Alt standardiseret er guf for hackere, for så skal de ikke gætte sig frem til så meget. Derfor skal den første bruger ikke være administrator.
Når du opretter din WordPress-blog eller websted, så bliver du samtidig den første bruger. Da det er den bruger, du skal bruge til den øvrige opsætning, skal denne bruger naturligvis har rettigheder som en administrator.
Derfor skal du starte sådan her:
- Opret WordPress med den første bruger på en alternativ email
- Log ind med denne første bruger
- Gå til Brugere -> Tilføj Ny og opret dig selv som bruger med et nyt navn og din egen email
- Tildel denne bruger rollen som Administrator og gem
- Log ud og log ind som den nye bruger
- Slet den første bruger
Gør det besværligt
Det handler selvfølgelig ikke om at gøre det besværligt for dig selv, selvom det kan se sådan ud fra min beskrivelse her.
Det handler om at gøre det besværligt for hackere, så de ikke kan bruge automatiske scripts til at komme ind og overtage styringen med dit websted.
I den almindelige WordPress installation oprettes en administratorbruger som noget af det første. Tidligere hed denne bruger altid ‘admin’, men det er dog ændret for at forbedre sikkerheden bare en smule. Der er stor forskel på, om man som hacker skal lede efter både brugernavn og adgangskode – eller man kan nøjes med at teste forskellige koder på samme brugernavn, fordi man VED at det findes.
Derfor bliver du nu (siden version 3.0) bedt om at give den første bruger et navn, så det ikke længere bare er en generel standard. Jo flere mulige variationer der er, desto sværere er det at hacke sig ind. Ikke umuligt – det bliver det aldrig! Men vi kan gøre det så besværligt, at det ikke er besværet værd.
Alle brugere med ID 1 skal op nu
Men selvom du nu selv navngiver den første bruger (og selvfølgelig ikke kalder denne bruger ‘admin’…), så er det stadig den første bruger. Og derfor findes der masser scripts, der bare forsøger at logge ind som “bruger 1” i stedet.
Så vi gør det lidt sværere for hackerne ved at bruge en anden bruger end ‘bruger 1’.
Ved at oprette en ny bruger, udelukker vi hackerne fra at benytte ‘bruger 1’ til deres scripts. Og så bliver det mere besværligt for dem.
Du så selv vælge, om den oprindelige bruger skal slettes eller bare gøre til en helt almindelig bruger uden rettigheder. Skulle det så lykkes en hacker at gætte sig til adgangskoden på ‘bruger 1’, så ender de alligevel i en blindgyde, hvor de ikke kan gøre nogen skade.
Men hvis de stadig laver forsøg på at slippe ind via ‘bruger 1’, så vil det belaste dit websted med ubrugelig trafik.
Derfor anbefaler jeg at du helt sletter bruger 1, så scriptet med det samme ser at der ikke er adgang og går videre til det næste WordPress websted i stedet.
Læs mere om WordPress sikkerhed