Wordpressäkerhet

WordPressäkerhet är alltid viktigt att tänka på

Att hela tiden arbeta med säkerhet när det gäller datorer är viktigt. Främst gäller det kanske med alla Internettjänster man har. Internet är inte helt ofarligt, det skall man ha i tanken när man är ute på nätet. Detta inlägg handlar om en av alla tjänster som finns, nämligen om WordPressäkerhet. Detta är något jag har bloggat om innan men det tål att upprepas.

WordPressäkerhet

WordPress är idag det överlägset största publikationsverktygen när det gäller att skapa webbsidor. Miljontals människor använder det runt om i världen. Det är inte så konstigt, det är billigt, det är enkelt och det är kraftfullt. Men WordPress är tyvärr inte ofarligt att använda. Snarare är det så att WordPress är väldigt sårbart.

Men det finns saker man kan åtgärda för att öka säkerheten. Att försvåra för de som vill komma åt WordPressidor är viktigt.

Uppdatera ofta

Några enkla saker man kan göra för att öka sin WordPressäkerhet är dels att uppdatera ofta. Så fort det kommer en ny version av WordPress så uppdatera. Det är inte säkert att det finns nya funktioner man gillar. Det var länge sedan det kom något intressant tycker jag själv.  Men varje ny uppdatering innehåller inte bara nya funktioner utan även åtgärder inom säkerheten. Det kan till exempel vara punkter där man har upptäckt en sårbarhetsrisk som nu täpps igen. Så det är viktigt att alltid uppdatera sin installation av WordPress.

Det samma gäller självklart även om det kommer nya versioner av plugins och det tema man använder. Det är också viktigt att man avinstallerar plugins och teman som man inte använder. Det blir lätt att man tänker ”jaha, ny version av ett plugin som jag inte använder, det behöver jag inte uppdatera då”.

Använder man inte ett plugin eller tema så avinstallera den. Använder man dom så håll de uppdaterade.

Lösenord

Sen så är det viktigt att ha bra lösenord och även ett bra användarnamn. Använd så krångliga som möjligt. Definitivt så skall man inte använda så lätta lösenord så som 12345 eller abcdef och så vidare. Använd inte heller ditt, din partner, barn eller husdjurs namn.

I stället så skall man använda ett lösenord i stil med (detta är helt slumpat fram) Hqcps2?f2fvdpJH6Vb%. Ju mer obegripligt lösenord och ju längre (dock ej för långt) desto bättre.

Användarnamn

Ännu en sak när det gäller WordPressäkerhet är val av användarnamn. När man installerar WordPress så skapas en användare som är Admin. En av de allra första saker man bör göra efter en installation är att skapa en ny användare. Sedan så när man har gjort det så raderar man Admin på direkten.

Skall man vara riktigt noga så skapar man sedan ett administratörskonto. Detta använder man enbart när man skall göra ändringar i ens installation. För att skriva inlägg eller sidor så skapar man istället ett nytt konto. Detta konto ger man rollen Författare, då får man inte så mycket rättigheter på det konto man använder sig mest av.

Har man sedan ett tema som visar namnet på författaren så tycker jag att man tar bort detta. Är det inte nödvändigt att visa namnet på författaren så finns det ingen anledning till att göra det. Undantaget är väl om man är flera som skriver och om man då vill visa vem som har skrivit respektive inlägg. Men är man ensam om att skriva finns det ingen anledning till att skriva ut namnet.

Egna erfarenheter

Jag arbetade för ett par år sedan med Internet. Då hade jag en kund som hade en installation av WordPress till sin webbplats. Han hade vald användarnamnet Admin och lösenordet Password. Hans sida blev hackad vilket inte direkt är förvånande. Visst, dessa inloggningsuppgifter är lätta att komma ihåg. Men det är nästan som att åka på semester ett par veckor och lämna fönster och dörrar till ens bostad öppna under tiden. Som gjort för att få inbrott.

Ytterligare lösningar

Förutom det jag har nämnt ovan så har jag ytterligare några åtgärder i min WordPressäkerhet. Det är framförallt tre ytterligare punkter som jag har tänkt på. Alla tre gäller inloggningen till WordPress.

Adress till inloggningssidan

Som standard så är adressen till sidan man loggar in på www.domännamn.se/wp-admin. Detta är den adress som de som gör intrångsförsök via inloggningssidan först och främst försöker tas sig in genom. Jag har bytt ut denna adress till en helt ny. Dessutom så ser jag till att byta adress till inloggningssidan med jämna mellanrum.

