Stort sikkerhedshul: Alle kan se dit WordPress-brugernavn
Har du en WordPress-hjemmeside? Så er det nu du skal læse med! Hvis du ikke sørger for den rette beskyttelse af din hjemmeside, så risikerer du, at hackere let kan finde frem til dit brugernavn – og så skal de jo egentlig kun gætte din adgangskode for at få adgang til din hjemmeside.
Se brugere via enkelt url
Faktisk er det ikke helt nyt, men faktum er, at rigtig mange hjemmesideejere ikke er klar over, at dette kan lade sig gøre. WordPress REST API giver dig let information om din hjemmeside leveret i JSON-format. Det betyder, at du med en simpel url kan få adgang til en oversigt over brugere, indlæg og sider.
Det virker måske uskyldigt, og måske tænker du, at både sider og indlæg jo alligevel er synlige på hjemmesiden. Det har du ret i, og det er derfor heller ikke denne information, som du skal beskytte – det er derimod de registrerede brugere på hjemmesiden.
Ved at bruge url’en www.ditdomæne.dk/wp-json/wp/v2/users kan man se nogle af (hvis ikke alle) de registrerede brugere på din WordPress-hjemmeside. Denne url vil dog kun give information om de brugere, der bidrager til hjemmesiden; altså de brugere, der opretter sider, indlæg m.m.
Brugernavnet er 50% af den information, som hackere skal bruge
Når du logger ind på din WordPress-hjemmeside indtaster du 2 oplysninger: Brugernavn og adgangskode. Det betyder altså, at du serverer 50% af informationerne på et guldfad, hvis du ikke gør noget for at skjule disse oplysninger.
Nu tænker du sikkert: ”Mit kodeord er heldigvis meget svært at gætte”. Men er det nu også det? Hvis dit fulde navn også er angivet under din brugerprofil, vil dette også kunne ses. Bruger du Gravatars? Så vil man også kunne finde frem til dit billede. Sammenkoblingen af dette kan betyde, at hackerne kan finde endnu flere informationer om dig (tak til de sociale medier for det).
Mange mennesker har tendens til at lave kodeord, der er lette at huske. Det kan eksempelvis være fødselsdato, navnet på børn eller ægtefælle eller tilsvarende. Hvis du også laver kodeord som dette, så er det altså relativt let at gætte sig frem til dit kodeord – og særligt når der ikke er begrænsninger for, hvor mange gange du må taste forkert.
Derudover findes der i dag også robotter, som prøver forskellige kombinationer af lige indtil de finder den rette kombination – og dermed har de pludselig fuld adgang til din hjemmeside.
Sådan lukker du sikkerhedshullet
Har du testet, om man kan se brugernavnene for din WordPress-hjemmeside? Prøv at teste det med det samme – tilføj /wp-json/wp/v2/users efter dit domænenavn.
Får du beskeden:
{“code”:”rest_user_cannot_view”,”message”:”Du har desv\u00e6rre ikke tilladelse til at vise brugere.”,”data”:{“status”:401}}
eller
“Forbidden
You don’t have permission to access /wp-json/wp/v2/users on this server.”
… så har du intet at frygte, så er dine brugernavne skjult. Hvis ikke, kan det være en god idé at få lukket dette sikkerhedshul. Der er flere måder, hvorpå du kan gøre dette: Wordfence Security plugin eller via din .htaccess.
Wordfence Security
Wordfence Security er et af de bedste sikkerhedsplugins, der findes for tiden. Wordfence går ind og blokerer for ip-adresser, der adskillige gange har forsøgt at få adgang til din hjemmeside uden held.
Med Wordfence kan du få informationer om hvilket brugernavn, der forsøger at logge ind, lige som du kan se hvilke ip-adresser, der er blevet blokeret samt hvilket land, de stammer fra.
Derudover har Wordfence også den funktion, at den netop skjuler de brugernavne, som ellers ville blive vist med førnævnte url. Benyttes den førnævnte url, vil man blive mødt af beskeden:
{“code”:”rest_user_cannot_view”,”message”:”Du har desv\u00e6rre ikke tilladelse til at vise brugere.”,”data”:{“status”:401}}
Bonustip: Brug ALDRIG ’admin’ som brugernavn
Som det også fremgår af ovenstående billede, så er det oftest brugernavnet ’admin’, som bliver brugt, når uvedkommende forsøger at få adgang til din hjemmeside. Dette var da også det brugernavn, som stort set alle brugte for en årrække tilbage.
Vi fraråder derfor, at du bruger ’admin’ som brugernavn. Brug i stedet et andet ord, for eksempel dit navn, din mailadresse, dit telefonnummer eller noget helt fjerde. Det vigtigste er egentlig, at du bruger noget andet end ’admin’.
