Et stærkt kodeord er ikke altid nok. Det er heldigvis nemt at tilføje et ekstra lag sikkerhed på dit logind.
Af Lars K. Jensen
Website-sikkerhed er altid vigtigt, og krigen i Ukraine og hele situationen omkring det gør det kun endnu mere vigtigt, at man beskytter sig.
Der er forskellige måder, dit website/medie kan blive ramt på. Det kan være via et DDOS-angreb (Distributed Denial of Service), hvor dit site bliver lagt ned af en voldsom trafikmængde.
Men det kan også være ved, at uvedkommende får adgang til dit site. Det kan være via det logind, du selv bruger – eller via adgange som FTP og databasen. Her beskæftiger vi os kun med den første (altså det logind, du selv bruger).
Udover at have et stærkt kodeord, som altid er en god idé, er det nemlig flere ting, du kan gøre. Indenfor de seneste år er flere og flere tjenester begyndt at tilføje logind via det, der kaldes to-faktor eller “two factor authentication” (af og til forkorket “2FA”).
Kort fortalt betyder det, at man skal bruge mere end et kodeord for at logge ind. Det er den ekstra faktor, man lægger til – det kan være, at der bliver sendt en e-mail eller SMS med en aktiveringskode. (De to metoder har dog en svaghed, som vi vender tilbage til om lidt.)
Et oplagt eksempel på to-faktor er NemID/MitID. Her er det ikke nok med et kodeord – der skal bekræftes i en anden app.
Du kan også få to-faktor-sikkerhed på dit WordPress-website, og det er en rigtig god idé.
Sådan gør du – app
Der er mange plugins, der kan hjælpe dig med sikkerheden på dit website. Her udvælger jeg to, fordi jeg kender dem. Ikke nødvendigvis fordi, de er de bedste, men fordi jeg ved, de virker og yder den beskyttelse, vi taler om her.
Inden da skal du dog beslutte dig for, hvilken type to-faktor-beskyttelse, du vil bruge. Som tidligere nævnt er der svagheder ved at få fx SMS eller en e-mail med en kode. Det skyldes, at hvis de uvedkommende også har adgang til din mail, er der reel ingen beskyttelse – og test har vist, at koder sendt via SMS kan opsnappes.
Det, du i stedet bør gøre, er at bruge en såkaldt “authenticator”-app. Her er der flere at vælge imellem. Jeg bruger selv Google Authenticator. Den virker, og der står et etableret firma bag, så det er jeg tryg ved.
Det foregår ved, at den står og skifter imellem nogle koder (det foregår lokalt på din telefon), som du så skal bruge, når du vil logge ind. Det kender nogle måske allerede fra diverse fysiske dongles, der gør noget lignende.
Sådan gør du – website
Nu skal du installere et plugin på dit WordPress-website. Jeg bruger enten Shield Security eller Totrinsgodkendelse (navnet er oversat til dansk).
Shield har den fordel, at det er en hel pakke med beskyttelse. Det betyder, at du også får anden beskyttelse (fx mod “brute force”-angreb, hvor man kører løs på login-formularen indtil man rammer et brugernavn og kodeord, der virker).
Der findes andre lignende plugins derude – nogle af jer kender måske Wordfence, for eksempel. Her er der også to-faktor-beskyttelse.
Det kan dog være, at du er på noget hosting, der allerede tilbyder den form for beskyttelse, og at Shield og Wordfence derfor ikke er understøttet. Sådan er det eksempelvis på WordPress’ egen hosting. Det er ikke fordi, du ikke må beskytte dig, men fordi Shield/Wordfence i så fald vil clashe med den beskyttelse, der allerede er.
I det tilfælde (eller hvis du vil have en meget simplere opsætning) skal du finde et plugin, der kun tilbyder to-faktor-sikkerhed.
Her kender jeg Totrinsgodkendelse, der bare fungerer. Bemærk, at plugin’et pt. ikke er (officielt) testet med seneste udgave af WordPress, men jeg bruger det flere steder på seneste udgave af WordPress – uden problemer.
Opsætningen er super simpel:
Log ind på dit website og gå til din profil-side (Brugere > Profil).
Åbn Google Authenticator og tryk på + i nederste højre hjørne og vælg “Scan a QR code”.
Scan QR-koden på din profilside i WordPress (du finder den ud for “Totrinsgodkendelse indstillinger”).
Ud for “Godkendelseskode” indtaster du de seks cifre, der nu optræder nederst i Google Authenticator.
Tryk på “Indsend”.
Din profilside genindlæses. Rul igen ned til “Totrinsgodkendelse indstillinger”.
Sæt “Time Based One-Time Password (TOTP)” til både “Aktiveret” og “Primær”.
Tryk “Opdatér profil” nederst.
Tjek, at indstillingerne er blevet gemt korrekt:
Dit login er nu beskyttet via to-faktor-sikkerhed.
Opsætningen i Shield er ikke 1:1 den samme, men i det store hele er processen den samme. Du aktiverer to-faktor-beskyttelse, scanner en QR-kode, indtaster de seks cifre og gemmer.
Hvis du er et af de medier, der bruger vores platform, har du allerede mulighed for at aktivere to-faktor-beskyttelse – og du har modtaget en mail om, hvordan du aktiverer det.