Näin otat käyttöön kaksivaiheisen tunnistautumisen WordPressissä

WordPress-sivuston tietoturva on yksi eniten nettisivujen omistajia askarruttavia asioita. Miten voit vaikuttaa siihen, että nettisivujasi ei hakkeroida?

Yksi helpoimpia keinoja tehdä WordPress-verkkosivuistasi vähän turvallisemmat, on ottaa käyttöön kaksivaiheinen tunnistautuminen. 

Mitä on kaksivaiheinen tunnistautuminen?

Olet saattanut huomata, että nettisivuillesi yritetään kirjautua väärillä käyttäjätunnuksilla ja/tai salasanoilla. Jos sivuillasi on joku kirjautumisyrityksiä rajoittava lisäosa (esim. Limit Login Attempts), voit saada sähköpostiisi ilmoituksia, että joltain IP-osoitteelta tai käyttäjätunnukselta on väliaikaisesti estetty pääsy sivustollesi liian monien epäonnistuneiden kirjautumisyritysten takia.

Tällöin on kyse siitä, että sivustolle yritetään päästä kirjautumaan arvaamalla käyttäjätunnuksia ja salasanoja. Sivuston turvallisuutta voidaan lisätä kirjautumisyrityksiä rajoittavalla lisäosalla sekä vahvalla käyttäjätunnuksella ja salasanalla, mutta kaksivaiheinen tunnistautuminen tuo vielä lisäturvaa nettisivulle.

Kaksivaiheinen tunnistautuminen (välillä käytetään myös lyhennettä 2FA eli Two-Factor Authentication) tarkoittaa, että annettuasi sivuston käyttäjätunnuksen ja salasanan, sinulta kysytään vielä vaihtuvaa koodia. Tämän avulla pyritään varmistamaan, että nettisivuille ei päästäisi sisälle, vaikka käyttäjätunnus ja salasana onnistuttaisiinkin arvaamaan oikein.

Kaksivaiheinen tunnistautuminen ei ole vain nettisivuja koskeva asia, vaan sen voi (ja kannattaa) ottaa käyttöön mm. sometileillä, sähköpostissa ja uutiskirjeohjelmissa. Tässä blogikirjoituksessa neuvon sinulle kaksivaiheisen tunnistautumisen käyttöönoton WordPressissä Kaksivaiheinen-lisäosan sekä Google Authenticator -appin avulla. Google Authenticator on siitä kätevä, että se toimii monien palveluiden kanssa, joten voit hoitaa saman appin kautta kaksivaiheisen tunnistautumisen useisiin palveluihin ja sivustoihin.

Näin otat kaksivaiheisen tunnistautumisen käyttöön WordPressissä

Ennen kuin otat kaksivaiheisen tunnistautumisen käyttöön, on muutama asia, jotka sinun on hyvä ottaa huomioon.

• Google Authenticator -appi kannattaa ladata sellaiselle laitteella, joka sinulla on yleensä helposti saatavillasi, kun päivität nettisivujasi. Älä siis laita sitä esim. tabletille, joka on yleensä lataamattomana jossain laatikon perukoilla.
• Pelkkä Kaksivaiheinen-lisäosan asentaminen sivustolle ei laita kaksivaiheista kirjautumista automaattisesti päälle jokaiselle sivuston käyttäjälle. Lisäosan asentamisen jälkeen jokainen käyttäjä voi käydä laittamassa tämän päälle itse. Käyttäjän täytyy tietenkin myös asentaa Google Authenticator omalle mobiililaitteelleen.
• Jos useilla henkilöillä on tarve päästä ylläpitämään nettisivuja, kannattaa jokaiselle olla oma käyttäjätunnus, jolloin he voivat laittaa kaksivaiheisen tunnistautumisen päälle erikseen. Jos jonkun ulkopuolisen on tarvetta saada sivustolle ylläpitäjän tunnukset väliaikaisesti, vaikkapa teknisten ongelmien ratkaisemiseksi, heille kannattaa tehdä oma käyttäjätunnus ja poistaa se, kun sivustolle pääsyyn ei ole enää tarvetta.

Kaksivaiheinen-lisäosan asennus

1. Mene WordPressin ohjauspaneeliin asentamaan Kaksivaiheinen-lisäosa.

2. Mene kohtaan Lisäosat.

3. Valitse Lisää uusi.

4. Etsi Kaksivaiheinen.

5. Klikkaa Asenna nyt ja tämän jälkeen Ota käyttöön.

Google Authenticator ja kaksivaiheisen tunnistautumisen aktivoiminen

1. Käy lataamassa Google Authenticator -appi mobiililaitteellesi App Storesta tai Play Kaupasta. 

2. Mene seuraavaksi WordPressin käyttäjiin (Käyttäjät) ja valitse oma käyttäjätunnuksesi.

3. Selaa käyttäjätietoja alaspäin ja löydät kohdan Kaksivaiheisen asetukset.

4. Valitse Aikaperusteinen kertakäyttöinen salasana (TOTP) ja ruksi kohdat Käytössä ja Ensisijainen. (On hyvä ottaa varmuudeksi käyttöön myös toissijaisia tunnistautumistapoja, kuten sähköposti, jolloin saat kirjautumiskoodin sähköpostiisi. Toissijaisten tunnistautumistapojen kohdalla, ruksi vain Käytössä.)

5. Avaa Google Authenticator mobiililaitteellasi ja klikkaa ruudun alareunassa näkyvää plus-merkkiä. 

6. Valitse Lue QR-koodi ja Google Authenticator avaa QR-koodin lukunäkymän.

7. Lue WordPressissä näkyvä QR-koodi mobiililaitteellasi. Nyt Google Authenticatoriin pitäisi tulla näkyviin sivuston nimi sekä kuusinumeroinen koodi. 

8. Syötä WordPressissä Autentikaatiokoodi-kohtaan Google Authenticatorissa näkyvä koodi ja klikkaa Lähetä.

9. Klikkaa WordPressissä käyttäjätieto-sivun alareunasta Tallenna.

10. Nyt sinulla on käytössä kaksivaiheinen tunnistautuminen nettisivuillasi! Kun kirjaudut WordPressiin seuraavan kerran, annat normaalisti käyttäjätunnuksen sekä salasanan ja klikkaat kirjaudu sisään. Tämän jälkeen WordPress pyytää sinulta autentikaatiokoodia, jonka voit tarkistaa Google Authenticatorista. Autentikaatiokoodit vaihtuvat aina minuutin välein ja näetkin appissa pienen kellon koodin vieressä, joka näyttää kuinka pian sen hetkinen koodi on vaihtumassa uuteen.