Når et WordPress website bliver hacket, så har hackeren som regel skaffet sig adgang enten ved at udnytte en sårbarhed i et usikkert plugin eller tema, eller ved at knække en admin-brugers password. I princippet er det derfor enkelt nok at beskytte et WordPress website mod hacking – man skal sørge for kun at bruge temaer og plugins som ikke indeholder kendte sårbarheder, og man skal altid bruge sikre adgangskoder.
Firewall
Hvis man af den ene eller anden grund ikke kan overholde ovenstående – eller hvis man gerne vil sikre sig yderligere – så kan man sætte en firewall foran site website. Den bedste løsning er en ekstern firewall som f.eks. Sucuri eller Cloudflare, men et firewall plugin som f.eks. WordFence giver også god sikkerhed.
Eksterne firewalls skal man betale for, og firewall plugins gør normalt websitet (lidt) langsommere, så hvis man ellers har styr på tema- og pluginkode, kan man som regel klare sig uden (især hvis man har et godt backupsystem). Vi anbefaler dog stadig at man beskytter sig mod forsøg på at knække admin-passwords.
Adgangskoder
En hacker vil typisk sætte et stort antal computere til at forsøge at logge ind på tilfældige WordPress websites med brugernavne og adgangskoder der er høstet fra tidligere datalæk (f.eks. dette). Mange bruger meget enkle passwords der er lette at huske (og gætte), eller genbruger det samme password mange steder, så hvis hackeren har tilstrækkelig computerkraft og tid til rådighed, vil der på et tidspunkt være gevinst. Denne form for hacking er kendt som “brute-force” angreb. De gennemføres ofte af organiserede kriminelle, og formålet er typisk at installere software som gør websitet til medlem af et “botnet” der så kan bruges til forskellige former for kriminel aktivitet.
Login
Ud over at anvende unikke, komplicerede passwords kan man standse disse angreb på to måder:
- Man kan helt fjerne adgangen til at logge ind
- Man kan gør login mere kompliceret og tidskrævende
Login i WordPress foregår normalt enten via WordPress’ login-side eller via en protokol der hedder XML-RPC som typisk bruges til WordPress administration fra smartphones og lignende (Jetpack anvender også XML-RPC). Hvis man ikke bruger nogle af disse, kan man helt blokere for adgang via XML-RPC – enten manuelt eller ved hjælp af et plugin.
2FA
Brute-force angreb lykkes kun hvis det er muligt at forsøge at logge ind med et stort antal brugernavne/passwords indenfor kort tid, så hvis man kan gøre login-processen mere besværlig kan man som regel standse hackeren inden det lykkes at finde en kombination der giver adgang. Man f.eks. gøre login-processen mere besværlig ved at bruge Captchas eller bruge en form for to-faktor login (2FA) f.eks. med Authy, Google Authenticator eller bekræftelses-SMS med koder der skal anvendes for at logge ind.
Ideen er at gøre livet surt for hackeren uden at gøre det alt for besværligt for legitime brugere at få adgang.
Plugin
Der findes flere plugins man kan bruge til at sikre WordPress login. Vores foretrukne er WordFence Login Security, et gratis plugin fra udviklerne bag WordFence. Den indeholder den samme funktionalitet til at sikre mod uautoriserede login som WordFence, men uden al den ekstra firewall-funktionalitet. Man kan beskytte eller helt fjerne adgangen til login via XML-RPC uden at skulle ned og rette i .htaccess eller lignende, og man kan tilføje reCaptcha v3 eller 2FA til loginsiden.
Stærke, unikke passwords
Det er selvfølgelig stadig en god ide at anvende stærke, unikke passwords. Her kan en password-husker app være en god hjælp – det kan du læse mere om her.