Brute force -hyökkäykset uhkaavat – näin suojaat WordPress-sivustosi

Suurin osa WordPress-sivustoihin kohdistuvista tietomurroista ja sivustojen kaappauksista tehdään hyvin yksinkertaisella tavalla: kirjautumalla sisään WordPressiin ylläpitäjän käyttäjätunnuksilla. Ylläpitotunnukset hyökkääjä puolestaan saa haltuunsa käyttämällä raakaa voimaa, eli kokeilemalla automaattisen ohjelmiston avulla erilaisia käyttäjätunnuksen ja salasanan yhdistelmiä, kunnes oikeat tunnukset löytyvät. Tälläista sivustoon kohdistuvaa hyökkäystä kutsutaan brute force -hyökkäykseksi.

Tässä artikkelissa esittelen yksinkertaisen ja ilmaisen keinon torjua WordPress-sivustoon kohdistuvia brute force -hyökkäyksiä.

Brute force -hyökkäykset kaatavat eniten WordPress-sivustoja

WordPressin tietoturvan suurin riski löytyy useimmiten sivuston omistajan/ylläpitäjän tuolin selkänojan ja tietokoneen näppäimistön välistä.

WordPressin ydinohjelmiston, lisäosien ja ulkoasuteeman päivitykset jäävät monesti hoitamatta, jolloin myös tietoturvan kannalta tärkeät paikkaukset eivät auta sivuston tietoturvan pitämisessä ajan tasalla.

Toinen tietoturvaa rapauttava ongelma on liian helppojen ylläpitäjän käyttäjätunnusten ja salasanojen käyttö.

Jos WordPress-sivuston käyttäjätunnus on “admin” ja salasana “avain123”, se on suurin piirtein sama asia kuin talon avaimen jättäminen näkyville keskelle kynnysmattoa.

Sivuston haltuunottoa havitteleva murtautuja voi yksinkertaisesti arvata käyttäjätunnukset ja marssia sisään.

Juuri tähän heikkouteen isketään niin sanotuilla brute force -hyökkäyksillä.

Brute force -hyökkääjä käyttää automaattista ohjelmistoa, joka kokeilee WordPressin kirjautumissivulla erilaisia käyttäjätunnuksen ja salasanan yhdistelmiä, kunnes oikeat tunnukset löytyvät ja pääsy sivuston ylläpitoon avautuu.

Mitä helpommat käyttäjätunnukset, sitä vähäisempi on hyökkääjän vaiva niiden selvittämiseksi.

Näin estät brute force -hyökkäykset palomuuriohjelmiston avulla

WordPress-sivustoa uhkaavat brute force -hyökkäykset voi onneksi estää käyttämällä vahvojen käyttäjätunnusten lisäksi palomuuriohjelmistoa, joka sisältää brute force -hyökkäysten estotoiminnon.

Asenna WordPressiin Ninja Firewall -lisäosa

Erittäin suositeltava palomuuriohjelmisto jokaiselle WordPress-sivustolle on Ninja Firewall.

Ninja Firewall sisältää WordPressin ulkopuolisen palomuurin, joka torjuu monia hyökkäyksiä jo ennen kuin ne pääsevät käsiksi WordPressin asennuskansioihin.

Brute force -hyökkäysten estotoiminto on yksi Ninja Firewallin muista hyödyllisistä ominaisuuksista.

Asenna ja aktivoi Ninja Firewall WordPressin lisäosakirjastosta.

Aktivoi Ninja Firewallin brute force -hyökkäysten esto

Brute force -hyökkäysten torjunta ei oletuksena ole käytössä Ninja Firewall -lisäosan asennuksen ja aktivoinnin jälkeen.

Sinun tulee käydä itse ottamassa tämä toiminto käyttöön Ninja Firewallin asetuksissa.

Kun Ninja Firewall on asennettu ja toiminnassa, siirry WordPressin ylläpitäjän valikossa kohtaan Ninja Firewall -> Login Protection.

