Paranna WordPress-sivustosi tietoturvaa kaksivaiheisella vahvistuksella

 in Blogi / Nostot / Testit ja arviot  tagit: tietoturva / verkkosivut / wordpress kirjoittajalta

Kaksivaiheinen vahvistus kirjautumisen yhteydessä on ollut mahdollista joissain verkkopalveluissa pidemmän aikaa, mutta viimeisen 1–2 vuoden aikana monet merkittävät palvelut ja sivustot ovat alkaneet tuoda tätä käyttäjätilien kaappaamista estävää toiminnallisuutta enemmän esille. Kaksivaiheisen vahvistuksen toteuttamiseen on eri tapoja, mutta idea kaikissa on, että käyttäjältä pyydetään käyttäjätunnuksen ja salasanan lisäksi jotain muuta, kuten puhelimeen lähetettävä kertakäyttöinen numerosarja tai mobiilisovelluksessa pienin väliajoin päivittyvä koodi tai numerosarja.

Tällä hetkellä eli maaliskuussa 2015 kaksivaiheinen vahvistus on mahdollista ottaa käyttöön esimerkiksi Googlen, Applen, Facebookin, Microsoftin, Twitterin ja Linkedinin palveluissa.  Kaikissa edellä mainituissa palveluissa on oma, mutta toisiaan muistuttava menetelmänsä kaksivaiheisen vahvistuksen käyttöönotolle. Google on mahdollistanut Authenticator Android- ja iOS-sovelluksensa avulla menetelmän käyttöönoton myös kolmansille osapuolille. Esimerkiksi suosittu tiedostojen tallennus- ja jakopalvelu Dropbox käyttää Googlen ratkaisua kaksivaiheisessa vahvistuksessa.

Googlen Authenticatoria hyödyntäen voi tämän tietoturvaa parantavan toiminnon ottaa käyttöön WordPress-sivustolla näppärää lisäosaa hyödyntäen. Homman läpiviemiseen tarvitset WordPress-sivustollasi oikeudet lisäosien asentamiseen ja Android- iOS-päätelaitteen sekä tietysti Authenticator-sovelluksen sovelluskaupasta.

Aloitetaan!

  1. Kirjaudu sivustollesi normaalisti ja suunnista Lisäosat -> Lisää lisäosa -näytölle. Vaihtoehtoisesti voit ladata lisäosan WordPressin lisäosahakemistosta ja asentaa zip-tiedoston Lataa lisäosa -toiminnolla tai purkaa paketin ja siirtää sen suoraan FTP-yhteydellä WordPress-asennuksesi /wp-content/plugins-hakemistoon.

Kaksivaiheinen vahvistus - Lisäosan asennus

  1. Asenna lisäosa

two-step-2

  1. Ota lisäosa käyttöön. Jos käytit yllä kuvattuja muita tapoja lisäosan asentamiseen, tulee sinun aktivoida eli ottaa lisäosa käyttöön klikkaamalla ohjauspaneelin Lisäosat-näkymässä Ota lisäosa käyttöön.

two-step-3

  1. Lisäosan aktivoinnin jälkeen siirry ohjauspaneelissa käyttäjätilisi tietoihin. Authenticatorin asetukset löytyvät heti käyttäjätilisi perustietojen jälkeen kohdasta Google Authenticator Settings. Klikkaa Active-täppä päälle ja kirjoita Description-kenttään sivustosi nimi, jotta tunnistat oman sivustosi mobiilisovelluksessa muiden sivustojen ja palvelujen joukosta (jos niitä on).

two-step-4

4.1 Jätä yllä oleva näyttö auki koneellesi ja mobiilisovelluksen lataamisen ja konfiguroinnin ajaksi.

  1. Lataa Googlen virallinen Authenticator sovellus alustasi sovelluskaupasta. Linkit: iOS, Android.
  2. Napauta yläpalkissa olevaa  (1) plus-ikonia ja valitse sen jälkeen (2) Lue viivakoodi.
  3. Lue viivakoodi näytöltä laitteesi kameraa hyödyntäen.
  4. Sivustosi ilmestyy sovelluksen listaa muiden joukkoon.
  1. Klikkaa lopuksi WordPress-ohjauspaneelissasi käyttäjätilisi tiedoissa sivun alreunanassa painiketta Päivitä käyttäjätiedot. Sivustosi on nyt onnistuneesti lisätty Google Authenticator sovellukseen ja kaksivaiheista vahvistusta voidaan kokeilla ensimmäistä kertaa. Kirjaudu ulos sivustosi hallinnasta.

two-step-5

  1. Sivustoon kirjautuminen. Kirjoita kirjautumislomakkeen code-kenttään sovelluksessa näkyvä koodi käyttäjätunnuksesi ja salasanasi lisäksi.
two-step-6
Valmis

Valmis

Vinkki! Koska kaksivaiheinen vahvistus otetaan käyttöön WordPressissa käyttäjätilikohtaisesti, on sinulla mahdollisuus ottaa lisäturva käyttöön esim. pelkästään pääkäyttäjätilille ja antaa vähemmillä oikeuksilla varustettujen tilien kirjautua edelleen käyttäjätunnuksella ja salasanalla.