Tietoturvamuistutus (koskee erityisesti WordPress-käyttäjiä)

Viime aikana on ollut maailmalla laajasti hyökkäyksiä erityisesti WordPressiä kohtaan. Suosittelemme lukemaan cert-fi:n Tietoturva nyt! artikkelin asiasta. (http://www.cert.fi/tietoturvanyt/2013/04/ttn201304161611.html).

Hostingpalvelun tietoturvajärjestelmä suojaa suosituimpia sovelluksia kuten WordPressiä usealla eritavalla, mm. estämällä liian monta virheellistä kirjautumisyritystä. Kuitenkin jos salasana on hyvin heikko, on suuren bottinetin avulla mahdollista murtaa WordPressin ylläpitäjän salasana.Tässä hyökkäyksessä on ollut mukana jopa 100 000 konetta.

Alla luettelemme toimenpiteitä, miten WordPressin tietoturvaa voi parantaa:

Riittävän vahva salasana

  • Vähintään 8 merkkiä pitkä
  • Sisältää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä

Kaksivaiheisen autentikaation käyttöönotto:

Greater Security with Two Step Authentication

IP perusteinen .htaccess suojaus:

Luo tilillesi .htaccess- tiedosto wp-admin kansioon (/wp-admin/.htaccess) ja liitä siihen seuraava koodi:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress suojaus"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# Matin sallittu ip-osoite
allow from xx.xx.xx.xxx
# Maijan sallittu ip-osoite
allow from xx.xx.xx.xxx
</LIMIT>
 

Vaihda xx.xx.xx.xx ylläpitäjien IP-osoitteilla. Jos IP-osoitteisiin perustuva suojaus ei ole mahdollinen voi suojauksen tehdä myös .htaccess salasana suojauksella. Oman IP-osoitteen saa selville esimerkiksi osoitteessa www.ip-osoite.info.

.htaccess salasana suojaus:

Luo .wpadmin tiedosto tilisi kansioon:

/home/kayttajatunnus/.wpadmin

Luo ko. tiedostoon sisältö osoitteessa (käyttjätunnus ja salattu salasana):

Htpasswd Generator – Create htpasswd

Luo tämän jälkeen tiedosto /home/username/.htaccess ja liitä siihen seuraava sisältö (vaihda kohtaan kayttajatunnus oma käyttäjätunnuksesi):

ErrorDocument 401 "Unauthorized Access"
ErrorDocument 403 "Forbidden"
<FilesMatch "wp-login.php">
AuthName "Authorized Only"
AuthType Basic
AuthUserFile /home/kayttajatunnus/.wpadmin
require valid-user
</FilesMatch>

Pyydämme olemaan yhteydessä asiakaspalveluumme, jos tarvitset lisätietoja tai apua asiassa.

18.04.2013

|