Brute force -hyökkäykset uhkaavat – näin suojaat WordPress-sivustosi

Share on facebook
Share on google
Share on twitter
Share on linkedin
Näin suojaat WordPress-sivustosi brute force -hyökkäyksiltä

Suurin osa WordPress-sivustoihin kohdistuvista tietomurroista ja sivustojen kaappauksista tehdään hyvin yksinkertaisella tavalla: kirjautumalla sisään WordPressiin ylläpitäjän käyttäjätunnuksilla. Ylläpitotunnukset hyökkääjä puolestaan saa haltuunsa käyttämällä raakaa voimaa, eli kokeilemalla automaattisen ohjelmiston avulla erilaisia käyttäjätunnuksen ja salasanan yhdistelmiä, kunnes oikeat tunnukset löytyvät. Tälläista sivustoon kohdistuvaa hyökkäystä kutsutaan brute force -hyökkäykseksi.

Tässä artikkelissa esittelen yksinkertaisen ja ilmaisen keinon torjua WordPress-sivustoon kohdistuvia brute force -hyökkäyksiä.

Brute force -hyökkäykset kaatavat eniten WordPress-sivustoja

WordPressin tietoturvan suurin riski löytyy useimmiten sivuston omistajan/ylläpitäjän tuolin selkänojan ja tietokoneen näppäimistön välistä.

WordPressin ydinohjelmiston, lisäosien ja ulkoasuteeman päivitykset jäävät monesti hoitamatta, jolloin myös tietoturvan kannalta tärkeät paikkaukset eivät auta sivuston tietoturvan pitämisessä ajan tasalla.

Toinen tietoturvaa rapauttava ongelma on liian helppojen ylläpitäjän käyttäjätunnusten ja salasanojen käyttö.

Jos WordPress-sivuston käyttäjätunnus on “admin” ja salasana “avain123”, se on suurin piirtein sama asia kuin talon avaimen jättäminen näkyville keskelle kynnysmattoa.

Sivuston haltuunottoa havitteleva murtautuja voi yksinkertaisesti arvata käyttäjätunnukset ja marssia sisään.

Juuri tähän heikkouteen isketään niin sanotuilla brute force -hyökkäyksillä.

Brute force -hyökkääjä käyttää automaattista ohjelmistoa, joka kokeilee WordPressin kirjautumissivulla erilaisia käyttäjätunnuksen ja salasanan yhdistelmiä, kunnes oikeat tunnukset löytyvät ja pääsy sivuston ylläpitoon avautuu.

Mitä helpommat käyttäjätunnukset, sitä vähäisempi on hyökkääjän vaiva niiden selvittämiseksi.

Näin estät brute force -hyökkäykset palomuuriohjelmiston avulla

WordPress-sivustoa uhkaavat brute force -hyökkäykset voi onneksi estää käyttämällä vahvojen käyttäjätunnusten lisäksi palomuuriohjelmistoa, joka sisältää brute force -hyökkäysten estotoiminnon.

Asenna WordPressiin Ninja Firewall -lisäosa

Erittäin suositeltava palomuuriohjelmisto jokaiselle WordPress-sivustolle on Ninja Firewall.

Ninja Firewall sisältää WordPressin ulkopuolisen palomuurin, joka torjuu monia hyökkäyksiä jo ennen kuin ne pääsevät käsiksi WordPressin asennuskansioihin.

Brute force -hyökkäysten estotoiminto on yksi Ninja Firewallin muista hyödyllisistä ominaisuuksista.

Asenna ja aktivoi Ninja Firewall WordPressin lisäosakirjastosta.

Ninja Firewall -palomuuriohjelmisto on WordPress-lisäosa

Aktivoi Ninja Firewallin brute force -hyökkäysten esto

Brute force -hyökkäysten torjunta ei oletuksena ole käytössä Ninja Firewall -lisäosan asennuksen ja aktivoinnin jälkeen.

Sinun tulee käydä itse ottamassa tämä toiminto käyttöön Ninja Firewallin asetuksissa.

Kun Ninja Firewall on asennettu ja toiminnassa, siirry WordPressin ylläpitäjän valikossa kohtaan Ninja Firewall -> Login Protection.

Avautuvalla sivulla näkyy, että brute force -hyökkäysten esto ei ole käytössä.

Klikkaa harmaata Disabled-painiketta ottaaksesi brute force -hyökkäysten eston käyttöön.

