Valmista!
Jotta saat tämän aikarajoitteisen kertakäyttöisen salasanan käyttöösi, tarvitset siis edellä mainitun Authenticator-sovelluksen puhelimeesi.
2. Koodi sähköpostiin
Toinen yhtä helppo systeemi on sähköpostivarmennus. Tähän et tarvitse välttämättä puhelimeesi Authenticator-sovellusta.
Kun olet kirjautumassa WordPress-sivuillesi, sähköpostiosoitteeseesi tulee ilmoitus asiasta ja viestissä on koodi, joka sinun tulee kopioida kirjautumissivulla olevaan kenttään. Ja tämän jälkeen pääset normaalisti sisään.
3. Avainlukulista
Ihanan vanhanaikainen systeemi sopii avainlukulistojen ystäville. Kun otat kaksivaiheisen tunnistautumisen käyttöön sivuillasi, voit tallentaa tai tulostaa avainlukulistan, jota voit säilyttää vaikkapa rahasäilösi kassakaapissa olevassa lukollisessa lippaassa. Tai jossain. Kun sitten kirjaudut sivuillesi, tunnuksesi ja sähköpostiosoitteesi kysymisen jälkeen kysytään koodia, jonka löydät avainlukulistastasi. Ja sitten pääset kirjautumaan.
Voit ottaa käyttöön yhden tai useamman näistä eri vaihtoehdoista.
Käytä varalla vähintään toistakin tunnistautumistapaa
Yleensä kannattaa toimia niin, että on ainakin yksi varavaihtoehto: jos käytössä on vain TOTP mutta puhelimestasi on akku lopussa tai se on hävinnyt, et pääse kirjautumaan. Älä siis lukitse itseäsi vahingossa sivuiltasi ulos!
Jos olet varautunut siihen, että puhelimesi ei ole saatavilla ja sinulla on kakkosvaihtoehtona vaikkapa sähköpostivarmennus, voit valita sen ja saat koodin sähköpostiisi.
Ja kaiken varalle voit vielä valita sen avainlukulistan.
Pääasia, että sinulla on käytössäsi useampi vaihtoehtoinen menetelmä, jotta varmasti pääset sivujesi hallintaan.
Näin otat käyttöön kaksivaiheisen tunnistautumisen WordPress-sivuillasi
1. Lataa sovellus puhelimeesi
Jos haluat käyttää älypuhelintasi tunnistautumiseen, lataa puhelimeesi maksuton Authenticator-sovellus. Vaihtoehtoja on monia. Voi olla, että puhelimessasi on jo jokin Authenticator-sovellus, jota voit hyödyntää tähänkin käyttöön. Jos ei ole, tässä pari varmaa esimerkkiä:
Microsoftin Authenticator ainakin on toiminut oikein hyvin. Voit ladata sen Google Playsta: https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=fi&gl=US ja AppStoresta: https://apps.apple.com/fi/app/microsoft-authenticator/id983156458?l=fi.
Toinen vaihtoehto on Google Authenticator. Se löytyy esimerkiksi Google Playsta: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=fi&gl=US ja AppStoresta: https://apps.apple.com/us/app/google-authenticator/id388497605.
2. Toimi näin WordPressissa
Lataa ja ota käyttöön lisäosa Kaksivaiheinen (Two-Factor): https://fi.wordpress.org/plugins/two-factor/
Siirry oman profiilisi asetuksiin kohdassa Käyttäjät > Profiili ja kelaa profiilisi asetuksia vähän alaspäin, kunnes pääset kohtaan Kaksivaiheisen asetukset:
Valitse haluamasi tunnistautumistavat (laita rasti ruutuun sopiviin) ja klikkaa yksi näistä tavoista ensisijaiseksi (siirrä pallukka kohtaan Primary).
Jotta saat Time Based One-Time Password -tavan toimimaan niin että pystyt puhelimesi avulla vahvistamaan henkilöllisyytesi, sinun tulee ensin skannata WordPressin asetuksissa oleva QR-koodi tai näpytellä sen alla oleva pitkä rimpsu Authenticator-sovelluksellasi.
QR-koodin skannaus Authenticator-ohjelmalla
Kun siis ensimmäistä kertaa otat WordPressissasi käyttöön TOTP-tapaa, laita sen kohdalle rasti ruutuun, jolloin sen yhteyteen tulee näkyviin QR-koodi.
Siirry sitten puhelimesi Authenticator-sovellukseen ja lisää siihen uusi tili/sivusto (esim. Microsoftin Authenticator-sovelluksessa on ylhäällä oikeassa reunassa kolme pistettä ja niitä klikkaamalla tulee esille valikko, jossa kohta Lisää tili). Sen jälkeen näkyviin tulee QR-skanneri, jolla voit skannata WordPress-sivujesi profiilissa TOTP-kohdassa näkyvän QR-koodin. Kun skannaus on onnistunut, klikkaa WordPress-profiilisivullasi Tallenna, jotta asetuksesi tallentuu.
Esimerkiksi itselläni on useilla sivustoilla ykkösvaihtoehtona tuo Time Based One-Time Password eli TOTP. Tämä vaihtoehto tarkoittaa siis sitä, että kirjautuessani WordPressiin minun tulee katsoa puhelimeni Authenticator-sovelluksesta kuusinumeroinen koodi, jonka sitten kopioin tai näpyttelen kirjautumissisivulla olevaan kenttään. Ja sitten pääsen sisään.
Samassa Authenticator-sovelluksessa voit hallita useampienkin sivustojesi koodeja.
Ota käyttöön myös varatapa
Jos puhelimeni hukkuisi tai akku olisi lopussa, en pääsisi sivuilleni, ellen olisi ottanut käyttöön myös sähköpostivahvistusta varalle.
Jos siis en pystyisi kirjautumaan WordPressiin Authenticatorin avulla, voin klikata Käytä varatapaa -linkkiä:
Ja tämän jälkeen pääsen valitsemaan haluamani varatavan:
Jos siis en pääse tunnistautumaan TOTP-koodin avulla,
- voin siis tilata koodin sähköpostiosoitteeseeni
- tai käyttää niitä rahasäilöni kassakaapissa olevaan lukolliseen lippaaseen säilömiäni kertakäyttökoodeja, joiden avulla viimeistään pääsen sisälle.
Mutta entäs jos kaksivaiheisen tunnistautumisen varatavatkaan eivät toimi? Jäänkö ikuisesti omien sivujeni ulkopuolelle?
Et sentään.
Jos et kerta kaikkiaan pääse enää kirjautumaan Kaksivaiheisen takia, varatavoillakaan, voit ottaa lisäosan pois päältä.
Et tietenkään pääse WordPressin hallintaan ottamaan lisäosaa pois päältä, koska kaksivaiheinen tunnistautuminen estää pääsyn hallintasivuille.
Mutta pääset sisään esimerkiksi C-panelin, webhotellisi tiedostonhallinnan tai SFTP-ohjelman kautta. Kun olet päässyt palvelimelle, siirry WordPressisi lisäosakansioon (plugins).
Vaihda siellä Kaksivaiheinen -lisäosan nimeä (esim. Kaksivaiheinen -> Kaksivaiheinen_pois) jolloin lisäosa ei enää ole toiminnassa. Pääset kirjautumaan pelkillä WordPress-tunnuksillasi sisään ja halutessasi voit määritellä nuo kaksivaiheisen asetukset uudestaan (käy kuitenkin ensin muuttamassa lisäosan nimi takaisin oikeaksi, muuten se ei toimi, ja nollaa sitten lisäosan asetukset WordPressissä).