Dit websted har behov for mere sikkerhed end hvad en standard WP giver dig. Der er mange forskellige muligheder for sikkerhedsløsninger og nogle kan endda kombineres.
Jeg bruger en kombination af gratis udgaverne af WordFence og Sucuri, da det har vist sig at give mig den bedste kombination af muligheder til laveste pris. Men det kræver at man ved, hvad man har med at gøre. Ellers er det bedre at betale sig fra betalingsversionen af enten WordFence eller Sucuri.
Her er en vejledning i opsætning af WordFence, som jeg oftest bruger den. Og som fungerer bedste med den version 7.1, der var aktuel da indlægget blev skrevet.
OBS: Lad være med at bruge denne guide betingelsesløst – tænk dig godt om inden du aktiverer de her ændringer. I værste fald kan du lukke dig selv ud fra dit websted. Sker det, skal ind med FTP og slette eller omdøbe mappen /wp-content/plugins/wordfence.
Opsætning af WordFence indstillinger
Åbn for Global options
Fra Dashboard har du nem adgang til Global Options
Aktiver menupunkt for Live-visning
Under View Customization skal der vinges af i “All options” og “Live Traffic” – den sidste skal vi bruge senere.
General Wordfence Options
Markering i “Update Wordfence…”Indsæt din email til modtagelse af advarslerMarkering i “Let Wordfence use…”Markering i “Hide WordPress version”Markering i “Disable Code Execution…”Markering i “Pause live…”Skriv 3 i “Update Intervals…”
Dashboard Notifications Options
Her må du selvom markeringerne, det er kun et spørgsmål om hvad der vises i dit WP kontrolpanel. Jeg har som regel kun markeret “Scan Status”, da jeg får besked om opdateringerne så mange andre steder.
Email Alert preferences
Hvor meget og hvor ofte vil du informeres/advares? For mange markeringer og du vil blive bombarderet med mails for Wordfence, for få og du bliver ikke advaret før det er for sent. En svær balance. Jeg har markering i:- “… if deactivated”- “… on critical problems”- “… when someone is blocked …”- “… someone with administrator access …”- “… from a new device …”- “… a large increase …”Og maksimalt 1 email per time.
Activity Report
Hvis du som mig ofte kontrollerer dit websted, så behøver du ikke nogen rapport. Men hvis du kun kommer sjældent, så vil jeg anbefale at få tilsendt en opsummering en gang om ugen.
Gem dine ændringer
Wordfence gemmer ikke noget automatisk, så husk at gemme de indstillinger du har ændret ved at klikke på “Save Changes” øverst til højre.
Klik på Firewall i menuen
Det er den letteste måde at komme til indstillinger for firewall.
Vælg All Firewall options
Advanced Firewall options
– “Whitelisted IPs” er beregnet til eksterne tjenester som måske kan ramme regler for crawling eller ping. F.eks. hvis du har en tjeneste til overvåge din sides oppetid.- “Whitelisted services” kan du lade stå med standardindstillingen.- “Immediately block…” bruger du til kendte sikkerhedshuller. Hvis nogen leder efter dem, bliver de blokeret med det samme.
Rules
Som standard er alle aktiveret og det skal du bare lade dem være.
Brute Force Protection
– “Enable Brute Force…” skal være sat til ON- Begge “Lock out after…” sættes til 5- “Count failures…”: 5 minutter- “Amount of time… “: 2 timer- Markering i “Immediately lock out…”- I “Immediately block…” skriver du de brugernavne, der ofte bliver brugt – og som du ikke selv bruger! Du kan starte med “test, admin, badmin, testuser, test1, admin123, root, wpadmin” og hertil tilføje variation af domænenavnet. På wp-pro.dk kunne det være “wpro, wp-pro, wprodk, wpproadmin, wppro_admin”.- Markering i “Prevent use of…” for “admins only”
Additional Options
Her skal du lave markering i alle felter
Rate limiting
– “Enable Rate Limiting…” skal være sat til ON- “How should we…” sættes til “Verified Google crawlers…”Med mindre du har oplevet problemer med forsøg på indtrængen, så lade dem alle stå med “Unlimited” og “throttle it”.