Kui sul on WordPressi koduleht või e-pood, siis sisselogimise leht on üks esimesi kohti, mida robotid proovivad. Mitte sellepärast, et keegi just sind isiklikult sihib. Asi on selles, et internet on täis automaatseid bott’e, mis proovivad tuhandeid lehti järjest – kasutajanime, parooli, uuesti ja uuesti.
Nii et kui su sisselogimine on kaitsmata, siis võib probleem tulla isegi siis, kui su leht on muidu väike ja tagasihoidlik. Ausalt öeldes päris tihti ei panda neid rünnakuid tähele enne, kui leht muutub aeglaseks, meilid ei tööta või adminni enam sisse ei saa.
Kui tahad laiemalt aru saada, miks update’idega venitamine halb idee on, siis vaata ka artiklit Miks WordPressi uuendusi ei tohi edasi lükata. See käib selle teemaga käsikäes.
Mis asi on robotrünnak WordPressi sisselogimisel?
Kõige levinum variant on brute force rünnak. See tähendab lihtsas keeles seda, et robot proovib erinevaid paroole ja kasutajanimesid, kuni midagi klapib. Vahel kasutatakse lekitatud paroole, vahel täiesti tavalisi variante nagu admin123 või ettevõtte nimega seotud kombinatsioone.
Praktikas ei pea robot isegi sisse saama, et kahju teha. Piisab sellest, et ta pommitab su login-lehte pidevalt. Server saab koormust, leht võib muutuda aeglaseks ja hosting võib hakata häirekella lööma.
Tüüpilised märgid on näiteks:
- väga palju ebaõnnestunud sisselogimisi
- veider koormus just wp-login.php või xmlrpc.php ümber
- adminni e-postile tulevad hoiatused tundmatutest login katsetest
- leht on kohati aeglane, kuigi liiklust nagu eriti pole
Miks väikeettevõtte lehed on samuti sihtmärgid?
See on koht, kus paljud mõtlevad: “Aga mul on ju ainult väike koduleht.” Jah, aga robotit see ei huvita. Robot ei vali emotsiooni järgi. Ta skaneerib automaatselt kõike, mis ette jääb.
Kui sul on näiteks väike e-pood, ilusalong, ehitusfirma või kohvik, siis su lehel on ikkagi väärtust. Seal võib olla kliendiandmeid, tellimusi, kontaktivorme, meilikontosid või lihtsalt võimalus saata spämmii sinu domeeni alt. See on ründaja jaoks juba piisav point.
Üldiselt sihitakse üsna sageli just selliseid lehti, mida omanik aktiivselt ei hoolda. Vananenud plugin, nõrk parool, vana kasutaja “admin” – ja setup ongi rünnakuks valmis.
Esimene asi: ära kasuta nõrka kasutajanime ja parooli
See tundub basic, aga päriselt toimib. Kui sul on kasutajanimi admin, test või firma nimi, siis oled sa robotile poole töö pealt vastu tulnud. Sama lugu parooliga, mis on lühike või korduv.
Tee nii:
- kasuta unikaalset kasutajanime, mitte “admin”
- tee pikk parool – vähemalt 16 märki
- ära kasuta sama parooli e-postis ja WordPressis
- hoia paroole paroolihalduris, mitte märkmikus või brauseri suvalises nurgas
Tegelikult on see üks lihtsamaid muudatusi, mis annab kohe suure kasu. Ja ei maksa midagi.
Piira sisselogimiskatseid
Vaata, robotrünnaku mõte on proovida palju kordi järjest. Kui sa lubad piiramatult katseid, siis annad talle aega ja ruumi. Kui aga näiteks pärast 3-5 ebaõnnestunud katset IP aadress ajutiselt lukku läheb, kukub suurem osa odavaid ründeid sisuliselt kokku.
Seejuures ei tähenda see, et päris kasutaja enam sisse ei saa. Lihtsalt kui keegi toksib järjest valesti, pannakse hetkeks paus peale. Normaalne inimene proovib korra, võibolla kaks. Robot proovib sadu.
Kui tahad selle kaitse kiiresti tööle saada, siis üks lihtne variant on sisselogimise kaitse, mis aitab brute force katseid piirata ja login-lehte rahulikumana hoida.
Lülita sisse kaheastmeline autentimine
See on üks parimaid kaitseid, eriti kui lehel on mitu kasutajat. Näiteks turundusinimene, arendaja, poe haldur või assistent. Kui parool peaks kuskilt lekkima, siis ainult sellest enam ei piisa.
