Sikkerhed på Internettet er et af de helt aktuelle emner. Vi har mere og mere af vores liv på Internettet og vores virksomheder er ofte afhængige af, at være online.
Derfor er det virkelig væsentligt, at du holder din WordPress installation sikker, det gør du blandt andet ved, at installere et 2-faktor login til WordPress.
Hvorfor?
WordPress anvendes på 58.7% af de hjemmesider hvis Content Management System (CMS) man kender. Det svarer til 25.1% af hjemmesiderne på Internettet.
Kilde: http://w3techs.com/technologies/overview/content_management/all
Og med ca. 900 millioner aktive hjemmesider, snakker vi altså om ca. 225,9 millioner WordPress hjemmesider.
Hold. Da. Fest.
Det er en STOR andel. Så meget desto mere årsag til, at holde sin WordPress hjemmeside sikker og opdateret.
WordPress er ikke mere usikkert end andre platforme. Faktisk er det helt ufatteligt så hurtigt sikkerhedsopdateringer bliver udgivet. Ofte taler vi om få timer efter et problem er fundet, til der er en sikkerhedsopdatering.
Men, hvis du var hacker og skulle have “værdi” ud af din tid, ville det så ikke give mening at gå efter noget som rigtig mange anvender? For alt andet lige kunne du ramme en større “målgruppe” på denne måde.
Usikre adgangskoder
Jeg er bliver ofte spurgt om hvad man kan gøre for, at gøre sin WordPress installation sikker. Et af mine første råd er altid, at starte med de lavt hængende frugter. Altså dét som du kan gøre nu og her, der med en minimal indsats giver stor effekt.
Som standard kræves der 2 ting for at få adgang til WordPress administrationen: Et korrekt brugernavn/email og adgangskoden. Og netop adgangskoden er noget som du er blevet tudet ørene fulde af. Den skal være sikker. Meget sikker.
Langt de fleste på Internettet i dag, har ikke en tilstrækkelig sikker adgangskode. Statistikker fra 2014 fortæller en skræmmende historie, nemlig at de 5 mest anvendte kodeord på Internettet stadig er:
12456, password, 12345, 12345678, qwerty
Hvad er en sikker adgangskode
Det første målepunkt, som er meget konkret: Hvis du kan huske din adgangskode i hovedet, så er den ikke sikker nok.
Ok, ok, nu ved jeg godt at du selvfølgelig har en Rainmain lignende hukommelse og kan huske dit tilfældigt genererede kodeord, som indholder store og små bogstaver, specialtegn og tal, samt er non-pattern og minimum 20 karakterer i længde.
Men, her snakker vi om alle de andre. Ikke dig, selvfølgelig 😉
Så hvorfor er det lige at et kodeord skal være så komplicerede? Jo, det handler om et matematisk begreb: Entropi.
.. Entro-hva-for-en-fisk? ..
Entropi
Entropi fortæller hvad det maksimale antal forsøg potentielt er for, at gætte en adgangskode. Entropi er normalt beskrevet som et mål for hvor stor “uorden” der er i et system.
Det maksimale antal gæt det vil tage, hænger direkte sammen med, hvor lang tid det vil tage, at gætte en adgangskode. Men, jeg skriver potentielt fordi, hvad der sker i praksis og teori ikke nødvendigvis er det samme.
Adgangskoder der kan huskes i hovedet, er ofte sårbare over for det som kaldes Dictionary Attacks også selvom de er meget lange og har en fornuftig entropi.
Det skyldes, at vi mennesker ikke er helt så unikke som vi tror, at vi er. Det er vores måder at tænke og lave mønstre på heller ikke.
Hackere har adgang til store databaser af tidligere hackede adgangskoder, det betyder at med statistik, kan der gættes på de mest sårbare kombinationer af mønstre i adgangskoder, som med stor sandsynlighed anvendes.
Og det nedsætter tiden drastisk for hvor lang tid det tager, at gætte en adgangskode.
Reality-check
Jeg er massiv fortaler for, at løsninger skal være praktisk anvendelige – og jeg ved, at sandsynligheden for at du begynder at anvende en service som f.eks. LastPass (htts://lastpass.com) og tænker
“Yes, Yan! Jeg kan nærmest ikke ændre mit kodeord hurtigt nok til noget som ligner XQJ9i8m@!9ceiJYPEx779Z9DS2*0wS”
… Er temmelig lille.
Jeg ved, at i din verden hvor du har 117 andre ting som tager prioritet, er det ikke nødvendigvis dén her ting som ryger øverst på listen. Selvom det ville være en fordel for dig på længere sigt.
Så nu nævner jeg bare den “optimale” model før vi går videre til den “næstbedste” model:
- Skriv dig op til en service som LastPass (https://lastpass.com)
- Din masteradgangskode skal laves efter følgende regler
- En minimumslængde på 20 karakterer
- Undlad gentagelse, ord som kan slås op i ordbøger, bogstav- og tal sekvenser (som abcdef eller 12345), familiemedlemmers navne, kæledyrs navne, tidligere partneres navne, personlig information (f.eks. CPR nummer, dit eget navn, fødselsdatoer, etc.)
