Sikkerhet WP

Sunde

New Member
Hei,

Finner det noen god måte å stoppe alle forsøk på innlogging fra utlandet?
Har de siste ukene merket mange forsøk på å logge inn på spesielt en side vi driver, fra Kina, Afrika, Litauen m.fl.

Leser at plugin som Hide My WP osv kan være aktuelle. Mottar gjerne tips og forslag.
 

xdex

Medlem
Jeg har alltid prøvd å stoppe angrep på servernivå, fordi jeg mener at plugins bare skaper mer rot og enkelte ganger tregere nettside.

Dersom du likevel ønsker å bruke plugins er det 2 ting som skiller seg ut.

1) Plugins som kun har et formål, er lett og og tar lite plass.
2) Plugins som prøver å løse flere problemer, tar mer plass og mer server-ressurser blir brukt.

- https://wordpress.org/plugins/wps-hide-login/(endrer enkelt og greit url til innlogging, slik at ikke folk finner denne)
- https://wordpress.org/plugins/better-wp-security/ (løser flere problemer, og har langt flere funksjoner)
 

ronorio

Active Member
Det er rimelig enkelt å løse på en fornuftig måte.

Det første er å benytte et sterkt passord og personlig brukernavn (dvs. ikke bruk 'admin') for administratorer.

Når det er gjort, setter du opp tofaktor autentisering eller også kalt 2FA. Tips her er å bruke Google eller se på wpologi.no for en veiledning.

Når dette er gjort, er du "sikret" for at ingen uvedkommende kommer inn via login.

Når det gjelder blokkering av forsøk, forutsatt at dette er noe som spiser ressurser utenom det vanlige etc. har du flere metoder avhengig av hvilket webhotell og webserver du er på.

Det ENKLESTE, forutsatt at du er på Apache/Litespeed, er gratisutgaven av Loginizer. Den blokkerer IP adresser automatisk via .htaccess og er en veldig ressurseffektiv måte å gjøre det på.

Anbefaler egentlig ikke å gi nytt navn på login osv. Det er siste utvei i min lærebok, da er man ofte ved et veivalg hvor man kanskje trenger bedre hosting som tar seg av angrep på servernivå i stedet. Men det er bare min mening, selvsagt
 

xdex

Medlem
Det er rimelig enkelt å løse på en fornuftig måte.

Det første er å benytte et sterkt passord og personlig brukernavn (dvs. ikke bruk 'admin') for administratorer.

Når det er gjort, setter du opp tofaktor autentisering eller også kalt 2FA. Tips her er å bruke Google eller se på wpologi.no for en veiledning.

Når dette er gjort, er du "sikret" for at ingen uvedkommende kommer inn via login.

Når det gjelder blokkering av forsøk, forutsatt at dette er noe som spiser ressurser utenom det vanlige etc. har du flere metoder avhengig av hvilket webhotell og webserver du er på.

Det ENKLESTE, forutsatt at du er på Apache/Litespeed, er gratisutgaven av Loginizer. Den blokkerer IP adresser automatisk via .htaccess og er en veldig ressurseffektiv måte å gjøre det på.

Anbefaler egentlig ikke å gi nytt navn på login osv. Det er siste utvei i min lærebok, da er man ofte ved et veivalg hvor man kanskje trenger bedre hosting som tar seg av angrep på servernivå i stedet. Men det er bare min mening, selvsagt

Kan du utdype hvorfor dette er siste utvei? Det å gjengi en 404 side vil hindre at potensielle bots loggfører siden, som igjen prøver på nye angrep senere, med ulike ip adresser. Det er svært få profesjonelle aktører som forholder seg til få ip adresser, ofte snakker vi om tusenvis. Blokkering av ip adresser løser ingenting, det gir en falsk trygghet på lånt tid. Dersom man skal gjøre noe fornuftig med ip adresser, vil det være å tillate en spesifikk adresse på f.eks. kontornivå med vpn tilkobling inn til kontoret for videre access om du er utenfor nettverket.

Endrer du navnet på innloggingsiden, vil det være en større prosess og langt vanskeligere å finne frem til riktig side. Dette er uansett en metodikk som i praksis ofte ikke er årsaken til et angrep. Når skaden har skjedd, er det ofte dårlige plugins, eller sider med lite vedlikehold som blir missbrukt.
 

ronorio

Active Member
Man kan vel ikke realistisk sett forhindre at boter, gode eller ondsinnede, besøker nettsiden, login eller andre vilkårlige adresser på domenet.

Forutsatt at du har (som nevnt) sikkerheten i orden, er det ikke skadelig at noen åpner login siden.

Jeg mener det er siste utvei fordi WordPress er allerede sikkert, så langt man følger noen veldig enkle forhåndsregler.

Neste trinn er i så fall Cloudflare, Sucuri, WAF, Modsec osv. Ikke en plugin for å endre loginsiden.
 

Pong

Jeg selger sʇɥƃıluʍop :)
Hvis det er kun du som skal logge på, kan du legge på din IP-adresse i en .htaccess fil.
Men jeg er selv ikke så redd brute force angrep - som regel er det svakheter i plugins som blir oppdaget og som blir utnyttet innen man rekker oppdatere (men ærlig talt: vi sluker ganske mye som god fisk...).
 

thomasstr

Medlem
Vi benytter oss selv av Mod Security regelsett fra Comodo som blokkerer mye av desse vanlige forsøkene, som brute force, utnyttbar kode, injeksjoner etc. Dette gjøres da på server-nivå.
 
Topp