Wordfence Firewall and Security Scanner

Wordfence er det første plugin jeg installerer på nye WordPress websites. Det indeholder både en Web Application Firewall der i realtid blokkerer for ondsindet trafik, en Malware Scanner og Two-Factor Authentication.

Wordfence har rigtig gode standard-instillinger, så er du nybegynder når det kommer til sikring af dit WordPress website, installerer og aktiverer du blot Wordfence, og med det samme er dit site bedre beskyttet mod hackere. Men har du mod på mere, kan du med fordel tweake nogle af indstillingerne for endnu bedre beskyttelse. Her kommer 5 solide anbefalinger til tuning af Wordfence.

Optimize The Firewall

Under Wordfence ‣ Firewall ‣ Protection Level vælger du Optimize The Firewall. Herved analyseres PHP kald for ondsindet kode inden den afvikles. Du bliver bedt om at downloade .htaccess filen inden aktivering. I det usandsynlige tilfælde at dit site fejler efter aktivering, kan du re-etablere .htaccess filen manuelt. I de mange år jeg har benytte Wordfence, har ikke oplevet dette ske én eneste gang, men så ved du det.

Enhanced Protection aktiveret under Wordfence Basic Firewall Options
Enhanced Protection aktiveret under Wordfence Basic Firewall Options

Brute Force Protection

Tjek om din email­adresse optræder i en kendt data-lækage

haveibeenpwned.com

Dit website udsættes for brute force angreb hver eneste dag. Bots på nettet forsøger at gætte dit brugernavn og adgangskode, som regel ved at anvende adgangskoder fra udbredte data-lækager. Hvis en bot forsøger sig med et nyt login en gang i sekunded, bliver det til 86.400 loginforsøg i døgnet. En dag lykkedes det måske.

Du kan beskytte dit site mod den slags angreb, ved at aktivere Brute Force Protection. Efter et bestemt antal mislykkede forsøg, udelukkes hackeren for at prøve igen. Jeg tillader 5 forsøg inden for en 4-timers periode. Det giver maksimalt 30 forsøg i døgnet, en klar opstramning.

Brute Force Protection aktiveret og almindelige ugyldige brugernavne udelukket
Brute Force Protection aktiveret og almindelige ugyldige brugernavne udelukket

Immediately lock out invalid usernames

Når dit site har været i luften et stykke tid, kan du i dashboarded se hvilke brugernavne der uden held er forsøgt at logge inde med. Det er ofte generiske brugernavne som admin, user, test og den slags. Du bør ikke ha’ brugere med disse navne, og du kan med fordel blokere forsøg på login med disse navne efter første forsøg.

Rate Limiting

Med Rate Limiting kan du begrænse hvor mange sider mennesker og crawlers (fx google) kan besøge på dit website pr minuttet. Det kan være interessant at ud fra et sikkerhedsmæssigt synspunkt, idet en unaturlig mængde 404 page not found forespørgelser, kan være bots forsøg på at scanne dit website for sårbarheder. Du kan gøre livet surt for disse bots, ved at lukke døren for dem i en periode.

Wordfence Rate Limiting tunet til anbefalede niveauer
Wordfence Rate Limiting tunet til anbefalede niveauer

Email Alert Preferences

Wordfence sender dig emails omkring alle potentielt mistænkelige hændelser, inklusive når en administrator logger på, eller når nogen benytter glemt password funktionen. Det kan hurtigt blive til mange emails i din indbakke, som du med tiden blot sletter, uden at kigge nærmere på dem.

For at undgå at du drukner i uvæsentlige notifikationer, og dermed overser når der faktisk er fare på færde, anbefaler jeg at du under Email Alert Preferences indstiller Wordfence til kun at sende dig advarsler ved medium eller high severity, eller hvis der er usædvanligt stor stigning i antallet af angreb på dit site

Antallet af emails kraftigt reduceret under Email Alert Preferences
Antallet af emails kraftigt reduceret under Email Alert Preferences

Wordfence afværger angreb hver eneste dag, og gør det godt uden din indblanding. Begræns notifikationer til de tilfælde, hvor du faktisk bør foretaget dig noget.

Two-Factor Authenticaton

To-faktor godkendelse (2FA) kender du fra fx borger.dk, hvor du ud over at bruge noget du kender, nemlig brugernavn og adgangskode, også benytter en ekstra kode eller godgendelse fra noget du har, fx en nøgle fra et papkort eller et swipe på din telefon.

Sikkerheden forbedres drastisk med 2FA. Er det kommet dertil, hvor nogen har gættet din adgangskode, er 2FA præcis det ekstra lag beskyttelse du har brug for. Du bør have 2FA på alle de online tjenester hvor en hacker kan udrette skade, hvilket i højeste grad også inkludere dit website.

2FA er en indbygget funktion i Wordfence, også i den gratis udgave. Du skal bruge en nøgle-app på din telefon. Det kan være Google Authenticator, Microsoft Authenticator eller min foretrukne: Authy Se den fulde liste på Wordfence Two-Factor Authentication “Endnu en app?!” – kan jeg høre dig sige. Jo, men du kan bruge den samme app til alle dine 2FA behov, inklusive din mail, social media, paypal osv. Det er bestemt besværet værd.

Under Login Security ‣ Two-Factor Authentication, scanner du QR-koden med din nøgle-app, og afslutter ved at indtaste den 6-cifrede kode der vises i appen.

Aktivering af Two-Factor Authentication i Wordfence
Aktivering af Two-Factor Authentication i Wordfence

Recovery Codes

Du har mulighed for at download og udskrive fem Recovery Codes Dem kan du bruge hvis du mister din telefon. Den slags bør selvfølgelig ikke ligge på din computer eller i skyen, men det havde du nok regnet ud 😉

Two-Factor Authentication Options

Under Settings kan du indstille Wordfence til at huske din enhed i 30 dage. Så slipper du for at finde telefonen frem, hver gang du logger på. Er du heldig at have en fast IP-adresse, kan du endda tillade, at adgang fra denne må omgå 2FA. Det ekstra lag sikkerhed behøver altså ikke at betyde at din hverdag besværliggøres synderligt.

Opsummering

Den blotte installation af Wordfence på dit WordPress website forøger sikkerheden markant. Men hvis du følger de oventstående fem råd, får den altså lige en ekstra tand. Og har du kun tid til éen ting – så aktivér to-faktor godkendelse. 2FA er uden sammeligning det mest effektive tiltag til at forhinde uautoriseret adgang til dit WordPress website.

Hvis du kunne bruge oventstående tips, eller der er noget du ønsker uddybet, så efterlad rigtig gerne en kommentar herunder. Det er virkeligt værdsat.

3 kommentarer

    • Hej Steiner

      Godt spørgsmål. Tak for det 🙂 Om du skal købe Pro-udgaven afhænger lidt af hvordan du behandler dit website.

      Du skal sikre dig at der bliver taget backup af det. Det kan du selv sørge for, eller du kan undersøge om dit webhotel gør det – og at der en procedure for restore hvis uheldet er ude.

      Bruger du 3. parts plugins, skal du sørge for at de bliver opdateret. Bliver et plugin forladt og ikke længere opdateret, risikerer du at en opdaget sårbarhed ikke bliver rettet, og dit site kan bliver kompromitteret.

      Hvis du kun administrerer et enkelt website, så anbefaler jeg at du aktiverer de automatiske opdateringer af plugins og temaer… Der er lidt delte meninger herom. Min erfaring er at det fungerer godt.

      Så kan du fint nøjes med den gratis udgave af WordFence – den giver sikkerheden et kæmpe løft uden beregning.

      Bjarne

Skriv en kommentar