Disclaimer: Hvis du gør noget, som ikke er i denne guide, så kan du risikere at blive låst uden at din egen side. Så det er VIGTIGT, at du følger guiden 100%. At installere det er på eget ansvar. Selvom om du gør noget forkert, så kan det helt sikkert fixes, men jeg kan desværre ikke hjælpe dig gratis, da det er meget resourcekrævende. Hvis du oplever problemer, eller vil hyre mig inden, kan du skrive til mig på [email protected].
Inden du går i gang vil jeg anbefale dig, at du ændrer linkstruktur under Indstillinger, Permanente links til Navn på indlæg. Hvis du har været i gang i mange år, så skal du til at lave url redirect. Jeg har desværre ingen guide til dette pt. Det er vigtigt, at du ikke ændrer dette via dette plugin, hvis du ikke ved, hvad du laver. Selv hvis du følger guiden 99%, kan den sidste 1% blive et problem.
Forestil dig, at du en dag går ind på din blog for kun at opdage, at den er blevet hacket. Det sker desværre for en del bloggere, at deres blogs kodeord bliver gættet, og så står man med håret i postkassen som blogger – særligt hvis man ikke har backet sit indhold op.
Der er alt for lidt fokus på sikkerhed, når det kommer til blogs, og jeg forstår det godt. Det bliver hurtigt tørt at snakke om sikkerhed, men den man får hacket sin blog, og pludselig ikke har adgang til den, er det altså ikke særlig sjovt. Det er gerne her, at man begynder at undersøge, hvordan man kan øge sikkerheden på sin blog.
Jeg har selv været der, og grunden til at jeg begyndte at gå op i sikkerhed var, fordi nogen gættede mit kodeord til mit kontrolpanel. Heldigvis havde jeg en backup af min blog, så jeg slettede bare alt og installerede mit indhold igen.
Men for at det samme ikke skal ske for dig, så har jeg lavet den her guide, som vil lære dig, hvordan du kan øge sikkerheden met et fantastisk (og gratis!) plugin til din blog.
Og så vil jeg i øvrigt anbefale dig, at du gør det her med det samme. Det tager ikke lang tid, men der er potentielt set konstant hackere, der kan forsøge at få adgang til din blog, så få sikkerheden optimeret så hurtigt som mulig, så du slipper for at blive hacket.
Der er en masse indstillinger til plugin’et, som godt kan være lidt svære at finde rundt i, så følg derfor guiden her nøje – så skal det hele nok gå. :) Good luck!
1. Login i dit kontrolpanel
Du starter med at skrive dit brugernavn og adgangskodefor at logge ind i dit WordPress kontrolpanel. Det gør du på adressen ditnurl.dk/wp-admin.
Da alle WordPress hjemmesider bruger /wp-admin som login-stedet, kan du nok regne ud, at det pludselig er rigtig nemt for hackere at finde frem til din login-side. Derfor er dette en af de ting, vi kommer til at ændre på din blog – så hackerne simpelthen ikke har så nemt ved at finde selve login-siden til din blog!
2. Gå til plugins
Nu skal du hente plugin’et. Find derfor det punkt i din menubar til venstre, der hedder Plugins. Hold musen over og vælg så Tilføj nyt i baren, der kommer til højre.
3. Søg efter iThemes security
I højre side finder du en søgebar, hvor du kan søge efter tilgængelige plugins. Søg efter iThemes Security her.
4. Installér iThemes security
Du får nu nogle forskellige plugins frem. Find det, der ser ud som det, du kan se på billedet herover. Det er udgivet af iThemes – på den måde kan du være sikker på, at du har fundet det rette plugin.
Tryk på Installer nu. Dette tager dig over på en ny side.
5. Aktivér plugin
I dit kontrolpanel får du nu denne side frem. Alle plugins, du henter, skal først aktiveres, før de kan tages i brug. Klik derfor på Aktiver, så du kan øge din blogs sikkerhed.
6. Gå til Settings
I dit kontrolpanel finder du det nye punkt Security og trykker herefter på Settings.
7. Tryk på Secure Site
De har heldigvis lavet det så let, at hvis du trykker Secure Site, så får du det mest nødvendige sikkerhed på din blog.