2FA tähendab lihtsas keeles seda, et lisaks paroolile on vaja teist sammu – tavaliselt telefonis olevat koodi. Okei, see on natuke rohkem nikerdamist kui lihtsalt parooli sisestamine, aga turvalisuse vahe on suur.
Soovitan eriti siis, kui:
- lehel on rohkem kui üks admin kasutaja
- kasutad avalikku WiFit või logid sisse eri seadmetest
- tegu on e-poega ja tellimused käivad iga päev
- sa ei tea täpselt, kellel kõigil veel ligipääs on
Peida või tugevda vaikimisi sisselogimise tee
WordPressi vaikimisi login on tavaliselt /wp-login.php või /wp-admin. Robotid teavad seda peast. Samas ainult login-URL muutmine ei ole imevahend. See aitab müra vähendada, aga üksi ei lahenda probleemi.
Parem mõte on teha mitu kihti korraga:
- piira sisselogimiskatseid
- kasuta tugevat parooli
- lülita sisse 2FA
- hoia WordPress, theme ja pluginad uuendatud
- eemalda vanad kasutajad, kes enam lehte ei halda
Samas on just see kihiline lähenemine see, mis päriselt töötab. Mitte üks mega tooriist, vaid mitu väikest kaitset koos.
Kontrolli regulaarselt, kes ja millal sisse logib
Paljud väikeettevõtted ei vaata üldse, mis admin poolel toimub. Kuni ühel hetkel selgub, et keegi on öösel kell 03:14 sisse loginud või uus admin kasutaja on tekkinud. Siis on juba veits hilja.
Hea praktika on jälgida tegevuslogi ja saada aru, mis su lehel toimub. Kui näed palju ebaõnnestunud katseid või kahtlaseid sissekirjutumisi välismaalt, siis saad kiiremini reageerida.
Kui sul ei ole aega seda ise jälgida, siis mõistlik valik on WordPressi hooldus, kus uuendused, seire ja turvapoole põhitöö ei jää lihtsalt “teen kunagi hiljem” nimekirja.
Uuendused ja vanad pluginad on robotite lemmikauk
Asi on selles, et robot ei proovi ainult paroole. Ta otsib ka teadaolevaid turvaauke vanades pluginates ja teemades. Kui sul on mõni vana contact form, backup plugin või poolikult unustatud layout builder, siis võib just sealt uks lahti olla.
Üsna sageli on pilt selline: omanik arvab, et probleem on loginis, aga tegelikult tuli pahavara sisse vana plugina kaudu. Ja siis kasutatakse admini sisselogimist juba tagajärjena.
Kui tahad paremini aru saada, mida teha siis, kui asi on juba käest läinud, loe ka artiklit WordPress sai häkitud – mida kohe teha ja kuidas leht puhtaks saada. See on selline juhend, mida loodetavasti vaja ei lähe, aga hea on teada.
Mida teha kohe täna? Lihtne tegevusplaan
Kui sa ei taha tehnilisse juttu ära uppuda, siis tee täna vähemalt need sammud ära. Päriselt. Nendest juba piisab, et enamik lihtsamaid robotrünnakuid kinni püüda.
- muuda ära nõrk admin kasutaja ja parool
- piira sisselogimiskatsed
- pane 2FA peale vähemalt admin kontodele
- uuenda WordPress, pluginad ja theme’id
- eemalda mittevajalikud kasutajad ja pluginad
- kontrolli, kas sul on toimiv backup olemas
Kui sul on WooCommerce pood, siis lisa siia veel üks asi – testi login ja checkout pärast uuendusi alati yle. Sest turvaline leht peab ka töötama, mitte ainult lukus olema.
Millal tasub abi küsida?
Ausalt öeldes siis, kui sa juba kahtled. Kui sa ei tea, kas login on kaitstud, kas backup päriselt töötab või kas lehel on juba kahtlast liiklust olnud, siis on täiesti okei abi küsida. Väike probleem on odavam lahendada kui päris häkkimine.
Eriti siis, kui su leht toob päriselt kliente või müüki. Kui koduleht on ettevõtte tööriist, mitte hobi, siis võiks turvalisus olla samuti paigas. Mitte ideaalne, vaid piisavalt tugev, et juhuslikud ja automaatsed rünnakud kinni pidada.
Nii et alusta lihtsatest asjadest. Tugev parool. Loginikaitse. 2FA. Uuendused. Ja kui sa tahad, et keegi hoiaks sellel aktiivselt silma peal, siis lase hooldus ära setup’ida. Siis on pea palju rahulikum.