Attacker mot webbplatser som drivs med wordpress är tyvärr vanliga. Det är nackdelen med att använda ett populärt system. En inkräktare kan ställa till med stora problem så det är bäst att tänka ut en strategi för att skydda sig.
Brute force attacker blir allt vanligare. Det är när någon försöker använda ett program för att gissa sig till vilket lösenord man har genom att göra upprepade inloggningsförsök. De försöker då gissa lösenord enligt något system, t ex gå igenom en ordbok.
- Använd starka lösenord
- Byt namn på användaren admin
- Uppgradera WordPress till senaste versionen
- Installera säkerhetstillägg
- Avaktivera XML-RPC
Använd starka lösenord
Ett lösenord ska vara långt och inte innehålla några ord eller teckenkombinationer som går att gissa. Alltså ett slumpmässigt urval av tecken.
WordPress kommer numera med en bra lösenordsgenerator. Gå bara till Användare > Din profil i panelen. Skrolla ner till Kontoadministration och klicka på knappen Generera lösenord
Ju fler tecken ett lösenord innehåller destu säkrare är det. Problemet blir ju sen hur man ska komma ihåg sina lösenord. Man bör inte använda samma lösenord på fler ställen så det blir många att hålla reda på.
Man kan spara dem i en fil på datorn men om någon hittar filen har de ju alla lösenord. Ge filen ett neutralt namn och lösenordsskydda även den.
Det finns speciella program för att hantera lösenord, password manager, som kostar pengar. Det kanske det är värt.
Byt namn på användaren admin
När man installerar WordPress skapas en användare som heter admin. Det är den användare de flesta attacker sker mot. Byt namn till något annat, gärna något svårgissat.
Det går till så att man skapar en ny användare i adminpanelen under rubrik Användare med behörigheten administratör. Sedan tar man bort användare admin. Man får då en fråga om de inlägg och sidor som hör till admin ska överföras till en annan befintlig avändare. Det behöver inte vara den användare som är administratör.
Det bästa är att ha minst två användare. En som är administratör och en annan som producerar innehållet. Den användare som är administratör ska ha ett krångligt namn som är svårt att gissa. Den ska inte skriva några inlägg eller sidor för att göra det svårt för utomstående att hitta namnet. Den andra användaren producerar allt innehåll och får då inte ha administrationsbehörighet. Man får då logga ut och in igen med den andra användaren varje gång man vill installera något men det ger ökad säkerhet.
Uppgradera WordPress till senaste versionen
WordPress utvecklas hela tiden och det kommer fortlöpande nya versioner. Många uppgraderingar görs för att täppa till säkerhetshål som upptäcks.
Detta är en kontinuerlig process. Systemet blir aldrig ”färdigt” utan kommer hela tiden att utvecklas. Nya säkerhetsproblem upptäcks och korrigeras efter hand.
Man bör därför alltid ha senaste versionen av WordPress installerad. Det gäller även tillägg och teman. Uppgraderingar sker numera automatiskt om man inte deaktiverar den funktion.
Installera säkerhetstillägg
Det finns ett antal säkerhetstillägg som man kan installera. De förhindrar bland annat ett stort antal inloggningsförsök. Ett av de mer kända, som jag använder är Wordfence. Det finns gott om inställningsmöjligheter för vad man vill blockera. IP-nummer, länder och man kan ställa in hur många inloggningsförsök an användare ska ha.
Avaktivera XML-RPC
XML-RPC är ett API (application program interface) som gör det möjligt för applikationer i mobiler och andra enheter att kommunicera med en wordpressinstallation. Det har beskrivits som ett säkerhetsproblem där attackerare använder XML-RPC för att göra ett stort antal inloggningsförsök.
Wordfence blockerar även dessa försök men om man vet att man inte behöver XML-RPC så går det att avaktivera med ett tillägg, Disable XML-RPC.