Captcha

Som punkt två på mina övriga åtgärder så har jag att jag måste ange en så kallad Captcha när jag loggar in. Med andra ord till exempel några bokstäver eller siffror som visas på en bild. Detta för att försvåra för icke-människor att logga in. Oftast är det som så att det inte är en person som sitter och gör intrångsförsök utan ett datorprogram. Har man denna åtgärd så försvårar man en hel del för programmet.

Tvåstegsverifiering

Den sista åtgärden jag har för inloggningen är en så kallad tvåstegsverifiering. Det finns några lösningar på denna, jag använder en från Google. Den går ut på att när jag skall logga in så kör jag igång en app på telefonen som heter Authenticator. Denna ger mig en kod sex siffror som jag skall mata in vid inloggningen till WordPress. Koden gäller bara i 30 sekunder sen så får man en ny. Man kan också om man vill få koden via SMS.

Detta är en metod som jag för övrigt använder mig av på många inloggningar till tjänster på nätet. Känns lite extra tryggt att ha den.

Slutligen

Detta var lite om hur jag arbetar och hur jag tycker andra bör jobba när det gäller WordPressäkerhet. Det finns mycket mer att göra för att förbli säker. Men dessa punkter är en bra start. Skall jag lägga till en ytterligare punkt så är det att man skall logga ut. Det spelar ingen roll hur säker inloggning man har om man inte loggar ut efter det att man är klar. Speciellt gäller det om man sitter vid en dator där det finns andra människor runt omkring. Till exempel på en arbetsplats.

Kan till sist nämna det att jag kollade för en tag sedan vilka försök till inloggningar det hade gjorts på denna sidan. Det var innan jag bytte URL till inloggningssidan. De flesta intrångsförsöken var gjorde genom att testa användarnamnet Admin. Efter det kom användarnamnet Ringman, med andra ord mitt domännamn.

Kan avslöja att jag inte har något av dessa som användarnamn.

Photo credit: Nikolay Bachiyski via VisualHunt / CC BY

Pin-koden

Pin-koden är inte längre en aktuell lösning

Läser en artikelIDG.se om att pin-koden är lite smått förlegad. Artikeln handlar mest om mobiltelefoner men jag förmodar att pin-koden är en förlegad företeelse oavsett vad det än gäller.

PIN-koden

Jag har relativt nyligen börjat med lite säkerhet i min mobil. Ett exempel på det är just en pin-kod för att komma in i telefonen. Det finns dessutom en massa andra ställen i samhället idag där där en pin-kod är inblandad. Jag tänker närmast på bankomatkort (nu tar jag i och för sig sällan ut pengar från en bankomat), när man betalar i en affär med sitt Mastercard eller när man skall in i någon låst dörr och man måste slå en dörrkod för att komma in, bara för att nämna några exempel.

Så pin-koden finns där i livet trots att man som i mitt fall inte har den på telefonen. Det går inte att komma ifrån att man behöver en massa koder och att det allt som oftast dessutom är olika koder man använder. Till slut så måste man kanske ha koll på en stor mängd olika koder. Detta är inte bra och jag tycker personligen att det borde finnas andra alternativ än just pin-koden.

PIN-koden, vilka alternativ finns det?

Vilka alternativ finns det då till PIN-koden? När det gäller mobilen så är det väl närmast något inom biometrin som är aktuellt och då kanske främst fingertrycksavläsning. Men jag skulle också kunna tänka mig att man med hjälp av telefonens kamera scannar av sitt öga i stället för att använda sig av PIN-koden. Det skulle nog kunna fungera, i alla fall rent tekniskt.

Men när det gäller att ersätta en fyra siffrig kod för exempelvis bankomater eller betalningsenheter i affärer, eller för att öppna låste dörrar så vet jag inte exakt vad man skulle kunna använda. Finger- eller ögonavläsning fungerar knappst inte. En möjlighet är att man med hjälp av sin telefon kan identifiera sig exempelvis när man handlar på ICA eller skall in genom en dörr på sitt arbete. Först så loggar man in på telefonen med hjälp av någon form av biometri. Sedan identifierar man sig i affären eller öppnar en låst dörr. Det kanske inte fungerar helt säkert ännu. Men med lite forskning så kan man troligen en dag inom en snar framtid slippa PIN-koden för gott.

Bilden är tagen från IDG. 