.htaccess
Du kan også begrænse adgangen til din hjemmeside via din .htaccess-fil. Bruger du allerede Wordfence, vil du se, at de ip-adresser, som Wordfence blokerer for, også bliver vist her.
Sikkerhedshullet kan lukkes med en stump kode i toppen af dit WordPress-sites .htaccess fil.
Indsæt denne kode i toppen af .htaccess filen
# WP REST API BLOCK JSON REQUESTS TO USERS & COMMENTS ROUTES
# Block/Forbid Requests to: /wp-json/wp/v2/users and wp-json/wp/v2/comments
# WP REST API REQUEST METHODS: GET, POST, PUT, PATCH, DELETE
RewriteCond %{REQUEST_METHOD} ^(GET|POST|PUT|PATCH|DELETE) [NC]
RewriteCond %{REQUEST_URI} ^.*wp-json/wp/v2/(users|comments) [NC]
RewriteRule ^(.*)$ - [F]
Du kan også selv manuelt styre hvem, der skal have adgang til din hjemmeside. Det gør du med følgende kodestykke:
<Files wp-login.php> Order Deny,Allow Deny from all Allow from [ip-adresse] Allow from [ip-adresse] </Files>
I dette kodestykke fortæller du:
- Det gælder for www.ditdomæne.dk/wp-login.php (bruger du ’/wp-admin’ så bemærk, at denne redirecter til /wp-login.php)
- Alle skal afvises (”Deny from all”)
- Undtagen de givne ip-adresser (”Allow from”)
Her kan du altså tilføje alle de ip-adresser, som skal have adgang til hjemmesiden. Det kan for eksempel være kontorets ip-adresse, din ip-adresse derhjemme, en samarbejdspartners ip-adresse og så videre.
Hvis du er i tvivl om, hvor du finder din .htaccess, eller du ikke er tryg ved at pille ved din hjemmesides grundkoder, anbefaler vi, at du får dit webbureau til at sætte dette op for dig.
Vær opmærksom på andre sikkerhedshuller
Selvom du skjuler din hjemmesides brugernavne og begrænser adgangen til bestemte ip-adresser, så betyder det ikke, at du har lukket alle sikkerhedshuller.
WordPress er et open source system – lige som de fleste plugins og temaer er det. Det betyder, at alle har mulighed for at gå ind og se hele koden for et plugin, WordPress og så videre. Med andre ord kan alle, der har forstand på html, php, javascript m.m. altså gå ind og finde sikkerhedshuller i de elementer, som din hjemmeside er bygget op om.
Det er altså muligt for hackere at tilgå din hjemmeside, selvom de ikke kan komme ind via din loginside.
Det er netop disse sikkerhedshuller der gør, at du ofte får besked om, at der er kommet en ny opdatering for et plugin eller for WordPress. I opdateringerne lukker udviklerne nemlig for de sikkerhedshuller, der kan være fundet. Derudover kan en opdatering også indeholde bedre funktionalitet eller andet.
Derfor anbefaler vi, at du altid holder din hjemmesides elementer opdaterede. En opdateret hjemmeside har langt færre sikkerhedshuller end en hjemmeside, der ikke bliver vedligeholdt.
Husk også at tage backup
I tilfælde af at uheldet er ude, så er er backup af din hjemmeside guld værd. Derfor kan vi ikke understrege vigtigheden i jævnligt at tage backups nok!
Sørg for løbende at tage backup af din hjemmeside. Hvor ofte du bør gøre det afhænger i høj grad af, hvor tit der sker ændringer på din hjemmeside.
Når du tager backup af din hjemmeside, så sørg også for, at der bliver taget backup af din database. Det er trods alt her, at alt dit indhold vil ligge.
Når du opdaterer plugins, tema eller WordPress, så gør det til en vane at tage en backup både før og efter opdateringer. Hvis en opdatering skaber problemer for din hjemmeside, har du dermed en backup, som du kan føre tilbage.
Har du brug for hjælp til at styrke sikkerheden for din hjemmeside? Eller har du behov for hjælp til at vedligeholde din hjemmeside, herunder også til at tage backups? Udfyld kontaktformularen herunder, så kontakter vi dig.
- SPF Flattening: Optimering af din virksomheds mail sikkerhed og levering - 1. juli 2024
- Undgår dine e-mails spammappen? Tjek det gratis! - 14. juni 2024
- Kultur, opdragelse og værdisæt tæller mere end generationstilhørsforhold - 17. maj 2024
DK-31929407