Avautuvalla sivulla näkyy, että brute force -hyökkäysten esto ei ole käytössä.

Klikkaa harmaata Disabled-painiketta ottaaksesi brute force -hyökkäysten eston käyttöön.

Tämä jälkeen voit tehdä alla olevan kuvan mukaiset asetukset:

• Type of protection = Captcha image (kirjautumissivulla näytetään sarja merkkejä, jotka on kirjoitettava ikkunaan, jotta kirjautumiskentät ilmestyvät näkyviin)
• When to enable the protection = When under attack (suojaus otetaan käyttöön, kun brute force -hyökkäys havaitaan)
• Protect the login page against = GET and POST request attacks (aktivoidaan suojaus kahta erilaista hyökkäystapaa vastaan)
• Enable protection = jätä oletusarvot käyttöön
• Message = jos haluat, voit kääntää tekstin suomeksi (näkyy kirjautumissivun käyttäjälle, kun brute force -esto on aktiivinen)

Tallenna lopuksi asetukset klikkaamalla sivun vasemmassa alanurkassa olevaa sinistä Save login protection -painiketta.

Miten Ninja Firewallin brute force -hyökkäysten esto toimii?

Kun brute force -hyökkäysten esto on otettu käyttöön ja suojaus on aktivoitunut (hyökkäys on havaittu), WordPressin kirjautumissivu näyttää latautumisen jälkeen alla olevan kuvan mukaiselta.

Kirjautumiskenttien sijasta sivulla näkyy vain Ninja Firewallin Captcha-tehtävä.

Kirjautumissivu latautuu käyttäjälle vasta sen jälkeen, kun ikkunaan on syötetty oikeat merkit.

Koska brute force -hyökkäyksiin käytettävät ohjelmistot eivät pysty lukemaan ja kirjoittamaan ikkunaan pyydettyjä Captcha-merkkejä, hyökkäys pysähtyy tähän ikkunaan.

Sivua käyttäjälle ihmiselle (sivuston ylläpitäjä) tehtävä sen sijaan on helppo, joten Ninja Firewallin brute force -hyökkäysten estotoiminto ei estä ylläpitäjän kirjautumista WordPressiin.

HUOM: Captcha-tehtävän saa näkymään ennen kirjautumissivua AINA valitsemalla asetuksissa kohdassa When to enable the protection vaihtoehdon Always enabled. Tällöin jokaisen kirjautumisen yhteydessä on ensin ratkaistava Captcha-tehtävä oikein.

Hyökkäyksiä on käynnissä koko ajan

Pohdit ehkä sitä, onko brute force -hyökkäysten esto, tai yleensäkään tietoturvan parantaminen, ajankohtainen asia sinun WordPress-sivustosi kohdalla.

Tähän asiaan saat uutta valoa tutkimalla Ninja Firewallin tilastoja sivustoon kohdistuneista hyökkäyksistä.

Alla olevassa kuvassa on yhden Ninja Firewallin avulla suojatun WordPress-sivuston hyökkäystilasto yhden kuukauden ajalta.

Kuvasta näkyy, että yhden kuukauden aikana erilaisia sivustoon kohdistuneita uhkia on tunnistettu yhteensä 45 (yli yksi per vuorokausi), ja näistä luonteeltaan kriittisiä on ollut yli 35 prosenttia.

Verkossa siis todella tapahtuu koko ajan, ja sinunkin sivustosi säppien kestävyyttä käydään varmasti kokeilemassa säännöllisesti.

Tietoturvasta huolehtiminen on siksi keskeinen osa jokaisen WordPress-sivuston omistajan työtä.

WordPressin tietoturva on monesta osasta koostuva palapeli, ja kokonaisuus on sitä vahvempi, mitä enemmän tässä palapelissä on oikeita paloja.

Tässä artikkelissa annettujen ohjeiden avulla otat yhden WordPressin tietoturvan kannalta keskeisen suojauksen käyttöön nopeasti ja ilman kustannuksia.