Säkerhet för det mesta

Säkerhet finns för nästan allt i ens liv numera

För en tid sedan lade jag in en pinkod för att kunna låsa upp min telefon då den har varit i viloläge, allt för att öka min säkerhet gällande telefonen. Insåg när jag gjorde detta att man håller på att öka sin säkerhet för det mesta i ens vardag. Varför egentligen? Vad är det vi är rädda för?

Ökad säkerhet i ens vardag

Insåg att jag det var dags att ange en pinkod så att om telefonen skulle komma i andras händer så skulle de få lite problem med att kunna ringa med den. En sifferkod på fyra siffror kan rädda mycket egentligen.

För ärligt talat så är det inte bara det där med att kunna ringa som kan hända om telefonen hamnar i orätta händer. Med dagens smarta telefoner så har man i stort sätt hela ens liv i telefonen. Har finns tusentals foton. Jag kan betala på vissa ställen med en app (visserligen en fyrasiffrig kod även för det), Jag kan skicka pengar till andra med swish och kan sköta alla mina bankärenden via telefonen, båda kräver dock en sexsiffrig pinkod.

Sen så har jag alla sociala medier jag använder mig av i telefonen, alla kräver varsitt lösenord dock. Jag har tillgång till en massa mailkonton och så vidare. Dessutom så finns i stort sätt alla lösenord och pinkoder jag använder mig av lagrade i en app i telefonen. Visserligen med ett lösenord som säkerhet.

Men ni ser, mycket i ens liv finns i telefonen och allt (i stort sätt) lagras med hjälp av pinkoder och lösenord, ett unikt för varje tjänst. Det är inte lätt att komma ihåg allt och de blir fler och fler ju mer tiden går.

Inte bara telefoner

Nu är det inte bara telefonen och ens datorer som har en massa säkerhet för att kunna användas. Man måste slå en massa koder för mycket här i livet. Skall man handla så är det en pinkod som skall användas. Skall man ta ut pengar från en bankomat är det en annan. De som har bil får slå en kod för att kunna tanka och så vidare. Jag behöver en pinkod för att komma in på jobbet och en för att larma av.

Sedan några år tillbaka har vi dessutom pinkod för att komma in i huset där jag bor. En kod dagtid, en annan nattetid. Jag behöver en kod för att boka tvättstugan, allt för att öka ens säkerhet.

Man kan ju undra varför det är en sådan ökning av vår säkerhet. Varför vi har så många koder och lösenord till det mesta här i livet. Har vår värld blivit så osäker, har kriminaliteten ökat så mycket att vi måste skydda oss mer och mer. Eller är det så enkelt att vi blir allt mer paranoida för år som går. Litar vi allt mindre och mindre på andra, så lite att vi måste skydda oss bakom en massa säkerhet i form av lösenord, pinkoder och lås i allmänhet.

Foto via Visualhunt

Password

Password, nu är det hög tid att ändra alla

En av de stora snackisarna idag i media har varit SVT:s nya tjänst för att kontrollera om ens e-postadress är stulet i något sammanhang. På SvT:s sida kan man kontrollera sin eller sina adresser och få reda på om den är hackad. Är den det är det dags att byta password.

Byta password

Nu skall man direkt påpeka det att det inte är ens mailadress i sig som nödvändigt behöver vara hackad. Det kan vara så men det är inte så troligt. I stället så är det tjänster där man använder sig av sin mailadress som användarnamn som det gäller.

Det går på SVT:s sida få reda på vilka tjänster det gäller för respektive mailadress. Får man reda på att ens adress är med i listona så bör man gå till respektive tjänst och omedelbart byta ut sitt password.

Inte nog med det, använder man samma password på flera tjänster (gud förbjude) så bör man byta på alla. Ett tips, se till att ha olika lösenord för olika tjänser. Ett unikt lösenord för alla tjänster man behöver logga in på.

Skall man tro på detta

Skall man tro på SVT:s tjänst dold? Är man hackad bara för att tjänsten säger så? Är man säker om Dold säger att ens mailadress inte används? Tja, man skall kanske inte lite helt och hållet på uppgifterna som presenteras är helt och hållet sanna. Men jag tycker att man oavsett vad man får för svar bör byta ut sina lösenord.

Det kan vara ett bra tillfälle att byta password nu. Egentligen så bör man byta ut alla lösenord minst en gång om året. Tyvärr så är det ofta när det kommer sådana här larmrapporer som man påminns om det. Det borde annars vara en självklarhet att göra en årlig uppdatering av ens inloggningsuppgifter.

