Kaheastmeline autentimine (2FA) – miks ja kuidas kaitsta oma WordPressi kodulehte

Miks paroolist üksi enam ei piisa?

WordPress on maailma populaarseim kodulehtede platvorm – ja just seetõttu ka häkkerite lemmiksihtmärk. Suur osa rünnakutest ei ole suunatud konkreetselt sinu ettevõtte vastu. Robotid käivad ööpäevaringselt läbi tuhandeid kodulehti ja proovivad sisselogimislehel automaatselt läbi lekkinud paroole ja levinud paroolikombinatsioone.

Kui sinu parool on kunagi lekkinud mõnest teisest teenusest (ja suure tõenäosusega on – seda saad kontrollida lehel haveibeenpwned.com) või on lihtsalt liiga lihtne, pääseb ründaja sinu kodulehe administreerimiskeskkonda sisse mõne sekundiga.

Tagajärjed on ebameeldivad: kodulehele paigaldatakse pahavara, külastajad suunatakse kahtlastele lehtedele, Google märgistab lehe ohtlikuks ja sinu leht kaob otsingutulemustest. Sellise kahju likvideerimine on alati kordades kallim ja aeganõudvam kui ennetamine.

Just siin tulebki appi kaheastmeline autentimine ehk 2FA.

Kaheastmeline autentimine WordPressis – parool pluss telefonis genereeritav kood

Mis on kaheastmeline autentimine (2FA)?

Kaheastmeline autentimine (inglise keeles two-factor authentication ehk 2FA, eesti keeles kasutatakse ka terminit kahefaktoriline autentimine) tähendab, et sisselogimiseks on vaja kahte asja:

  1. Midagi, mida sa tead – sinu kasutajanimi ja parool.
  2. Midagi, mis sul on – telefonis olev autentimisäpp, mis genereerib iga 30 sekundi järel uue 6-kohalise koodi.

Sama põhimõtet kasutad sa tõenäoliselt juba praegu – näiteks internetipanka sisenedes Smart-ID või Mobiil-ID abil. Pank ei usalda ainult parooli ja sinu koduleht ei peaks samuti.

Tulemus on lihtne: isegi kui sinu parool lekib, ei pääse ründaja kodulehele sisse, sest tal puudub sinu telefon, kus koodi genereeritakse.

Miks on 2FA just WordPressi kodulehel oluline?

  • WordPressi sisselogimisleht on kõigil sama. Vaikimisi asub see aadressil sinuleht.ee/wp-admin ja robotid teavad seda suurepäraselt.
  • Rünnakud on automaatsed ja pidevad. Ka väike Eesti ettevõtte koduleht saab iga päev kümneid kuni sadu sisselogimiskatseid – seda lihtsalt ei märka enne, kui on hilja.
  • Paroolid lekivad. Inimesed kasutavad sama parooli mitmes kohas. Piisab ühest lekkest kusagil mujal ja sinu koduleht on ohus.
  • Administraatori konto on võtmed kogu majja. Kes pääseb ligi wp-adminile, saab muuta sisu, paigaldada pahavara ja kustutada kogu lehe.

2FA seadistamine võtab aega umbes 10 minutit ja on tasuta. See on üks parima hinna ja kasu suhtega turvameetmeid, mida oma kodulehel üldse teha saab.

Millise pluginaga 2FA teha?

WordPressil endal sisseehitatud 2FA-d ei ole, seega tuleb kasutada pluginat. Meie soovitus on Wordfence Security – maailma populaarseim WordPressi turvaplugin, mida kasutab üle 5 miljoni kodulehe.

Miks just Wordfence? Sest 2FA on vaid üks osa sellest, mida ta pakub. Sama plugin annab tasuta kaasa ka tulemüüri, pahavaraskanneri ja kaitse jõurünnakute (brute force) vastu. Nii saad ühe pluginaga korraga mitu turvakihti – nendest teistest võimalustest kirjutame lähemalt juba järgmises postituses.

Järgnev juhend on tehtud Wordfence’i näitel.

1. Paigalda autentimisäpp oma telefoni

Enne plugina seadistamist lae oma telefoni mõni autentimisäpp. Sobivad näiteks:

  • Google Authenticator (Android ja iPhone) – kõige levinum ja lihtsam
  • Microsoft Authenticator – hea valik, kui kasutad juba Microsofti teenuseid
  • Authy – võimaldab koode varundada ja kasutada mitmes seadmes

Kõik need on tasuta ja saadaval nii Google Play kui App Store’i kaudu.

Google Authenticator äpp genereerib WordPressi sisselogimiseks 6-kohalise koodi

2. Paigalda Wordfence Security plugin

  1. Logi sisse oma WordPressi töölauale (wp-admin).
  2. Vali menüüst Pluginad → Lisa uus plugin.
  3. Otsi märksõnaga „Wordfence” ja klõpsa esimese tulemuse (Wordfence Security – Firewall, Malware Scan, and Login Security) juures Paigalda kohe (Install Now).
  4. Kui paigaldamine on lõppenud, klõpsa Aktiveeri (Activate).
  5. Wordfence palub esmalt registreerida tasuta litsentsivõtme – sisesta oma e-posti aadress, kinnita ja litsents seotakse automaatselt sinu lehega. See võtab vaid hetke ja midagi maksma ei lähe.
Wordfence Security plugina paigaldamine WordPressi pluginate otsingu kaudu]

Vihje: kui sa ei soovi kohe kogu turvapluginat, on olemas ka kergem eraldi plugin Wordfence Login Security, milles ongi ainult 2FA ja sisselogimiskaitse. Seadistamine käib täpselt samamoodi nagu allpool kirjeldatud.

