WP Säkerhet. 5 steg. Plugin. .htaccess & 2FA.

2013. Nästan tio år efter WordPress 0.7 släpptes. April månad. Man publicerar nyheten om 2FA och hur en app i ens telefon ska generera ett nytt nummer var 30:e sekund och har man inte gjort valet att bli ”smart” så kan man även välja att få denna kod skickad till sig som SMS.

Många förändringar mellan 2003 och 2013. 2FA står för 2 Factor Authentication vilket är detsamma som två-stegs-verifiering. Här är den mest använda plugin för 2FA ändamål.

Det är delvis sant, det som ”alla” säger. Det går inte att skydda sig till 100%. Men det innebär inte att du ska ta för givet att systemet (WordPress) gör jobbet åt dig. För faktum är, WordPress gör inte mycket egentligen.

Visst, WordPress täpper igen säkerhetshål allteftersom de uppstår och det sker relativt fort; men frågan kvarstår – vad behöver du göra på egen hand? Vad är det DU måste göra som WordPress INTE gör?

Jag har valt att dela upp denna artikelserie i fem delar. Det är fem artiklar jag skrivit tidigare och denna agerar som huvudartikel.

1) Barntema och functions
2) Användaruppgifter & wp-config
3) SPAM och IP
4) .htaccess
5) Skydd mot injektioner samt plugg

BONUS: alla mina plugins.


 

bakgrund och historia

Det har hänt otroligt mycket under kort tid. En hackare sålde 117 miljoner Linkedin lösenord enligt uppgifter. JetPack, ett av de mest använda plugins som finns till WordPress hade ett allvarligt säkerhetshål som drabbade över 1.5 miljoner användare. Det gick under en viss tid att bädda in JavaScript kod i dess kommentarsfunktion.

För inte så länge sedan hittade man ett säkerhetshål som innebar att databasen låg i riskzonen.
Poängen är; säkerhet är viktigt och det är något du bör förstå dig på.


 

barntema och functions

Läs min artikel om barntema innan du går vidare. Artikeln om funktioner hittar du här.

Du frågar dig nog varför så många tjatar om barntema men framförallt, om du inte är van vid kod, hur man gör? Att skapa ett barntema är busenkelt och det är alltid steg nummer ett. Nedan Barntemalistar jag fördelar med barntema.

  1. Alla förändringar kvarstår trots uppdatering
  2. Källkoden visar inte namnet på mammatemat
  3. Eget namn och egen bild på temat

Svårare än så är det inte.

 

VIKTIGT: ett barntema är A och O som ett första steg innan man gör någonting annat.


 

användaruppgifter

Du har ett visst ansvar gentemot dig själv, skulle jag vilja påstå. I min artikeln om just detta så listar jag det du behöver veta, men då det bara är en kort text så tänkte jag lägga in den informationen här också.

  • Använd INTE ”admin” som användarnamn
    • Ditt användarnamn bör vara följande;
      • unikt och opersonligt
      • något som bara du känner till
      • de som känner dig kan inte gissa sig till det
      • hyfsat långt (antal tecken)
      • får gärna innehålla specialtecken såsom @ eller liknande
  • Medarbetarkonto & varför
    • Skapa ett medarbetarkonto som är kopplat till en no-reply@ e-postadress.
    • ”Medarbetare” kan skriva inlägg & sidor men kan inte publicera eller ta bort dem.
    • När du skapar inlägg och sidor som admin, byt till medarbetarkontot och publicera.
    • Detta innebär att namnet som syns utåt blir medarbetarens och inte admin.
    • Blir medarbetarkontot hackat så innebär det följande:
      • inga inlägg eller sidor kan tas bort.
      • ingenting på din webbplats kan ändras.
  • Lösenord
    • Sätt starka lösenord (20+ tecken långt) på alla konton.
    • Ett starkt lösenord innehåller:
      • små och stora bokstäver blandat med
      • specialtecken: @ £ $ ] ( / = ) ! ” ~ ø och
      • siffror
  • Bytt lösenord och SALT
    • Byt lösenord för både admin-kontot och för medarbetaren
    • Ändra db-lösenordet (databas)
      • Glöm ej byta i wp-config också
    • Byt ut SALT-nycklarna minst en gång i veckan
      • Din webbläsare sparar din information i s.k cookies
      • Byter du SALT-nycklar blir du ombedd att logga in igen

 

wp-config

Du kan göra inställningar i wp-config som hjälper till med säkerheten. Se nedan.

 


 

spam och IP

Det finns mycket man kan göra såsom att inaktivera HTML i kommentarsfältet, man kan inaktivera användandet av så kallade ”emojis” och man kan göra sitt bästa för att få fram IP-numret då användaren använder sig utav en/ flera proxyservrar. Det lättaste är att lägga in detta som en funktion i barntemats functions.php, men du kan också, om du vill – skapa en plugin.

Artikeln jag länkar till för detta innehåller koden som ska placeras i functions.php men förklarar inte hur du skapar en plugin av samma kod. Det gör jag här. Spara koden nedan i ett tomt dokument och döp det till vad du vill med .php i slutet. Ladda sedan upp till wp-config/plugins eller i den mapp där du har dina plugins.

Ingenting är 100% säkert och ingenting är 100% ”idiotsäkert”, men vi kan i alla fall göra vårt bästa. Vad denna kod gör är att visa det IP-nummer som besökaren bakom en proxy egentligen använder sig utav – alltså hens riktiga IP.

Under ”Kommentarer” och ”Alla kommentarer” så kan du, se namn och e-postadress på varje person som kommenterat. Under det står IP-numret. Får du mycket skräp från vad som verkar vara samma IP så kan du, via .htaccess, blockera dessa IP:n.

Enkelt exempel 
Du får spam från följande; 185.36.102.114, 109.230.220.218 och 172.245.107.3 och vill nu blockera dessa.
Hur gör du?

I .htaccess som ligger i roten av din WordPress installation lägger du till den genom att använda Order Deny,Allow. Viktigt att tänka på är att inte ha mellanslag mellan Deny,Allow. Du kanske även undrar varför det bara är fem siffror i det sista exemplet? Jag har inte glömt resten utan ville helt enkelt undvika att blockera alla andra kombinationer som kan komma efter 36. Till exempel 185.35.102.113. Det är en enkel lösning.


 

.htaccess

Det du behöver för att skydda dig samt för att omdirigera de hot som kommer är .htaccess. Jag går igenom det som ”behövs” i min artikel. Ett tips som jag här och nu kan dela med mig av är hur du ”byter” URL för login-sidan.

Byt ut login mot vad du vill att URL:n ska bli och givetvis, byt ut example.com mot din domän och prefix.


 

plugins

För att skydda dig mot injektioner så bör du använda de steg som .htaccess guiden går igenom samt plugin Bock Bad Requests. Här är en lista över mina plugins med nerladdning.




Det var allt :) Vill du ställa en fråga eller behöver du hjälp?
Vänligen lämna en kommentar eller kontakta mig på Facebook Messenger.



Om Bjornen

Jag är en hobbyförfattare & WP-nörd som försöker tömma hjärncellerna på kreativitet. När jag inte skriver så utökar jag mina WP-kunskaper genom att blogga och hänga på diverse sociala medier. Jag gör mitt bästa och min passion för WordPress enbart växer.

Kommentera


OBS: Alla kommentarer granskas innan dom blir publicerade. Ha en go dag!