Kui sul on WordPressi koduleht või e-pood, siis kahefaktoriline autentimine ehk 2FA ei ole mingi “võib-olla kunagi” asi. See on ausalt öeldes üks lihtsamaid samme, millega saad oma lehe palju turvalisemaks teha. Ja point on lihtne – ainult paroolist enam ei piisa.
Päris tihti arvatakse, et “mul on tugev parool, sellest piisab küll”. Aga ei pruugi. Kui parool lekib, varastatakse või lihtsalt arvatakse ära, on sisselogimine sisuliselt valla. 2FA paneb sinna teise lukku veel juurde.
Mis asi see kahefaktoriline autentimine üldse on?
Lihtsalt öeldes tähendab see seda, et sisselogimiseks on vaja kahte asja, mitte ühte. Esimene on tavaliselt parool. Teine on midagi, mis on ainult sinu käes – näiteks telefonis olev kood, autentimisäpp või ajutine kinnituskood.
Nii et isegi siis, kui keegi saab su parooli kätte, ei saa ta veel sisse. Tal oleks vaja ka seda teist sammu. See ongi kogu asja mõte. Lihtne, aga väga efektiivne.
Tavaliselt on need kaks faktorit sellised:
- midagi, mida sa tead – parool või PIN
- midagi, mis sul on – telefon, autentimisäpp, turvavoti
Mõnel juhul lisandub ka kolmas kiht, näiteks biomeetria. Aga WordPressi puhul räägime enamasti just paroolist ja ajutisest koodist.
Miks ainult paroolist enam ei piisa?
Asi on selles, et paroole varastatakse kogu aeg. Mitte ainult suurfirmadelt. Väikeste ettevõtete lehed on ka sihtmärgid, sest neid on lihtne automatiseeritult rünnata. Robot proovib tuhandeid sisselogimisi ja kui setup on nõrk, saabki sisse.
Praktikas juhtub see tihti nii:
- kasutad sama parooli mitmes kohas
- üks teenus saab andmelekkega pihta
- ründaja proovib sama parooli sinu WordPressi lehel
- kui 2FA puudub, ongi konto käes
See ei ole mingi haruldane stsenaarium. Üsna sageli on häkkimine just igav ja automaatne, mitte filmilik “superhäkker”. Keegi ei vali sind personaalselt välja. Robot leiab nõrga koha ja kasutab ära.
Kui tahad paremini aru saada, miks update’e ei maksa edasi lükata, siis loe ka seda artiklit: Miks WordPressi uuendusi ei tohi edasi lükata. 2FA ja uuendused käivad tegelikult käsikäes.
Kuidas 2FA WordPressis päriselt aitab?
Vaata, enamus rünnakuid käib just sisselogimise kaudu. Admin-konto on eriti magus sihtmärk. Kui sinna sisse saadakse, saab pahavara üles laadida, suunamisi lisada, e-poe tellimusi nuhkida või terve lehe maha võtta. Pole eriti normaalne seis.
Kahefaktoriline autentimine aitab neid olukordi vältida, sest:
- ainult paroolist ei piisa
- lekkinud kasutajaandmed ei anna kohe ligipääsu
- brute force rünnaku mõju väheneb
- admin-konto on tugevamalt kaitstud
- ka töötajate kontod on turvalisemad
Samas ei tee 2FA su lehte “100% murdmatuks”. Seda ei tee ükski tooriist. Aga see vähendab riski väga palju. Ja väikese vaevaga.
Kellel peaks 2FA kindlasti peal olema?
Lühike vastus – praktiliselt kõigil, kellel on ligipääs WordPressi haldusesse. Eriti kui tegemist on ettevõtte lehega. Mitte ainult omanikul.
Minimaalselt peaks 2FA olema:
- administraatoritel
- poe halduritel
- arendajatel ja vabakutselistel, kes sisse logivad
- turunduse või sisutiimi inimestel, kui neil on kõrgemad õigused
Tegelikult on hea mõte panna see peale kõigile kasutajatele, kelle roll ei ole päris “subscriber”. Mida rohkem õigusi kontol on, seda rohkem kahju saab sellega teha, kui konto kaaperdatakse.
Levinud vabandused, miks 2FA-d ei kasutata
Ausalt öeldes on need vabandused päris tuttavad. Ja enamus neist ei pea vett.
- “See on ebamugav.” – Jah, üks lisasamm on. Aga see võtab umbes 10 sekundit.
- “Mul pole midagi väärtuslikku lehel.” – Sul on domeen, SEO, kontaktvormid, kliendiandmed või vähemalt su maine.
