Anders Grendstadbakk

Angrep mot WordPress

I det siste har det vært flere artikler om store angrep mot WordPress-installasjoner. Derfor er det veldig viktig å ta noen forhåndsregler sånn at din WordPress er sikker.

Angrepene prøver brukernavnet “admin” sammen med veldig mange passord. “admin” er et brukernavn veldig mange har satt som standard og derfor er det dette angrepet prøver på.

Har du “admin” som brukernavn?

Ta det med ro, det er ikke vanskelig å løse dette problemet.

Da skal du ha fått deg en ny bruker med alle dine gamle innlegg.

Andre måter for å forhindre angrep mot WordPress

Jeg bruker alltid å legge inn Limit Login Attempts når jeg setter opp en WordPress-side. Den blokkerer brukere som prøver å logge inn for mange ganger på kort tid. Standardinnstillingen er at 4 feilaktige innlogginger fører til en “lockout”.

Til nå er det 1367 lockouts på denne siden. Man får også se en lang liste med IP-adressene som har prøvd og med hvilket brukernavn de har brukt. I listen min ser jeg at admin er en gjenganger, over 90% av forsøkene er gjort med admin som brukernavn.

En annen plugin jeg har begynt å ta i bruk er Google Authenticator. Denne gjør at du må oppgi en kode i tillegg til brukernavn og passord når du logger på siden din. Koden får du via en app Google har laget, denne er tilgjengelig til iOs, Android og Blackberry. Dette fungerer på samme vis som bankID, koden er kun gyldig i ca 1 minutt. Dermed har det blitt veldig vanskelig for en person som prøver å bryte seg inn, selv om de har passordet ditt må de også ha telefonen din.