Egentligen så borde alla webbtjänster ha som standard att man tvingas byta password åtminstone två gånger om året. Många arbetsplatser tvingar sina anställda att byta var tredje månad. Något liknande borde gälla alla tjänster på Internet tycker jag.

Typ av password

Vad skall man då tänka på när man skapar sitt lösenord? Det är rätt enkelt – Ju krångligare destu bättre. Använd inte namn på familjemedlemmar eller husdjur. Inte heller namnet på favoritartisten eller det fotbollslag man håller på. Dessutom, använd inte password som lösen.

Blanda hej vilt mellan små och stora bokstäver. Krydda upp med några siffor och specialtecken. Låt lösenordet vara minst 10 tecken långt. rno45F?Lgbär ett exempel på ett lösenord som är hyfsat bra. Och nej, detta är ett lösenord jag bara hittad på nu till bloggen. Inget som jag använder till någon tjänst.

Är jag drabbad?

Är något av mina mailadresser med på listan? Jo, två av mina adresser finns med, i alla fall av de jag har testat. Totalt rörde det sig om tre tjänster. Lösenordrden är bytta på dessa. Bytte även password på mailen också, för säkerhetsskull. Det behöver som sagt inte vara mailen som är drabbade. Men det är lika bra att byta när jag ändå höll på.

Skall byta ut alla mina password nu. Jag har många, väldigt många. Så det jobbet görs inte på en dag, Får ta några då och så helt enkelt,

hoto credit: christiaan_008 via Visual Hunt / CC BY-SA

iThemes

iThemes Security plugin när det gäller säkerhet

 

Fick en gång i tiden ett tips av en kollega om ett plugin till WordPress som ökar säkerheten en hel del på ens WordPressinstallation. Pluginet heter iThemes Security och finns i en gratisversion och i ett antal olika betallösningar.

IThemes Security

Normalt så är jag lite skeptisk till sådana här plugins, jag har testat en del och oftast så lovar de mer än vad de kan hålla. Men jag installerade i alla fall iThemes bara för att testa. Genast så fick jag upp en lista på en hel del åtgärder som iThemes tyckte att jag skulle åtgärda. Jag fixade till en del som jag insåg var bra förslag. Men jag våga inte riktigt genomföra allt innan jag vet exakt vad som händer om jag åtgärdar säkerhetsluckorna. I allra värsta fall kanske jag riskerar att låsa ute mig från min egen WordPressinstallation. Men alla åtgärdsförslag skall i alla fall kollas upp för att se vad de betyder, vad risken med dessa luckor är och vad som händer om om jag låter iThemes åtgärda dem.

Något som var både intressant och smått skrämmande med iThemes var att pluginet loggar alla intrångsförsök mot ens sida. Jag trodde inte att min sida var direkt utsatt, en relativt anonym sida från ett avlägset hörn av världen och med få besökare dagligen. Men enligt iThemes så har det i skrivande stund varit 36 intrångs försök mot min sida sedan jag installerade pluginet, och det är cirka femton och en halv timme sedan. Det betyder att cirka två gånger i timman så har någon försökt att logga in på min sida. Stämmer detta så är det smått skrämmande som sagt.

Admin

Jag kan se med vilket användarnamn de har försökt att logga in på och det vanliga är admin. Det användarnamn man får när man skapar en WordPressinstallation. Med den vetskapen så förstår man hur viktigt det är att omedelbart skapa en ny användare och radera admin-konton. Det går inte att påpeka detta allt för många gånger för det är väldigt viktigt att skapa en ny användare detta genast och direkt radera admin.

Jag kan också se att ordet ringman, namnet på min blogg, förekommer ofta bland det användarnamn som används för intrångsförsöken. Med andra ord, har inte webbplatsens namn som användarnamn, det är inte bra, inte alls bra.

Lösenord

Sist av allt, och detta bör man egentligen inte påpeka för alla, det borde vara en självklarhet – Se till att ha bra lösenord, bra och säkra. Ord som password, abc123 och liknande är totalt vansinniga. Det är alltid extremt viktigt att ha lösenord som är krångliga att knäcka. Blanda hej vilt mellan stora och små bokstäver och mellan siffror och specialtecken. Ett lösenord som JruR#14g är betydligt svårare att knäcka än abc123. Se också till att byta lösenord ofta. Personligen tycker jag att man skall byta åtminstone en gång i kvartalet, i alla fall ett par gånger om året. Misstänker man att någon har kommit över ens lösenord så skall man byta omedelbart.

Bilden kommer ifrån iThemes Securitys webbsida.