- “Keegi ei ründa minu väikest lehte.” – Robotit ei huvita, kas oled suur või väike.
- “Mul on tugev parool.” – Tore, aga kui see lekib, siis on mäng läbi.
Seejuures väikestel firmadel on omamoodi eriti kehv seis, kui midagi juhtub. Suurel ettevõttel on tiim, backup-plaan ja inimesed olemas. Väikeettevõtjal on tavaliselt üks inimene, kes peab kogu jama ise lahendama.
Kuidas 2FA WordPressis tööle panna?
WordPressis saab selle tavaliselt paika pluginaga. Mõni turvaplugina lahendus sisaldab seda juba sees, mõni vajab eraldi pluginat. Tähtis on, et lahendus oleks usaldusväärne ja et backup-koodid oleks salvestatud turvalisse kohta.
Üldiselt käib asi nii:
- paigaldad 2FA lahenduse
- valid, millistele kasutajarollidele see kehtib
- ühendad konto autentimisäpiga, näiteks Google Authenticatori või sarnasega
- salvestad varukoodid
- testid, et sisselogimine toimib ka siis, kui küpsised või browseri sessioon kaovad
Kui tahad selle kohe korralikult seadistada, siis vaata meie kaheastmelise autentimise lahendust. See on üks neid asju, mis võiks olla peal enne, kui midagi juhtub, mitte pärast.
Mida veel koos 2FA-ga teha?
2FA on väga hea samm, aga mitte ainus. Turvalisus töötab kõige paremini siis, kui mitu asja toetavad üksteist. Nii-öelda kihiline kaitse.
Hea baas võiks olla selline:
- unikaalsed ja pikad paroolid
- regulaarsed WordPressi, pluginate ja theme update’id
- backup, mis töötab ja mida on testitud
- sisselogimiskatsete piiramine
- vähem admin-kontosid
- kasutamata pluginad ja teemad maha
Kui sa ei taha seda kõike ise aktiivselt jälgida, siis kõige mõistlikum on võtta WordPressi hooldusteenus, kus need asjad tehakse regulaarselt ära. Siis ei pea iga moment ise mõtlema, kas kõik on ikka korras.
Mis siis, kui leht on juba pihta saanud?
Kui su lehele on juba sisse murtud, siis 2FA üksi enam ei päästa. Siis on vaja leht puhastada, kontrollida kasutajad üle, vahetada paroolid, eemaldada pahavara ja taastada turvaline ligipääs. Ja teha seda kiiresti.
Sellises olukorras loe kindlasti ka seda juhendit: WordPress sai häkitud – mida kohe teha ja kuidas leht puhtaks saada. Seal on esimesed sammud üsna selgelt kirjas.
Aga parem variant on muidugi see, et sa ei jõua üldse sinna punkti. 2FA on üks odavamaid ja lihtsamaid viise seda riski vähendada. Tegelkkult üllatavalt palju.
Lihtne näide väikeettevõtte vaates
Oletame, et sul on väike e-pood, kus müüd käsitööd või kosmeetikat. Sul on üks admin-konto, lisaks kasutab lehte inimene, kes lisab tooteid. Kui selle toimetaja parool on sama, mida ta kasutab kuskil vanas foorumis, võib lekkest piisata, et keegi proovib sama parooli sinu poes.
Ilma 2FA-ta võib ründaja:
- muuta makselinke
- lisada spämm-lehti
- suunata kliendid mujale
- kasutada su serverit pahavara jagamiseks
2FA ei kaota kõiki riske, aga see peatab väga suure osa sellistest lollilt lihtsatest sisselogimistest. Ja just need ongi päris tihti need, mis kõige rohkem kahju teevad.
Mida teha täna, mitte “siis kui aega on”?
Kui sul 2FA veel peal ei ole, siis tee vähemalt need sammud ära:
- vaata üle, kellel on WordPressi halduses konto
- eemalda vanad ja kasutamata kasutajad
- pane administraatoritele kohe 2FA peale
- salvesta varukoodid turvalisse kohta
- kontrolli, et su leht ja pluginad oleks update’itud
See ei võta tervet päeva. Enamasti mitte isegi tundi. Aga mõju on väga suur.
Nii et jah – kahefaktoriline autentimine ei ole lisamugavus ega “kunagi hiljem” teema. See on tänaseks elementaarne turvahügieen. Kui su koduleht või e-pood on ettevõtte jaoks oluline, siis pane see paika kohe. Mida varem, seda parem. Lihtne asi, aga väga hea kindlustus.