- Undlad at anvende noget som du offentligt tilkendegiver at du enten elsker eller hader
- Anvend store og små bogstaver, tal og specialtegn
- Anvend kodeordet udelukkende til LastPass (ingen andre steder)
- Slå 2-faktor login til for LastPass
- Skift din WordPress adminisitrator adgangskode med deres generator til minimum 30 tegn
- Anvend 2-faktor login til WordPress
Det næstbedste er nogle gange det bedste
Hvis ovenstående virkede overkommeligt så er der en god sandsynlighed for, at din WordPress løsning aldrig bliver hacket via din administrator konto. Der er andre veje ind, men de kan afhjælpes ved at anvende et plugin som f.eks. Sucuri.
(Og hvis du vil vide hvordan du sætter Sucuri op kan du se denne video.)
Men, hvis ovenstående uoverskueligt så er der en god sandsynlighed for, at du aldrig gør det. Derfor er det næstbedste nogle gange det bedste – for så bliver det gjort. Og i dette tilfælde er det næstbedste at slå 2-faktor login til i WordPress.
2-Faktor Login til WordPress
2-Faktor login – eller multifaktor login – bygger på ideen om, at du kan øge din sikkerhed igennem at verifikation skal udføres ved brug af noget du ved (dit brugernavn og adgangskode) samt noget du har.
2-Faktor login fungerer fordi du er i besiddelse af den ting du har som hackeren ikke kan være i besiddelse af.
Det betyder, at selvom hackeren kan gætte sig frem til både brugernavn og adgangskode – eller for den sags skyld kender begge dele. Så har du stadig den sidste del til at logge ind med.
Tænk på det ligesom NemID hvor du har dit nøglekort (Bortset fra, at med WordPress er det lidt mere elegant og fungerer). Det ville være muligt, at gætte dit brugernavn og adgangskode, men hackeren skal stadig have dit nøglekort.
Hvilket nøglekort skal du vælge til WordPress
Der er efter min mening, 3 gode muligheder til 2-faktor login til WordPress. De varierer lidt efter hvad der falder dig i din smag.
Google Authenticator
Download: https://wordpress.org/plugins/google-authenticator/
Konto: Kræver at du allerede har, eller installerer Google Authenticator fra Google Play Store eller Apple App Store
Pris: Gratis
Sværhedsgrad (1-5): 4 for ikke-teknikkere
Hvis du er til Googles produkter og i forvejen anvender Google Authenticator vil det være nærliggende, at anvende Google Authenticator pluginnet til WordPress. Det er rimelig nemt at sætte op, forudsat at du ved hvad du har begivet dig ud i.
Har du aldrig før hørt om Google Authenticator så vil jeg anbefale, at du styrer uden om det, da det kræver lidt teknisk snilde at anvende.
Google Authenticator anvender din smartphone, hvor der dannes et nyt tilfældigt 6-cifret tal ca. hver 30. sekund. Dette tal skal indtastes sammen med dit brugernavn og adgangskode.
Det gør det exceptionelt svært for en hacker, at skulle gætte 3 dele inden for 30 sekunder, særligt når den ene del konstant skiftes ud.
Rublon
Download: https://wordpress.org/plugins/rublon/
Pris: Gratis for én administrator konto
Sværhedsgrad (1-5): 1 for ikke-teknikkere
Rublon er nemt og det er formentlig det nemmeste at installere og opsætte af de 3 plugins jeg nævner. Alt du gør er, at installere pluginnet og så guider det dig gennem opsætningen.
Det er e-mail baseret 2-faktor login til WordPress. Det betyder, at når du vil logge ind på din WordPress, sender systemet dig en e-mail med et verifikations link i. Når du klikker på linket godkendes dit login – og voilá så er du inde.
Det betyder, at en hacker ville skulle have tiltusket sig adgang til dit brugernavn, din adgangskode og din e-mail adresse for, at kunne logge ind. Det er ret usandsynligt, at det sker.
Clef.io
Clef er desværre udgået fra udvikling i juni 2017 og kan derfor ikke anvendes længere.
Download: https://wordpress.org/plugins/wpclef/
Konto: Kræver en konto hos https://getclef.com
Pris: Gratis
Sværhedsgrad (1-5): 3 for ikke-teknikkere
Clef er intet mindre end genialt. Det er sikkert. Meget sikkert. Clef fungerer ved, at gøre dig adgangskode-fri på din WordPress installation. Ja, adgangkode-fri!
Din smartphone bliver forvandlet til den enhed du logger ind med. På smartphonen er alt du skal gøre, at indtaste din pinkode og holde din Clef-app op foran skærmen og så logger den dig ind.
Det bedste af det hele er, at med appen så kan man slet ikke logge ind med adgangskode og brugernavn (med mindre du tillader det). Det betyder at din adgangskode ikke kan gættes, for den bliver slet ikke anvendt!
Var dette indlæg brugbart?
Synes du bare det rockede, mangler du noget mere information – Måske en video med et af de nævnte plugins? Så lad mig det vide i kommentarerne!
2 kommentarer til “Sådan får du 2-faktor login til WordPress”
Clef kan ikke længere downloades. Permanent
Hej Sys
Tak for din kommentar 😊 Du har helt ret, Clef er udgået. Jeg har rettet indlægget så det fremgår 😊