Derfor skal du ikke bruge ”admin” som brugernavn i WP

Rigtig mange hjemmesider er bygget op i WordPress, og rigtig mange af disse hjemmesider har risiko for at blive hacket. Det skyldes, at der i mange online guides er blevet rådgivet til at benytte brugernavnet ”admin” for letheds skyld. Mange webbureauer har også benyttet dette overordnede brugernavn, så deres kunder har får et login, der er overkommeligt at huske. Det er gjort i bedste mening. Ingen tvivl om det. Sandheden er dog, at hackere er klar over, at netop ”admin” er et meget brugt brugernavn, og at de bruger denne viden til at hacke sig ind i dit system.

Har du afsløret 50% af dit login?

For at logge ind på din WordPress hjemmeside, skal du bruge følgende 2 oplysninger:

  • Brugernavn
  • Kodeord

Kender hackerne dit brugernavn; hvilket de med sikkerhed gør, hvis du – ligesom så mange andre – benytter dig af brugernavnet ”admin”, har de derfor adgang til 50% af dit samlede login. Ville du være lige så letsindet med brugernavne til sociale medier, din netbank eller nem-id? Nej, vel?

Andre brugernavne er også i farezonen

Måske sidder du netop nu og ånder lettet op, fordi du er én af dem, der har ændret brugernavnet fra ”admin” til noget mere personligt. Det kan dog være lige så nemt for eventuelle hackere at finde frem til dit brugernavn alligevel. Hvis din hjemmeside er i JSON-format, er der nemlig risiko for, at alle og enhver kan se brugeres oplysninger ved hjælp af denne simple URL:

domæne.dk/wp-json/wp/v2/users

(Udskift domæne.dk med dit eget domæne navn)

URL’en giver adgang til en samlet liste over de brugere, der er tilknyttet din hjemmeside. Herunder brugere, der opretter sider og indlæg. Alle registrerede brugere afsløres ikke nødvendigvis, da det udelukkende er en oversigt over aktive brugere.

Tjek om din hjemmeside er i farezonen

Det er meget enkelt at undersøge, om din hjemmeside er i farezonen for at offentliggøre brugernavne. Du indtaster blot denne URL i din webbrowser:

domæne.dk/wp-json/wp/v2/users

(Udskift domæne.dk med dit eget domæne navn)

Vises en liste over aktive brugere, har du behov for en løsning, der kan lukke dette læk. Der findes to nemme og simple løsninger. Det ene er et plugin, der installeres i WordPress, og det andet er en manuel ændring i din .htaccess.

WordPress plugin der kan hjælpe

Hent det WordPress plugin, der hedder Wordfence Security. Det er ét af de bedste sikkerhedsplugin, der er tilgængelig for WordPress hjemmesider. For det første skjuler dette plugin dine personfølsomme oplysninger i form af brugernavnet, så uvedkommende få en meddelelser med nægtet adgang, når de forsøger at få adgang til listen over bruger.

Derudover kan du også med Wordfence få en samlet oversigt over, hvilke IP-adresser, der tidligere har forsøgt at tilgå din hjemmeside, og hvilke lande de befinder sig i. Dermed får du en idé om, om du muligvis tidligere har været udsat for mislykkede forsøg på hacking.

Når du har installeret Wordfence Security, kan du tjekke, om ændringen har den ønskede effekt.  Når du forsøger at tilgå din hjemmeside efterfulgt af /wp-json/wp/v2/users, er alt, som det skal være, og uvedkommende kan ikke se dine brugeroplysninger, hvis du får en meddelelse om at der er nægtet adgang.

De sociale medier afslører kodeord

Langt de fleste tænker ikke over brugernavnets vigtighed, da det er kodeordet, der er personligt. Hackere kan dog i dag rigtig meget. De kan f.eks. finde frem til dit fulde navn ud fra din hjemmeside, og via de sociale medier kan de finde rigtig mange personlige oplysninger om dig. Det behøver man faktisk ikke at være hacker for at kunne. Herefter er det bare at prøve fra en ende af; din fødselsdag, dit mellemnavn, din e-mail, dit navn sat sammen med din fødselsdag, navne på dit dyr, dit barn eller din mand, osv.

Er du én af de rigtig smarte, der ikke bruger noget personligt som kodeord, men en mere eller mindre tilfældig sammensat kode? Så er du helt sikkert bedre stillet. Du er dog langt fra sikker på at undgå hacking. Der findes i dag algoritmer, der prøver koder af i en uendelighed, indtil de rammer den rigtige kombination. Det gøres nemt lige præcis med WordPress, da der ikke er et loft for, hvor mange gange, man må taste in kode forkert. Det er altså tilladt at forsøge, indtil der rammes rigtigt.

Andre gode råd om IT-sikkerhed

Hackere er eksperter på deres områder, og uanset hvor mange forholdsregler, du tager, vil der altid være en større eller mindre risiko for, at udefrakommende forvolder skade på dit system. Du kan ikke se dig helt fri for risikoen, men hvis du følger disse to forholdsregler, vil du være langt bedre stillet:

  • Tag jævnlige backups
  • Hold systemet opdateret

Backups sikrer dig imod ødelæggende software, og opdateringer sørger for at opdagede sikkerhedshuller bliver lukket.