Ninja Firewall brute force -hyökkäysten esto ei ole käytössä

Tämä jälkeen voit tehdä alla olevan kuvan mukaiset asetukset:

  • Type of protection = Captcha image (kirjautumissivulla näytetään sarja merkkejä, jotka on kirjoitettava ikkunaan, jotta kirjautumiskentät ilmestyvät näkyviin)
  • When to enable the protection = When under attack (suojaus otetaan käyttöön, kun brute force -hyökkäys havaitaan)
  • Protect the login page against = GET and POST request attacks (aktivoidaan suojaus kahta erilaista hyökkäystapaa vastaan)
  • Enable protection = jätä oletusarvot käyttöön
  • Message = jos haluat, voit kääntää tekstin suomeksi (näkyy kirjautumissivun käyttäjälle, kun brute force -esto on aktiivinen)
Ninja Firewall brute force -hyökkäyksen eston asetukset

Tallenna lopuksi asetukset klikkaamalla sivun vasemmassa alanurkassa olevaa sinistä Save login protection -painiketta.

Miten Ninja Firewallin brute force -hyökkäysten esto toimii?

Kun brute force -hyökkäysten esto on otettu käyttöön ja suojaus on aktivoitunut (hyökkäys on havaittu), WordPressin kirjautumissivu näyttää latautumisen jälkeen alla olevan kuvan mukaiselta.

WordPressin kirjautumissivu, kun Ninja Firewallin brute force -esto on aktiivinen

Kirjautumiskenttien sijasta sivulla näkyy vain Ninja Firewallin Captcha-tehtävä.

Kirjautumissivu latautuu käyttäjälle vasta sen jälkeen, kun ikkunaan on syötetty oikeat merkit.

Koska brute force -hyökkäyksiin käytettävät ohjelmistot eivät pysty lukemaan ja kirjoittamaan ikkunaan pyydettyjä Captcha-merkkejä, hyökkäys pysähtyy tähän ikkunaan.

Sivua käyttäjälle ihmiselle (sivuston ylläpitäjä) tehtävä sen sijaan on helppo, joten Ninja Firewallin brute force -hyökkäysten estotoiminto ei estä ylläpitäjän kirjautumista WordPressiin.

HUOM: Captcha-tehtävän saa näkymään ennen kirjautumissivua AINA valitsemalla asetuksissa kohdassa When to enable the protection vaihtoehdon Always enabled. Tällöin jokaisen kirjautumisen yhteydessä on ensin ratkaistava Captcha-tehtävä oikein.

Hyökkäyksiä on käynnissä koko ajan

Pohdit ehkä sitä, onko brute force -hyökkäysten esto, tai yleensäkään tietoturvan parantaminen, ajankohtainen asia sinun WordPress-sivustosi kohdalla.

Tähän asiaan saat uutta valoa tutkimalla Ninja Firewallin tilastoja sivustoon kohdistuneista hyökkäyksistä.

Alla olevassa kuvassa on yhden Ninja Firewallin avulla suojatun WordPress-sivuston hyökkäystilasto yhden kuukauden ajalta.

Kuvasta näkyy, että yhden kuukauden aikana erilaisia sivustoon kohdistuneita uhkia on tunnistettu yhteensä 45 (yli yksi per vuorokausi), ja näistä luonteeltaan kriittisiä on ollut yli 35 prosenttia.

Verkossa siis todella tapahtuu koko ajan, ja sinunkin sivustosi säppien kestävyyttä käydään varmasti kokeilemassa säännöllisesti.

Tietoturvasta huolehtiminen on siksi keskeinen osa jokaisen WordPress-sivuston omistajan työtä.

WordPressin tietoturva on monesta osasta koostuva palapeli, ja kokonaisuus on sitä vahvempi, mitä enemmän tässä palapelissä on oikeita paloja.

Tässä artikkelissa annettujen ohjeiden avulla otat yhden WordPressin tietoturvan kannalta keskeisen suojauksen käyttöön nopeasti ja ilman kustannuksia.

Lue lisää WordPress-sivuston tietoturvan perusteista

WordPressin tietoturvan parantaminen – tee aluksi nämä 5 asiaa
Jari Juslén

Jari Juslén

Kommentoitavaa, kysyttävää? - Kerro ajatuksesi tässä

Lähetä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Lisää luettavaa

Uusimmat artikkelit

Järjestä helposti omia webinaareja

Demio-webinaarijärjestelmä: kokeile 14 vrk ilmaiseksi

Klikkaa alla olevaa kuvaa ja tilaa maksuton Demio-kokeilu nyt (ei sitoumuksia, ei luottokorttia)

demio

 

Järjestä omia webinaareja helposti

demio