{"id":8130,"date":"2015-03-31T13:11:11","date_gmt":"2015-03-31T11:11:11","guid":{"rendered":"http:\/\/www.gamle-dage.dk\/blog\/?p=8130"},"modified":"2023-04-07T11:28:36","modified_gmt":"2023-04-07T09:28:36","slug":"saadan-sikrer-du-din-wordpress-nemt-og-enkelt","status":"publish","type":"post","link":"https:\/\/www.gamle-dage.dk\/2015\/03\/31\/saadan-sikrer-du-din-wordpress-nemt-og-enkelt\/","title":{"rendered":"S\u00e5dan sikrer du din WordPress, nemt og enkelt"},"content":{"rendered":"
Af Michael Bonnevie<\/em><\/p>\n <\/p>\n Det er rigtig rart at have tjek p\u00e5, og vide en masse ting, mens det egentlig er rigtig sk\u00f8nt, at v\u00e6re i total uvidenhed om andet. Jeg er nok en af de typer, som er meget nysgerrig af natur, s\u00e5 derfor falder jeg muligvis over ting, som mange andre ikke sk\u00e6nker en tanke, og en af de disse er WordPress sikkerhed, eller mangel derp\u00e5. I mange \u00e5r har jeg arbejdet med WordPress, og har selvf\u00f8lgelig t\u00e6nkt sikkerhed nu og da, men da systemet for det meste k\u00f8rer og klarer sig selv, s\u00e5 er det ikke sp\u00f8rgsm\u00e5let der er dukket op som oftest.<\/p>\n I den seneste tid, er jeg blevet bombarderet med fors\u00f8g p\u00e5 at logge ind p\u00e5 GD, og det er kun fordi jeg har et plugin installeret, som afsl\u00f8rer disse fors\u00f8g (IP Blacklist Cloud) at min opm\u00e6rksomhed igen er blevet sk\u00e6rpet p\u00e5 WordPress sikkerhed. Jeg er ikke den store koder, eller p\u00e5 anden m\u00e5de WordPress haj, udover design og grafik, men har igennem \u00e5rene l\u00e6st en del om WordPress, og via trial and error f\u00e5et en indsigt der g\u00f8r, at jeg gerne vil dele mine metoder til at holde ‘fjenden’ for d\u00f8rene.<\/p>\n Metoderne som jeg beskriver, er nogle som har fungeret for mig, men jeg kan ikke garantere at det virke vil for alle. En WordPress installation kan v\u00e6re meget Individuel p\u00e5 grund af temaer, plugins og meget andet, s\u00e5 det er derfor p\u00e5 eget ansvar hvis man v\u00e6lger at f\u00f8lge mine instruktioner! Det er ogs\u00e5 altid en rigtig god ide at lave en backup af din database og filer, f\u00f8rend du g\u00e5r i gang med at \u00e6ndre p\u00e5 ting i WordPress! For at lave en backup, kr\u00e6ver det at du har installeret et backup plugin, eller at din webudbyder har mulighed for at lave backup. For at starte fra en ende, s\u00e5 er der nogle helt basale ting som man kan og burde g\u00f8re, for at stramme op om sikkerheden p\u00e5 sin hjemmeside.<\/p>\n Password<\/strong><\/p>\n <\/p>\n Dette her er sandsynligvis det vigtigste<\/span> punkt p\u00e5 listen, s\u00e5 derfor er det ogs\u00e5 det f\u00f8rste!<\/p>\n Hvis du har et Password som eksempelvis Admin123<\/strong>, Peterhansen<\/strong> eller andet simpelt kodeord, s\u00e5 g\u00f8r dig selv den tjeneste, at \u00e6ndre det med det samme! Du kan v\u00e6re n\u00e6sten sikker p\u00e5 at dit Password bliver g\u00e6ttet f\u00f8r eller siden, da robotterne og de automatiske scripts er gode til at g\u00e6tte, ud fra ens brugernavn og den m\u00e5de som folk typisk laver Passwords p\u00e5.<\/p>\n Det er meget vigtigt at lave et Password der ikke relaterer til dit navn, og koden skal helst have store og sm\u00e5 bogstaver, tal og tegn og v\u00e6re af en vis l\u00e6ngde.<\/p>\n Her er et t\u00e6nkt eksempel p\u00e5 et Password hvor jeg bruger et navn. ?