Wordfence har rigtig gode standard-instillinger, så er du nybegynder når det kommer til sikring af dit WordPress website, installerer og aktiverer du blot Wordfence, og med det samme er dit site bedre beskyttet mod hackere. Men har du mod på mere, kan du med fordel tweake nogle af indstillingerne for endnu bedre beskyttelse. Her kommer 5 solide anbefalinger til tuning af Wordfence.
Optimize The Firewall
Under Wordfence ‣ Firewall ‣ Protection Level vælger du Optimize The Firewall. Herved analyseres PHP kald for ondsindet kode inden den afvikles. Du bliver bedt om at downloade .htaccess filen inden aktivering. I det usandsynlige tilfælde at dit site fejler efter aktivering, kan du re-etablere .htaccess filen manuelt. I de mange år jeg har benytte Wordfence, har ikke oplevet dette ske én eneste gang, men så ved du det.
Brute Force Protection
Tjek om din emailadresse optræder i en kendt data-lækage
haveibeenpwned.com
Dit website udsættes for brute force angreb hver eneste dag. Bots på nettet forsøger at gætte dit brugernavn og adgangskode, som regel ved at anvende adgangskoder fra udbredte data-lækager. Hvis en bot forsøger sig med et nyt login en gang i sekunded, bliver det til 86.400 loginforsøg i døgnet. En dag lykkedes det måske.
Du kan beskytte dit site mod den slags angreb, ved at aktivere Brute Force Protection. Efter et bestemt antal mislykkede forsøg, udelukkes hackeren for at prøve igen. Jeg tillader 5 forsøg inden for en 4-timers periode. Det giver maksimalt 30 forsøg i døgnet, en klar opstramning.
Immediately lock out invalid usernames
Når dit site har været i luften et stykke tid, kan du i dashboarded se hvilke brugernavne der uden held er forsøgt at logge inde med. Det er ofte generiske brugernavne som admin, user, test og den slags. Du bør ikke ha’ brugere med disse navne, og du kan med fordel blokere forsøg på login med disse navne efter første forsøg.
Rate Limiting
Med Rate Limiting kan du begrænse hvor mange sider mennesker og crawlers (fx google) kan besøge på dit website pr minuttet. Det kan være interessant at ud fra et sikkerhedsmæssigt synspunkt, idet en unaturlig mængde 404 page not found forespørgelser, kan være bots forsøg på at scanne dit website for sårbarheder. Du kan gøre livet surt for disse bots, ved at lukke døren for dem i en periode.
Email Alert Preferences
Wordfence sender dig emails omkring alle potentielt mistænkelige hændelser, inklusive når en administrator logger på, eller når nogen benytter glemt password funktionen. Det kan hurtigt blive til mange emails i din indbakke, som du med tiden blot sletter, uden at kigge nærmere på dem.
For at undgå at du drukner i uvæsentlige notifikationer, og dermed overser når der faktisk er fare på færde, anbefaler jeg at du under Email Alert Preferences indstiller Wordfence til kun at sende dig advarsler ved medium eller high severity, eller hvis der er usædvanligt stor stigning i antallet af angreb på dit site
Wordfence afværger angreb hver eneste dag, og gør det godt uden din indblanding. Begræns notifikationer til de tilfælde, hvor du faktisk bør foretaget dig noget.
Two-Factor Authenticaton
To-faktor godkendelse (2FA) kender du fra fx borger.dk, hvor du ud over at bruge noget du kender, nemlig brugernavn og adgangskode, også benytter en ekstra kode eller godgendelse fra noget du har, fx en nøgle fra et papkort eller et swipe på din telefon.
Sikkerheden forbedres drastisk med 2FA. Er det kommet dertil, hvor nogen har gættet din adgangskode, er 2FA præcis det ekstra lag beskyttelse du har brug for. Du bør have 2FA på alle de online tjenester hvor en hacker kan udrette skade, hvilket i højeste grad også inkludere dit website.
2FA er en indbygget funktion i Wordfence, også i den gratis udgave. Du skal bruge en nøgle-app på din telefon. Det kan være Google Authenticator, Microsoft Authenticator eller min foretrukne: Authy Se den fulde liste på Wordfence Two-Factor Authentication “Endnu en app?!” – kan jeg høre dig sige. Jo, men du kan bruge den samme app til alle dine 2FA behov, inklusive din mail, social media, paypal osv. Det er bestemt besværet værd.
Under Login Security ‣ Two-Factor Authentication, scanner du QR-koden med din nøgle-app, og afslutter ved at indtaste den 6-cifrede kode der vises i appen.
Recovery Codes
Du har mulighed for at download og udskrive fem Recovery Codes Dem kan du bruge hvis du mister din telefon. Den slags bør selvfølgelig ikke ligge på din computer eller i skyen, men det havde du nok regnet ud ;)
Two-Factor Authentication Options
Under Settings kan du indstille Wordfence til at huske din enhed i 30 dage. Så slipper du for at finde telefonen frem, hver gang du logger på. Er du heldig at have en fast IP-adresse, kan du endda tillade, at adgang fra denne må omgå 2FA. Det ekstra lag sikkerhed behøver altså ikke at betyde at din hverdag besværliggøres synderligt.
Opsummering
Den blotte installation af Wordfence på dit WordPress website forøger sikkerheden markant. Men hvis du følger de oventstående fem råd, får den altså lige en ekstra tand. Og har du kun tid til éen ting – så aktivér to-faktor godkendelse. 2FA er uden sammeligning det mest effektive tiltag til at forhinde uautoriseret adgang til dit WordPress website.
Hvis du kunne bruge oventstående tips, eller der er noget du ønsker uddybet, så efterlad rigtig gerne en kommentar herunder. Det er virkeligt værdsat.