8. Skriv e-mail og vælg punktet Activate
I Email Address skriver du din e-mail. Hvis du ikke gider de mange e-mails, som de kan finde på at sende, så vælg No til, om du vil modtage opdateringer.
Jeg vil anbefale dig, at du klikker på Activate Network Brute Force Protection.
9. Luk vinduet
Nu skal du trykke på Close.
10. Whitelist din egen IP
Vi starter med at whiteliste din egen IP adresse. Du behøver ikke at gøre dette, men hvis der skulle ske noget, kan du stadigvæk logge ind.
Tryk på Configure Settings ved Global Settings.
Scroll ned til der hvor der står Lockout White List. Her trykker du på Add my current IP to the White List. Du skal selvfølgelig kun gøre dette, hvis du ved, at det er en IP adresse, som du har adgang til. Dvs. hvis du er derhjemme lige nu, skal du trykke på denne knap.
Men du skal ikke gøre det, hvis du sidder og ordner dette på en café.
11. Få iThemes Security til at sende dig e-mails
Du vil gerne vide det, hvis der sker nogle problemer med din blog. iThemes sørger for at holde stort set alle ude, så du kan sove trygt om natten og bloggere bedre om dagen. Jeg synes, at det er meget rart at få løbende status dem. Men da jeg ikke gider blive druknet i e-mails, så vælger jeg kun at få svar fra dem en gang om ugen.
Du slår det til ved at trykke på Configure Settings under Nofication Center.
Du skal skifte fra Daily til Weekly, så du ikke bliver druknet i e-mails. Når du har slået det til, går du ned i bunden og trykker Save Settings.
12. Slå 404 Detection til
I fanen 404 Detection trykker du på Enable. Det skal siges, at du ikke behøver at slå det til, da det også kan blokere brugere fra din blog, hvis du linker til sider, som ikke findes på din blog. En 404 side er en side, hvor der ikke er noget indhold.
Hvis du sørger for at holde dine links opdateret, så får du meget ud af at slå dette til på din blog.
Du behøver ikke at gøre mere end dette, men du skal være OBS på, at hvis du får mange e-mails om, at besøgende er blevet blokeret på din blog, så kan problemet være, at du har døde links (links der ikke fører nogle steder hen.)
13. Enable blacklist
Ofte kommer angreb de samme steder fra, så ligesom din IP adresse er på en whitelist, så smider vi en masse på en blackliste. Dvs. at hvis de har angrebet andre med iThemes, så bliver de også straffet for det på din blog.
Så i fanen Banned Users går du til Configure Settings.
Under punktet Banned Users, skal du trykke der, hvor der står “Default Blacklist.”
Det betyder, at alle der står på en officiel blacklist ikke får adgang til din side. Herefter trykker du Save All Changes.
14. Slå Database backup fra hvis du allerede har backup
Det skal siges, at det er god sikkerhed at altid at lave en backup af din database. Men jeg har slået det fra, fordi jeg allerede bruger et backup plugin, som sørger for at gøre det. Jeg anbefaler, at du installerer den.
Du finder guiden her.
Så hvis du allerede har gjort det, så kan du godt vælge Disable her.
15. Hvis du benytter SSL så slå det til
Du må IKKE slå dette til, hvis du ikke ved, om du har et SSL certifikat. Men hvis du benytter det, så vil jeg anbefale dig, at du slår det til, så du benytter det til hele dit site.
16. System Tweaks
Inden du trykker det her til, så skal du være OBS på, at nogle gange er der ting, som ender med ikke at virke til dit tema, når du slår nogle ting til. Det gør det ikke farligt, men det betyder bare, at hvis du slår nogle af de her ting til og oplever fejl på din blog, så skal du starte med at slå alle ting fra her. Når du så har gjort det, kan du trykke et punkt på ad gangen og dermed øge fejlen.
Når jeg, alligevel slår dette punkt til, er det, fordi det giver øget sikkerhed.
Du starter med at trykke på Enable.
Nu trykker du på Configure Settings. Så kommer du videre til alle de indstillinger, som du kan slå til og fra.
Først trykker du kryds i Protect System Files.
Directory Browsing
Her trykker du på Disable Directory Browsing.