=)Klaus_Kludder_784_gamle-dage\u00a4%&<\/strong><\/p>\n Selvom jeg har brugt b\u00e5de navn og websted, s\u00e5 er det en kode som er meget sv\u00e6r at g\u00e6tte. Der er brugt store og sm\u00e5 bogstaver, tilf\u00e6ldige tal og tegn. Man kan ogs\u00e5 lave nogle passwordregler som man selv kan huske, men ingen andre har mulighed for at vide. Du kan eksempelvis erstatte et bestemt bogstav med et tegn eller tal som kun du kender. Klaus_Kludder_K\u00f8benhavn<\/strong> = 1la2s_1<\/span>l2dder_1\u00f8benhavn <\/span><\/strong>Her har jeg erstattet K med 1 og u med 2. Det g\u00f8r det meget sv\u00e6rere at regne ud, og n\u00e6sten u l\u00e6seligt medmindre man kender reglen..<\/span><\/p>\n Hvis du som jeg, har rigtig mange Passwords at holde styr p\u00e5, s\u00e5 kan du bruge noget software der holder styr p\u00e5 dem. Det eneste du skal huske er dit Masterpassword til softwaren! Glemmer du den, s\u00e5 er dine Passwords desv\u00e6rre g\u00e5et tabt!<\/p>\n Det er en god ide, at have Password softwaren (Password kode filerne) liggende i en Cloud service som Dropbox, Google drev eller lignende. Dette er fordi ens Password filer forsvinder i et nedbrud af styresystemet, eller ved harddisk nedbrud. Sidst mit Styresystem br\u00f8d ned, var det det, der reddede alle mine Passwords.<\/p>\n Update p\u00e5 passwords!<\/strong><\/p>\n Lidt er sket, efter jeg skrev denne her klumme. Det er stadigv\u00e6k en god ide at lave et st\u00e6rkt password, men det viser sig, at de algoritmer som bryder passwords, har sv\u00e6rest ved at g\u00e6tte flere sammensatte ord. Et eksempel kunne v\u00e6re: klauskludderborik\u00f8benhavn, <\/strong>alts\u00e5 Klaus kludder bor i K\u00f8benhavn. Det skulle faktisk v\u00e6re sv\u00e6rere at g\u00e6tte, end hvis du brugte store ord, tal og koder i dine s\u00e6tninger. Du skal nok op p\u00e5 minimum 4 ord og helst flere, f\u00f8rend det bliver n\u00e6rmest umuligt at bryde. Fordelen med denne metode er, at det er nemmere at huske, end hvis du brugte alle mulige tegn og tal..<\/p>\n Admin or not to Admin, that is the question?<\/strong><\/p>\n <\/p>\n N\u00e5r du installerer WordPress fra bunden, s\u00e5 s\u00f8rg for ikke at kalde dig selv Admin, da det vil v\u00e6re det som WordPress st\u00e5r til som default. Det er meget let, bare at v\u00e6lge dette og g\u00e5 videre. Jeg er selv skyldig i br\u00f8leren, men dengang jeg installerede ‘Gamle dage’ vidste jeg ikke bedre..<\/p>\n Grunden er, at ‘Admin’ er det ord\/navn som de automatiske scripts og personer s\u00f8ger p\u00e5 som det f\u00f8rste, da de ved at det er der WP siden skal rammes h\u00e5rdest. Hvis du v\u00e6lger et andet ord eller navn end ‘Admin’ s\u00e5 er du allerede foran p\u00e5 point! Du kan godt efterf\u00f8lgende \u00e6ndre dit navn via et plugin osv. men det er lettere at tage det i opl\u00f8bet. Hvis du har mod p\u00e5 selv at \u00e6ndre navnet uden plugin, s\u00e5 kan du oprette en ‘Bruger’ med Admin rettigheder, og ‘for\u00e6re’ Admins posteringer til den nye bruger. N\u00e5r dette er gjort, s\u00e5 burde du kunne slette ‘Admin’ og k\u00f8re videre som ny Administrator med den nye bruger med nyt navn. Jeg har ikke selv pr\u00f8vet, s\u00e5 det er p\u00e5 eget ansvar hvis du giver dig i kast med foretagenet!