Hvordan man sikre login og backend på wordpress imod hackere

Sikring af din hjemmeside mod hackere er en nødvendighed og ofte kræver det ikke specielt meget.

Sådan får hackere ofte adgang til din administration

Selve login siden på wordpress er sikker nok, den kan som sådan ikke hackes via kendte sårbarheder så derfor vil en given hacker istedet prøve at gætte dit login til siden. Via REST API til wordpress som standard er åben kan de hurtigt sikre sig username til brugerne. Er denne API lukket så kan de istedet prøve at benytte kendte usernames som f.eks. admin, root, administrator, personnavne som Henrik osv.

Herefter benytter de et script som gætter kodeord til siden, igen starte de med at gætte på kendte kombinationer som f.eks. brugernavn admin og password test1234. Kan man gætte 100gg/minut kan man på een dag gennemgå temmelig mange kombinationer.

Du bør sikre dit kodeord og brugernavn

For at undgå at dit login bliver gættet bør dit brugernavn da også være noget ala admin443g og kodeord bør være en tilfældig streng som lkjaf78kklafÆR#34 hvilket gør det næsten umuligt for en hacker at gætte kombinationen.

wordpress login

Sådan blokerer du adgang for ondtsindede person via IP blokering

Selvom hackeren ikke umiddelbart kan gætte dit login så bør vi faktisk sikre at han slet ikke får mulighed for det. Risikoen for at han gætter rigtigt er tilstede men bare det at han gætter løs lægger en stor belastning på serveren. Det kan reelt svarer til et DOS angreb.

Derfor vil vi gerne blokere ham før han får mulighed for det.

Vi kan derfor i en fil der hedder .htaccess som altid ligger i roden af hjemmesiden whiteliste vores egen IP som vi tillader adgang til login og blokere alle andre. Din IP når du sidder på arbejder er som regel den samme eller ligger i samme IP range. Hvis du sidder der hjemme eller på en cafe vil den være anderledes og reelt blokere din egen adgang.

For at blokere alle andre og tillade din egen ip som kan være 100.101.102.103 kan du tilføje dette i .htaccess

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 100.101.102.103
</Files>

<Directory /wp-admin>
 Order Deny,Allow
 Deny from all
 Allow from 100.101.102.103
</Directory>

Først blokere vi adgangen til wp-login.php som er login siden og herefter blokere vi adgangen til hele wp-admin folderen for at sikre imod direkte scanninger af evt. sårbarheder.

En simpel måde at sikre din adgang til wordpress backend.

Er dette ikke den løsning du søger kan du prøve at installere Wordfence plugin som kan sikre din side på en lign. måde via dynamisk blokering af IP adresser.

Læs også:

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *