Beskyt dit WordPress login

Det er desværre almen kendt, at WordPress sider er “nemme” at hacke. Ikke fordi sikkerheden i selve systemet er dårligt, men fordi folk ikke er særlig gode til at bruge stærke bruger/password kombinationer. Det gør det heller ikke bedre, at WordPress’standard login side altid er på enten “/wp-admin” eller “/wp-login.php”. Herunder finder du et par gode tips til hvordan du selv kan beskytte dit WordPress login, og derved mnimere risikoen for at blive hacket.

Opsæt 2FA på login siden

Mit første råd, er at du skal opsætte 2FA (to faktor godkendelse) på din login side. Det er et ekstra sikkerhedslag, som kræver at du indtaster en kode, som du enten modtager på email,mobil (SMS) eller via en App som Authy eller Google Authenticator, når du har indtastet dit brugernavn og password.

På den måde kan ingen komme ind i dit kontrolpanel, uden at indtaste en ekstra kode, som ændrer sig hvert 30. sekund (hvis du altså bruger appen). Hvis du bruger email eller SMS, så udløber koden typisk efter 10 minutter, og så skal du bede om den ny. Koden består typisk af 6-9 tal, som kommer i en vilkårlig rækkefølge – så kan du selv tænke over, hvor lang tid det vil tage en hacker at knække den kode.

Hvilke 2FA plugins er gode?

WordPress har et hav af plugins – også når det kommer til 2FA. I din jagt på det “rigtige” plugin, vil du støde på nogleaf disse plugins, som tilbyder en premium version. Det behøver du slet ikke – du kan sagtens nøjes med ét af nedenstående plugins, og så undgå premium-features som f.eks. “husk denne enhed” (så du ikke behøver at indtaste kode hvis du logger på fra en kendt computer/telefon) eller white-label version, så du ikke behøver at se at pluginnet er udviklet af et eller andet firma. I mine øjne, total spild af penge!

Her er en liste over de 2FA plugins, som jeg kan anbefale – og som ikke kræver en premium version for at holde din login side beskyttet.

• Two Factor Authentication
• Wordfence Security
• WP 2FA – Two-factor authentication for WordPress

Det øverste plugin er det jeg selv plejer at installere – og det fungerer uden bøvl! Min opsætning er med mobil-appen Authy, som også er gratis, og kan integrere med mange andre 2FA setups (f.eks. Gmail, GitHub, YouTube osv.).

Flyt login siden væk fra “/wp-admin”

Man kan læse dette råd mange steder på nettet – men jeg har egentlig aldrig selv benyttet mig af det. I alle de år, hvor jeg har lavet WordPress sider, så er det kun en håndfuld gange, at jeg har flyttet login siden væk fra “/wp-admin” – det har været efter kundens eget ønske.

Idéen er nu god nok – det gør det ekstra bøvlet for hackere og BOTS at finde frem til din login side. Men hvad nu hvis du selv glemmer, hvilken URL du skal tilgå for at komme til login siden? Så er du låst ude af dit egen website. Jeg får et par henvendelser hver uge, netop omkring dette problem – altså at brugeren ikke selv kan huske hvilken URL man skal tilgå, for at komme til login siden. Jeg plejer nu at kunne hjælpe dem ved enten at kigge i deres database, eller ved at deaktivere det plugin, som laver denne URL-ændring (og det skal gøres via FTP, da man jo ikke kan logge ind). Hvis du spørger mig, så er det mere til bøvl end til gavn – og hvis du har 2FA sat op + en god brugernavn/password kombination, så er du rigeligt sikret.

Plugins til at skjule login siden

Skulle du nu alligevel have lyst til at flytte login siden væk fra WordPress’ standard URL, så er her et par plugins som kan klare det for dig.

• Change WP Admin Login
• WPS Hide Login

Det er de to plugins jeg kunne finde, som ikke krævede at man købte premium versionen, eller blev over-spammet med reklamer når man er logget ind i kontrolpanelet. Som nævnt tidligere, jeg bruger det ikke selv, så kan ikke komme med en klar anbefaling til hvilket af disse plugins, du skal vælge – men begge to burde dække dine behov.

Du kan også kode det selv

Hvis du ikke vil bruge et plugin, og føler dig temmelig sikker inden for kodning – så kan du indsætte nedenstående kode-snippet til dit temas functions.php fil (husk at lave et child-theme, så din ændring ikke forsvinder når du opdaterer dit theme(!))

// Funktion til at ændre login URL
add_filter('login_url', 'wptricks_login_url', 10, 3);
function wptricks_login_url($login_url, $redirect, $force_reauth) {
    return home_url( '/ny_login_side/?redirect_to=' ) . $redirect;
}

Din nye login URL vil fremadrettet være: www.dinhjemmeside.dk/ny_login_side
Man kan også gøre dette via .htaccess filen, men nu bruger jeg WordPress’ egen indbyggede funktion til det.

Brug et stærkt password

Det sidste gode råd jeg kan give, er at du skal bruge et stærkt password. Det er nemt at sige, for det skal vel også være noget du kan huske, når du skal logge på fra andre enheder end din egen computer, som måske bruger autoudfyld.

Ved at tjekke dit password i et værktøj som dette, så kan du se hvor stærkt dit password er. Det viser dig også, hvor lang tid det vil tage en hacker at knække din kode og derved få adgang til dit kontrolpanel (medmindre du har opsat 2FA).

Værktøjer til at holde styr på dine logins

Et password på 16 tegn (blandet med tal, bogstaver og specialtegn) er umuligt at huske – medmindre du også kan huske de første 15 decimaler af pi (det er ikke helt umuligt) – men der findes heldigvis værktøjer som kan hjælpe dig med at holde styr på dine logins. Ikke kun WordPress, men til alle andre websites, hvor du har et login (Netflix, Gmail, Facebook osv.). Herunder er de 2 værktøjer som jeg bruger dagligt (det ene til arbejde, mens det andet er til privat).

• 1password
• DashLane

Udover at huske dine logins, så kan de begge autogenerere passwords til dig, som opfylder de fleste siders “sikkerhedskrav” til et password. Du ved, en blanding af tal, store/små bogstaver, tegn osv. De koster en smule, men de er alle penge værd – især hvis man har mange logins, og man også gerne vil dele med sin familie.

Er det gået galt?

Hvis du er nået helt herned, så er det nok fordi det er gået galt. Du kan enten ikke huske din login-url (klassikeren) eller du er allerede blevet hacked, og Google har markeret din side som usikker (alvorligt problem). Uanset hvilket problem du måtte have, så skal du være mere end velkommen til at kontakte mig, så kan jeg prøve at guide dig til en løsning – eller hvis det er helt galt, så kan jeg tilbyde min hjælp. Du kan altid kontakte mig via kontaktformularen her.