File Writing Permissions
Her trykker du Remove File Writing Permissions til.
I bunden trykker du på Save Settings.
Det skal siges, at når du slår denne til, kan du opleve problemer, når du installerer nye plugins. Hvis du nogensinde oplever, at et plugin skriver, at den ikke har skriveadgang til din config fil, så skal du herind og slå det fra og så prøve at installere dit plugin igen.
Men i første omgang slår vi det til, da det er bedre for sikkerheden.
17. WordPress Tweaks
Tryk på Configure Settings. Nu kommer der en række sikkerhedsindstillinger frem.
Kryds af i feltet ved Windows Live Writer Header.
Kryds af i feltet ved EditURI Header.
Her krydser du af i Disable login error messages.
Herefter trykker du på Save Settings.
18. Gå til Advanced indstillinger
Nu skal vi til de avanceret indstillinger. Bare rolig, vi er næsten færdige.
Oppe øverst trykker du på Advanced.
19. Ændr Admin user
Nu trykker du på Configure Settings.
Når du vælger at skifte brugernavn, vil der komme et nye punkt frem, hvor du kan vælge at skifte ID nr. Det skal du gøre.
Du sætter et flueben i Change User ID 1.
Nu vælger du Save Settings. Hvis du bliver logget ind, så logger du bare ind igen og fortsætter til næste punkt.
20. Skjul der hvor du logger ind
Nu skal vi skjule der, hvor du logger ind. Gå til Configure Settings.
Noget af det dummeste ved de fleste blogs er, at alle ved, hvor de logger ind. Det vil vi gerne skjule for andre end dig, og andre der skriver på din blog.
Under punktet Hide Login Area skal du trykke der, hvor der står Enable the hide backend feature.
Nu kommer punktet Login Slug frem. Her markerer du der, hvor der står wplogin. Det skal du ændre til et unikt login, som du kun kender.
Her har jeg kaldt mit nye login for FINDpåDITeget. Du skal ikke bruge æøå. Når du har ændret dette og gemt det, betyder det, at du skal logge ind der for at komme til dit kontrolpanel.
Så i stedet for dinblog.dk/wp-admin logger du nu ind på dinblog.dk/ditnyeurl.
Det er vigtigt, at du husker, hvad dit nye login sted er, så du altid kan komme ind på din blog. Jeg vil anbefale dig, at du gemmer et billede af det på din computer for en sikkerhedsskyld.
Tillykke. Hvis du har fulgt alle disse punkter, har du nu en blog, som er mere sikker end mange professionelle bloggere.
Hej Anja
Ja, det kan du sagtens gøre, men det er ikke nødvendigvis så farligt, som det lyder. Når iThemes fortæller dig det betyder det også, at de er blevet blokeret.
Hej Celia
Tusind tak for dit store arbejde med alle de gode og brugbare guides du ligger op til os.
Især denne, ang. sikkerhed har jeg haft stor gavn af. Desværre ser det nu ud til at nogen har gættet min nye backend, da ithemes security har registreret 2 login forsøg, fra 2 forskellige hosts. Derfor vil jeg spørge om du ved, om man blot kan udskifte det tidligere login slug med et nyt? Jeg er en smule paranoid og bange for at blive lukket ude fra min blog og tør ikke gøre noget overilet :)
Endnu en gang tak :)
Vh. Anja
Nej, du kan logge ind på forskellige lokationer. Under punktet Whitelist kan du vælge din primære IP. Dvs. sæt det op, når du er derhjemme. Dette betyder blot, at du altid kan logge ind fra denne IP, hvor du kan få en ban på de andre. :)
Husk forresten at læs den disclaimer, som jeg lige har smidt på indlægget, da jeg har haft nogle henvendelser med problemer med dette plugin. Det kan altid fixes, men det kræver forståelse for, hvordan WP fungerer bagved. De færreste burde dog opleve problemer.
Super guide, det vil jeg helt sikkert få installeret, når jeg kommer hjem. Da man installerer det på sin egen ip, kan man så kun logge på sin blog, hvis man befinder sig på denne ip? Eller har det ikke noget at sige? Jeg tilgår nemlig min blog fra mange forskellige lokationer :)