<\/p>\n .htaccess<\/strong><\/p>\n <\/p>\n I roden af dit websted, har du en fil som hedder .htaccess. Det er en fil som kommunikerer med din server, og fort\u00e6ller den hvordan skal opf\u00f8re dig. Det er ikke sikkert der st\u00e5r noget s\u00e6rligt i din .htaccess, udover det som WordPress kommer med som default, men der er enkelte sm\u00e5ting du kan g\u00f8re, for at stramme grebet en anelse om din Word\u00c5ress sikkerhed.<\/p>\n Her er et eksempel p\u00e5 en default WordPress .htaccess<\/p>\n Jeg har tilf\u00f8jet de her linjer efter # END WordPress<\/p>\n Begge filer (xmlrpc.php og wp-config.php) er typisk dem som bliver fors\u00f8gt kompromitteret, s\u00e5 det er en god ide at s\u00f8rge for, at filerne ikke kan ses eller s\u00f8ges efter. S\u00e5dan her vil din .htaccess se ud efter linjerne er tilf\u00f8jet.<\/p>\n .htaccess kan bruges til rigtig meget, men man skal holde tungen lige i munden n\u00e5r man \u00e6ndrer i den! En lille stavefejl kan g\u00f8re at du ikke kan komme ind p\u00e5 din side. Det er derfor en god ide at lave en backup af filen f\u00f8rend du \u00e6ndrer i den, og skulle der v\u00e6re en fejl, s\u00e5 er det bare at overskrive filen med din backup, – og du er k\u00f8rende igen.<\/p>\n Remove xmlrpc pingback ping<\/strong><\/p>\n <\/p>\n xmlrpc pingback pluginnet har jeg installeret, da Pingback<\/a> er en feature jeg ikke har brug for p\u00e5 min side, og som repr\u00e6senterer en forholdsvis stor ‘fare’ for ondsindet udnyttelse. I min .htaccess er filen ‘gemt’ s\u00e5 hvis jeg fjerner pluginnet en anden gang, s\u00e5 er jeg stadigv\u00e6k en anelse sikret. xmlrpc har v\u00e6ret udnyttet i s\u00e5kaldte DDoS angreb, hvor rigtig mange installationer af WordPress har v\u00e6ret taget som gidsel. Hvis du vil vide om din WordPress har\/er v\u00e6ret brugt til DDoS angreb, s\u00e5 kan du teste det via online DDos testere..<\/p>\n Her kan du l\u00e6se mere om DDoS<\/a>. P\u00e5 Engelsk<\/p>\n IP Blacklist Cloud<\/strong><\/p>\n <\/p>\n IP Blacklist Cloud er et plugin jeg har brugt i flere \u00e5r, og det kan g\u00f8re rigtig meget for din WordPress sikkerhed. N\u00e5r personer\/robotter fors\u00f8ger at logge ind p\u00e5 dine side, og overskrider de login fors\u00f8g som du har sat op i IP Blacklist, s\u00e5 bliver de udelukket i eksempelvis en time, og kommer p\u00e5 en liste, hvor du efterf\u00f8lgende kan v\u00e6lge at Blackliste deres IP adresse. Jeg har igennem tiden Blacklistet flere tusinde IP numre..<\/p>\n N\u00e5r personer kommer p\u00e5 din Blacklist, s\u00e5 kan du se hvilket land de kommer fra, og hvilke Passwords de har testet af. Det er derfor ret enkelt at vide, om deres IP skal bannes helt. Det skal de fleste Login fors\u00f8g for \u00f8vrigt!, da du og dine eventuelle medlemmer sikkert er de eneste der skal have adgang til din WP sides login. Du kan Whiteliste dit eget IP nummer, samt dem du ved har rent mel i posen. En meget rar feature, der sikrer dig, at du ikke kommer til at udelukke dit eget eller andres IP nummer ved en fejl.