I det siste har det vært flere artikler om store angrep mot WordPress-installasjoner. Derfor er det veldig viktig å ta noen forhåndsregler sånn at din WordPress er sikker.
Angrepene prøver brukernavnet “admin” sammen med veldig mange passord. “admin” er et brukernavn veldig mange har satt som standard og derfor er det dette angrepet prøver på.
Har du “admin” som brukernavn?
Ta det med ro, det er ikke vanskelig å løse dette problemet.
- Opprett en ny bruker med det brukernavnet du ønsker (Sørg for at den nye brukeren har administrator-rettigheter).
- Logg inn med den nye brukeren og slett den gamle.
- Da vil du få et spørsmål om hva du vil gjøre med postene til den gamle brukeren, du kan enten overføre de til den nye brukeren eller slette de.
Da skal du ha fått deg en ny bruker med alle dine gamle innlegg.
Andre måter for å forhindre angrep mot WordPress
Jeg bruker alltid å legge inn Limit Login Attempts når jeg setter opp en WordPress-side. Den blokkerer brukere som prøver å logge inn for mange ganger på kort tid. Standardinnstillingen er at 4 feilaktige innlogginger fører til en “lockout”.
Til nå er det 1367 lockouts på denne siden. Man får også se en lang liste med IP-adressene som har prøvd og med hvilket brukernavn de har brukt. I listen min ser jeg at admin er en gjenganger, over 90% av forsøkene er gjort med admin som brukernavn.
En annen plugin jeg har begynt å ta i bruk er Google Authenticator. Denne gjør at du må oppgi en kode i tillegg til brukernavn og passord når du logger på siden din. Koden får du via en app Google har laget, denne er tilgjengelig til iOs, Android og Blackberry. Dette fungerer på samme vis som bankID, koden er kun gyldig i ca 1 minutt. Dermed har det blitt veldig vanskelig for en person som prøver å bryte seg inn, selv om de har passordet ditt må de også ha telefonen din.