Näin suojaat WordPressin kirjautumissivun tehokkaasti

WordPressin kirjautumissivu (wp-login.php) on yksi yleisimmistä hyökkäyskohteista, koska se on tunnettu ja yleensä julkisesti saatavilla. Robottihyökkäykset, brute force -yritykset ja tietojenkalastelu voivat kohdistua suoraan tähän kohtaan. Onneksi on olemassa useita keinoja vahvistaa suojausta ilman, että sivuston käytettävyys kärsii.

Tässä artikkelissa käsitellään käytännön vinkkejä ja työkaluja, joilla voit suojata WordPressin kirjautumissivun tehokkaasti.

1. Vaihda kirjautumisosoite

Oletusarvoinen kirjautumissivu (/wp-login.php tai /wp-admin) on helppo löytää. Yksi helpoimmista tavoista parantaa turvallisuutta on vaihtaa kirjautumissivun URL-osoite.

Voit tehdä tämän esimerkiksi seuraavilla lisäosilla:

• WPS Hide Login

• iThemes Security

Muista tallentaa uusi osoite turvallisesti, koska sen unohtaminen voi lukita sinut ulos sivustosta.

2. Käytä kaksivaiheista tunnistautumista (2FA)

Kaksivaiheinen tunnistautuminen estää luvattomat kirjautumiset, vaikka salasana päätyisi vääriin käsiin.

Suosittuja 2FA-lisäosia:

• Two Factor

• WP 2FA

• Google Authenticator – WP 2FA

Voit käyttää sovelluksia kuten Google Authenticator tai Authy.

3. Rajoita kirjautumisyrityksiä

Brute force -hyökkäyksissä botit yrittävät arvata käyttäjätunnusta ja salasanaa tuhansia kertoja. Rajoittamalla kirjautumisyrityksiä voit estää tämän tehokkaasti.

Suosittuja työkaluja:

• Limit Login Attempts Reloaded

• iThemes Security (sisältää rajoitustoiminnon)

Voit määrittää esimerkiksi 3 epäonnistunutta yritystä ennen lukitusta.

4. Käytä vahvoja salasanoja

Yllättävän moni käyttää edelleen salasanoja kuten ”admin123” tai ”salasana”. Käytä aina vahvoja, satunnaisesti generoituja salasanoja ja vaihda ne säännöllisesti.

Voit käyttää apuna esimerkiksi 1Password tai LastPass.

5. Poista ”admin”-käyttäjänimi

Hakkerit yrittävät usein kirjautua käyttäjällä ”admin”. Jos käytössäsi on tämä tunnus, luo uusi pääkäyttäjä ja poista vanha.

Muista myös käyttää käyttäjänimiä, joita ei ole helppo arvata (ei esimerkiksi etunimi.sukunimi).

6. Lisää CAPTCHA-suojaus kirjautumissivulle

CAPTCHA pysäyttää automaattiset kirjautumisyritykset ja bottihyökkäykset.

Suositut CAPTCHA-lisäosat:

• reCAPTCHA by BestWebSoft

• Login No Captcha reCAPTCHA

Voit käyttää Googlen reCAPTCHA v2- tai v3-versiota.

7. Käytä SSL-salausta (HTTPS)

SSL-sertifikaatti salaa kaiken liikenteen selaimen ja palvelimen välillä, mukaan lukien kirjautumistiedot. Jos et vielä käytä HTTPS-yhteyttä, ota se heti käyttöön.

Hyviä vaihtoehtoja:

• Let’s Encrypt (ilmainen)

• Cloudflare SSL

HTTPS parantaa myös sivuston SEO-arvoa.

8. Piilota tai estä kirjautumissivu IP-osoitteen perusteella

Jos haluat estää ulkopuolisia pääsemästä kirjautumissivulle, voit suodattaa IP-osoitteita esimerkiksi .htaccess-tiedoston avulla tai lisäosalla kuten:

• WP Cerber Security

Voit sallia kirjautumisen vain omasta IP-osoitteestasi.

9. Tarkista kirjautumistoimintaa säännöllisesti

Seuraa, kuka kirjautuu sisään ja milloin. Tämä auttaa havaitsemaan mahdolliset hyökkäykset nopeasti.

Kokeile esimerkiksi:

• WP Activity Log

• Simple History

Voit myös asettaa ilmoituksia sähköpostiin epäilyttävistä toiminnoista.

10. Päivitä WordPress ja lisäosat

Haavoittuvuudet vanhoissa WordPress-versioissa ja lisäosissa voivat mahdollistaa sisäänpääsyn ilman oikeita tunnuksia. Pidä kaikki komponentit ajan tasalla ja poista turhat lisäosat ja teemat.

Seuraa WordPressin virallisia tietoturvatiedotteita ja päivitä heti, kun uusi versio julkaistaan.

Yhteenveto

WordPressin kirjautumissivu on portti koko sivustoosi – sen suojaaminen on kriittistä. Kun otat käyttöön edes muutaman tässä artikkelissa esitetyistä keinoista, nostat sivustosi turvallisuuden merkittävästi korkeammalle tasolle. Yhdistämällä vahvat salasanat, kaksivaiheisen tunnistautumisen ja kirjautumisyritysten rajoitukset voit estää tehokkaasti suurimman osan hyökkäyksistä.