<\/p>\n En ting jeg har lagt m\u00e6rke til, er at ‘angrebene’ kommer i b\u00f8lger.. For det meste sker der ikke meget i IP Blacklist, men andre gange er der virkelig run p\u00e5. Her for en lille uges tid siden, gik det helt amok p\u00e5 min GD, da der var utallige fors\u00f8g p\u00e5 at logge ind, specielt fra lande som Ukraine, Rusland mv. Der var vel en 2-5 fors\u00f8g i minuttet, s\u00e5 det l\u00f8ber hurtigt op. Selvom jeg kunne se ud af deres Password g\u00e6tteri, at de ikke var i n\u00e6rheden af at ramme mit Password, s\u00e5 er det alligevel noget nervepirrende at sidde og se p\u00e5. Jeg t\u00e6nkte at der m\u00e5ske var en mulighed for at blokere for visse lande, s\u00e5 ‘angrebene’ stopper allerede f\u00f8r de f\u00e5r lov til at pr\u00f8ve at logge ind. Det var der, og det hedder iQ Block Country<\/strong>.<\/p>\n iQ Block Country<\/strong><\/p>\n <\/p>\n iQ Block Country<\/strong> er ret genialt! Det er forholdsvis enkelt at s\u00e6tte op, og n\u00e5r det k\u00f8rer s\u00e5 blokerer det automatisk bes\u00f8gende fra de lande du har valgt p\u00e5 en liste. Der er en enkelt lille ting som skal g\u00f8res f\u00f8rend pluginnet fungerer, og det er at man skal ud pakke en GEO ip database og uploade til sin hjemmeside, i roden via Ftp. Hvis du ikke har pr\u00f8vet den slags f\u00f8r, s\u00e5 f\u00e5 nogen til at hj\u00e6lpe dig.<\/p>\n Du skal vide hvor de bes\u00f8gende kommer fra, f\u00f8rend de kan blokeres i iQ, og det er ikke noget iQ afsl\u00f8rer. iQ fungerer rigtig godt sammen med IP Blacklist, da IP Blacklist fort\u00e6ller dig de bes\u00f8gendes land og IP adresse n\u00e5r de har fors\u00f8gt at logge ind. N\u00e5r du har et land som skal blokeres, s\u00e5 v\u00e6lger du det p\u00e5 en liste i iQ, og derefter kan det land ikke l\u00e6ngere n\u00e5 frem til din Login side. Pas p\u00e5 med at blokere for dit eget land, eller det land hvor din server befinder sig! Hvis dette sker, s\u00e5 bliver du lukket ude af din hjemmeside, og det kan kun rettes i din mysql database!<\/p>\n Fors\u00f8gene p\u00e5 at tilg\u00e5 min GD side er ikke blevet mindre siden jeg har installeret iQ, og der er stadigv\u00e6k rigtig mange ‘bes\u00f8g’ fra de blokerede lande. Det er dog betryggende at have den vished, at de nu ikke f\u00e5r lov til at komme l\u00e6ngere end til hovedd\u00f8ren \ud83d\ude42<\/p>\n Links.<\/p>\nIgnorance is bliss, er et ordsprog jeg er st\u00f8dt p\u00e5, i diverse amerikanske og engelske film og serier, – og der er noget om det!<\/h3>\n
\nDer er rigtig mange plugins der tilbyder backup af database og filer, s\u00e5 det er bare at g\u00e5 p\u00e5 jagt efter et der passer til dine behov.<\/p>\n\n
# BEGIN WordPress\r\n<IfModule mod_rewrite.c>\r\nRewriteEngine On\r\nRewriteBase \/\r\nRewriteRule ^index\\.php$ - [L]\r\nRewriteCond %{REQUEST_FILENAME} !-f\r\nRewriteCond %{REQUEST_FILENAME} !-d\r\nRewriteRule . \/index.php [L]\r\n<\/IfModule>\r\n# END WordPress<\/span><\/pre>\n<\/blockquote>\n
\n
# Protect wordpress\r\n<\/span><files wp-config.php>\r\norder allow,deny\r\ndeny from all\r\n<\/files>\r\n<\/span><Files xmlrpc.php>\r\n Order allow,deny\r\n Deny from all\r\n<\/Files>\r\n<\/span># End of the protection<\/span><\/pre>\n<\/blockquote>\n
\n
# BEGIN WordPress\r\n<IfModule mod_rewrite.c>\r\nRewriteEngine On\r\nRewriteBase \/\r\nRewriteRule ^index\\.php$ - [L]\r\nRewriteCond %{REQUEST_FILENAME} !-f\r\nRewriteCond %{REQUEST_FILENAME} !-d\r\nRewriteRule . \/index.php [L]\r\n<\/IfModule>\r\n# END WordPress\r\n# Protect wordpress\r\n<\/span><files wp-config.php>\r\norder allow,deny\r\ndeny from all\r\n<\/files>\r\n<\/span><Files xmlrpc.php>\r\n Order allow,deny\r\n Deny from all\r\n<\/Files>\r\n<\/span># End of the protection<\/span><\/pre>\n<\/blockquote>\n