3. Ava kaheastmelise autentimise seaded

  1. Vali WordPressi menüüst Wordfence → Login Security.
  2. Avaneb vaheleht Two-Factor Authentication, kus on sinu isiklik 2FA seadistus.

Ekraanil näed kahte asja: vasakul QR-koodi ja paremal välja koodi sisestamiseks.

4. Ühenda oma konto autentimisäpiga

  1. Ava telefonis autentimisäpp ja vali „Lisa konto” (tavaliselt plussmärk).
  2. Skaneeri telefoniga ekraanil olev QR-kood.
  3. Äpp hakkab kuvama 6-kohalist koodi, mis vahetub iga 30 sekundi järel.
  4. Sisesta parasjagu kuvatav kood Wordfence’i lahtrisse ja klõpsa Activate.
QR-koodi skaneerimine kaheastmelise autentimise seadistamiseks Wordfence'iga

5. Salvesta varukoodid – see on väga oluline!

Kohe pärast aktiveerimist kuvab Wordfence sulle viis varukoodi (recovery codes). Need on ühekordsed koodid, millega saad sisse logida siis, kui telefon on kadunud, katki või vahetatud.

  1. Klõpsa Download ja salvesta koodid.
  2. Hoia neid turvalises kohas – näiteks paroolihalduris, MITTE samas arvutis lauale jäetud tekstifailis.

Ilma varukoodideta võid telefoni kaotamisel oma kodulehelt ise välja lukustuda. Siis on lahendus küll olemas (FTP kaudu plugina väljalülitamine), kuid see on tülikas ja nõuab juba rohkem tehnilisi teadmisi.

6. Testi sisselogimist

  1. Logi WordPressist välja.
  2. Logi uuesti sisse oma kasutajanime ja parooliga.
  3. WordPress küsib nüüd lisaks 6-kohalist koodi – ava telefonis äpp ja sisesta kuvatav kood.
  4. Oledki sees. Ründaja, kellel on ainult sinu parool, jääb ukse taha.
WordPressi sisselogimine kaheastmelise autentimise koodiga

7. Nõua 2FA-d ka teistelt kasutajatelt

Kui sinu kodulehel on mitu kasutajat, siis sinu enda 2FA ei kaitse veel kogu lehte – piisab ühest kaitsmata administraatorikontost.

  1. Ava Wordfence → Login Security → Settings.
  2. Märgi jaotises User Summary / 2FA Roles, millistele rollidele on 2FA kohustuslik. Soovitus: vähemalt Administrator ja Editor.
  3. Sea mõistlik üleminekuaeg (grace period), näiteks 3–7 päeva, mille jooksul peavad kasutajad 2FA ära seadistama.

Korduma kippuvad küsimused

Kas pean koodi sisestama iga kord? Ei pea. Sisselogimisel saab märkida linnukese „Remember for 30 days”, (see valik tuleb Wordfence seadetes sisse lülitada) misjärel sinu oma arvutis koodi 30 päeva jooksul uuesti ei küsita. Võõrast seadmest sisse logides küsitakse alati.
Soovitus! Wordfence seadetes on võimalik oma töökoha IP aadress lubatuks teha, siis ei pea sellelt IP aadressilt edaspidi sisse logides koodi kasutama.

Mis saab, kui telefon kaob? Selleks ongi varukoodid (vt samm 5). Kasuta ühte varukoodi sisselogimiseks ja seadista 2FA uues telefonis uuesti.

Kas 2FA aeglustab kodulehte? Ei. 2FA puudutab ainult sisselogimist ega mõjuta külastajate jaoks lehe kiirust kuidagi.

Kas 2FA asendab muud turvameetmed? Ei asenda, aga täiendab. Tugev ja unikaalne parool, WordPressi ja pluginate regulaarsed uuendused ning korralik varundamine on endiselt vajalikud. Hea uudis on see, et Wordfence katab mitu järgmist sammu juba ise – tulemüür, pahavaraskanner ja sisselogimiskatsete piiramine on samas pluginas olemas.

Kokkuvõte

Kaheastmeline autentimine on üks lihtsamaid ja tõhusamaid viise oma WordPressi kodulehe kaitsmiseks. Seadistamine võtab kümmekond minutit, ei maksa midagi ja hoiab ära suure osa levinumatest rünnakutest. Wordfence’iga saad boonusena kaasa terve turvapaketi – selle teistest võimalustest (tulemüür, pahavaraskanner, jõurünnakute tõrje) kirjutame põhjalikumalt järgmises postituses, nii et hoia blogil silma peal.

Kui tunned, et vajad seadistamisel abi või soovid, et keegi hoiaks sinu kodulehe turvalisust silma peal järjepidevalt, siis just selleks on olemas meie kodulehe haldamise teenus. Kui aga kahtlustad, et sinu koduleht on juba rünnaku ohvriks langenud, aitame ka kodulehe remondi ja pahavara eemaldamisega.

Küsimuste korral võta julgesti ühendust – esmane konsultatsioon on tasuta!