Akut hacket?Få hjælp nu· Svar inden for 4 timer ·+45 41 57 79 98
WP-Sikkerhed
Hærdning

Beskyt wp-admin mod brute force: sådan gør du din login-side umulig at knække

·5 min læsning·Mads Holst Jensen

Hvis du nogensinde har set i en log, hvor mange gange nogen forsøger at logge ind på dit WordPress, bliver du overrasket: selv et lille, ukendt site rammes ofte af hundredvis af login-forsøg om dagen. Det er ikke personligt — det er automatiske bots, der prøver kodeord på stribe. Den gode nyhed er, at brute force er nemt at gøre nyttesløst, når du sætter de rigtige spærringer op.

Er du allerede låst ude eller er der dukket ukendte admins op? Så er gættet måske lykkedes. Få akut hjælp — svar inden for 4 timer.

Hvad et brute force-angreb er, og hvorfor wp-admin er målet

Et brute force-angreb er, når en bot systematisk gætter brugernavn og kodeord, indtil noget passer. WordPress er et oplagt mål af to grunde: login-siden ligger altid på den samme forudsigelige adresse (/wp-login.php eller /wp-admin), og rigtig mange installationer bruger stadig brugernavnet admin med et svagt kodeord.

Angriberen behøver ikke at være dygtig — bare tålmodig og automatiseret. Derfor handler forsvaret ikke om at være klogere end angriberen, men om at gøre gættearbejdet upraktisk: enten ved at begrænse antallet af forsøg eller ved at skjule selve døren.

Begræns login-forsøg — den vigtigste spærring

Som standard tillader WordPress uendeligt mange login-forsøg. Det er gave til en brute force-bot. Den vigtigste enkeltforanstaltning er derfor at begrænse antallet af fejlslagne forsøg og blokere IP-adressen midlertidigt derefter.

De fleste sikkerhedsplugins kan det indbygget — fx Solid Security, Wordfence eller det lille fokuserede Limit Login Attempts Reloaded. Typisk opsætning:

  • Bloker en IP efter fx 3-5 fejlslagne forsøg.
  • Forlæng spærretiden ved gentagne forsøg fra samme IP.
  • Send dig en besked ved gentagne angreb, så du opdager mønstre.

Med en grænse på plads går et angreb fra "tusindvis af gæt i timen" til "tre gæt og så lukket". Det alene gør brute force næsten håbløst.

Skjul eller flyt login-siden

Bots leder efter den kendte adresse. Flytter du login-siden til en hemmelig sti — fx ditdomæne.dk/min-hemmelige-login — finder de automatiske angreb den simpelthen ikke og rammer i stedet en 404-side.

Plugins som WPS Hide Login eller funktionen i Solid Security gør det med få klik. Det er ikke et fuldgyldigt forsvar i sig selv (en målrettet angriber kan stadig finde stien), men kombineret med begrænsede login-forsøg fjerner det størstedelen af den automatiske støj. Husk at gemme den nye adresse et sikkert sted, så du ikke låser dig selv ude.

Stærke, unikke adgangskoder og drop brugernavnet "admin"

Selv den bedste spærring er spild, hvis kodeordet kan gættes på få forsøg. To regler:

  • Brug lange, unikke adgangskoder til alle konti — gerne genereret og gemt i en adgangskode-manager. Genbrug aldrig et kodeord på tværs af tjenester.
  • Undgå forudsigelige brugernavne som admin, administrator eller dit domænenavn. Opret en ny administrator med et andet brugernavn, og slet admin-kontoen.
# Opret en ny admin og slet den gamle "admin"-konto bagefter
wp user create nytnavn du@dineemail.dk --role=administrator

Et stærkt kodeord plus et uforudsigeligt brugernavn betyder, at angriberen skal gætte to ukendte i stedet for én — mens spærringen lukker dem ude længe inden.

Vil du have login-fladen lukket helt af én gang? Jeg sætter begrænsede login-forsøg, skjult login og tofaktor op for dig — fast pris fra 2.500 kr.

Bloker xmlrpc.php hvis du ikke bruger det

Mange glemmer, at brute force ikke kun rammer login-siden. Filen xmlrpc.php er en gammel WordPress-grænseflade, der kan misbruges til både brute force og overbelastningsangreb — og den kan teste mange kodeord i ét enkelt kald, hvilket omgår almindelige login-grænser.

Bruger du ikke Jetpack, en mobilapp eller en tjeneste, der kræver det, kan du roligt blokere adgangen. Mange sikkerhedsplugins har et enkelt flueben til det, eller du kan blokere den på serverniveau. Det lukker en angrebsflade, de fleste sites slet ikke har brug for.

Læg en firewall foran login

Det sidste lag er en firewall (WAF), der filtrerer ondsindet trafik, før den overhovedet rammer WordPress. En WAF kan genkende og blokere kendte brute force-mønstre og dårlige bots på netværksniveau — fx via Cloudflare eller dit sikkerhedsplugin. Det aflaster din server og stopper angrebene tidligere i kæden. Hvad en WAF er, og hvordan den passer ind, kan du læse i WordPress firewall (WAF) forklaret.

Login-beskyttelse er ét lag i en større helhed

At hærde login lukker den hyppigste dør, men det er stadig kun ét lag. Et sårbart plugin eller en manglende opdatering kan lukke angriberen ind helt uden om login. Se derfor login-hærdning som en del af hele billedet i WordPress sikkerhed: 12 ting du SKAL gøre, og slå tofaktor-godkendelse til som det stærke supplement, der gør selv et gættet kodeord værdiløst.

Få wp-admin sikret professionelt

De enkelte spærringer er ikke svære, men sat forkert op kan de enten lade huller stå åbne eller låse dig selv ude. Vil du være sikker på, at login-fladen er lukket korrekt — begrænsede forsøg, skjult login, blokeret xmlrpc, tofaktor og en firewall foran — så sætter jeg det hele op for dig og tester, at du stadig kan komme ind. Fast pris, aftalt på forhånd.

Læs også

Hærdning

Sikker WordPress-hosting: hvad du skal kigge efter (og undgå)

Din hosting er fundamentet under hele sitets sikkerhed — vælger du forkert, kan selv det bedste setup blive hacket. Lær hvad sikker WordPress-hosting kræver: kontoisolering, automatiske opdateringer, backups, malware-scanning og hvorfor billig oversolgt hosting er en risiko i sig selv.

Hærdning

Tofaktor-godkendelse på WordPress: sådan stopper du 99 % af login-angrebene

Et stjålet kodeord er nok til at overtage dit WordPress — medmindre du har tofaktor-godkendelse (2FA). Lær hvad 2FA er, hvilke metoder der findes, hvordan du slår det til på alle administratorer, og hvordan du undgår at låse dig selv ude.

Hærdning

WordPress firewall (WAF) forklaret: hvad det er, hvordan det virker, og om du har brug for det

En WAF (Web Application Firewall) filtrerer ondsindet trafik, før den rammer dit WordPress. Lær forskellen på plugin-WAF og netværks-WAF som Cloudflare, hvad en firewall faktisk stopper — og hvad den ikke kan redde dig fra.

Ring nuFå akut hjælp