Akut hacket?Få hjælp nu· Svar inden for 4 timer ·+45 41 57 79 98
WP-Sikkerhed
Hærdning

Tofaktor-godkendelse på WordPress: sådan stopper du 99 % af login-angrebene

·5 min læsning·Mads Holst Jensen

De fleste WordPress-overtagelser begynder ikke med et avanceret angreb, men med et kodeord, der enten var for svagt eller var lækket et helt andet sted. Løsningen er enkel og næsten gratis: tofaktor-godkendelse. Det er den enkeltforanstaltning, der giver mest sikkerhed for mindst arbejde — og den jeg slår til på hver eneste admin-konto, jeg er ansvarlig for.

Er nogen allerede kommet ind på dit WordPress? Skift alle adgangskoder nu — og få hjælp, hvis du er låst ude eller ser ukendte admin-brugere. Få akut hjælp — svar inden for 4 timer.

Hvad tofaktor-godkendelse er — og hvorfor det virker

Tofaktor-godkendelse (2FA, "two-factor authentication") betyder, at login kræver to ting i stedet for én: noget du ved (dit kodeord) og noget du har (typisk din telefon). Selv hvis en angriber kender dit kodeord, kan vedkommende ikke logge ind uden den anden faktor.

Det er præcis derfor 2FA er så effektivt mod de to mest almindelige angreb:

  • Brute force — hvor bots gætter kodeord i tusindvis. Uden den anden faktor er et rigtigt gæt ikke nok.
  • Credential stuffing — hvor angriberen bruger kodeord, der er lækket fra andre tjenester. Genbruger du et kodeord, der allerede er på et datalæk, er 2FA det, der redder dig.

Et stjålet kodeord går fra at være en katastrofe til at være en ikke-hændelse.

De forskellige 2FA-metoder fra svagest til stærkest

Ikke alle anden-faktorer er lige stærke. Her er de almindelige, rangeret:

  • SMS-koder — bedre end ingenting, men den svageste metode. SMS kan opfanges (SIM-swapping), så brug det kun, hvis intet andet er muligt.
  • Authenticator-app (TOTP) — en app som Google Authenticator, Authy eller 1Password genererer en kode, der skifter hvert 30. sekund. Gratis, stærkt og det rigtige valg for de fleste.
  • Passkeys / sikkerhedsnøgler (WebAuthn/FIDO2) — en fysisk nøgle (fx YubiKey) eller en passkey på din enhed. Den stærkeste metode, praktisk talt immun over for phishing.

For langt de fleste danske sites er en authenticator-app den rette balance mellem sikkerhed og besvær.

Sådan slår du 2FA til på WordPress

Du behøver ikke et dyrt setup. De fleste sikkerhedsplugins har 2FA indbygget:

  1. Vælg et plugin med 2FA — fx Solid Security, Wordfence eller det fokuserede Two-Factor-plugin fra WordPress.org.
  2. Aktivér tofaktor under pluginnets sikkerhedsindstillinger, og vælg metoden authenticator-app (TOTP).
  3. Scan QR-koden med din authenticator-app på telefonen.
  4. Indtast den genererede kode for at bekræfte, at det virker.
  5. Gem dine backup-koder et sikkert sted (se næste afsnit).

Gør det først på din egen administrator-konto, og rul det derefter ud til alle andre admins.

Slå det til på ALLE administratorer — ikke kun dig selv

Her fejler mange: de sikrer deres egen konto og glemmer, at sitet har tre andre admin-brugere fra en tidligere udvikler, et bureau eller en kollega. En kæde er kun så stærk som sit svageste led — og en ubeskyttet admin-konto er en åben dør, uanset hvor godt du selv har sikret din egen.

Gennemgå brugerlisten og kræv 2FA på alle med administrator- eller redaktørrettigheder:

# List alle brugere med admin-rettigheder
wp user list --role=administrator --fields=ID,user_login,user_email

Mange plugins kan tvinge 2FA for bestemte roller, så nye admins ikke kan logge ind, før de har sat det op. Brug den indstilling — så bliver det ikke glemt.

Vil du have tofaktor og login-beskyttelse sat rigtigt op på hele sitet? Jeg konfigurerer det for dig og rydder gamle, ubrugte admin-konti op — fast pris fra 2.500 kr.

Backup-koder: undgå at låse dig selv ude

Den hyppigste grund til, at folk er bange for 2FA, er frygten for at miste adgangen, hvis telefonen bliver væk. Det er en reel bekymring — men nem at håndtere:

  • Gem dine backup-koder. Når du opsætter 2FA, får du en række engangskoder. Print dem, eller læg dem i din adgangskode-manager. De er din nødnøgle.
  • Hav en plan B. Sæt eventuelt 2FA op på to enheder, eller registrér en ekstra metode.
  • Kend nødudgangen via serveren. Har du SSH/FTP-adgang, kan en administrator altid deaktivere 2FA-pluginnet midlertidigt for at komme ind igen.

Med backup-koder på plads er der ingen god grund til at lade være.

2FA er ét lag — ikke hele beskyttelsen

Tofaktor lukker login-døren effektivt, men en angriber kan stadig komme ind ad et sårbart plugin eller en bagdør, der omgår login helt. Derfor er 2FA punkt to på listen, ikke det eneste punkt. Kombinér det med opdateringer, begrænsede login-forsøg og en firewall — hele rækken finder du i WordPress sikkerhed: 12 ting du SKAL gøre. Vil du specifikt gøre login-siden hård at angribe, så læs også hvordan du beskytter wp-admin mod brute force.

Få login-sikkerheden sat op én gang for alle

Tofaktor tager fem minutter at slå til på din egen konto — men en gennemtænkt opsætning på tværs af alle brugere, med tvungen 2FA pr. rolle, oprydning i gamle konti og en sikker nødadgang, er det, der gør forskellen i praksis. Vil du være sikker på, at hele login-fladen er lukket, så sætter jeg det op for dig: tofaktor på alle admins, begrænsede login-forsøg og skjult login-side. Fast pris, aftalt på forhånd.

Læs også

Hærdning

Beskyt wp-admin mod brute force: sådan gør du din login-side umulig at knække

wp-login.php er det mest angrebne sted på hele dit WordPress. Lær at stoppe brute force-angreb med begrænsede login-forsøg, skjult login-side, blokering af xmlrpc.php og stærke adgangskoder — så bottene render panden mod en mur.

Hærdning

Sikker WordPress-hosting: hvad du skal kigge efter (og undgå)

Din hosting er fundamentet under hele sitets sikkerhed — vælger du forkert, kan selv det bedste setup blive hacket. Lær hvad sikker WordPress-hosting kræver: kontoisolering, automatiske opdateringer, backups, malware-scanning og hvorfor billig oversolgt hosting er en risiko i sig selv.

Hærdning

WordPress firewall (WAF) forklaret: hvad det er, hvordan det virker, og om du har brug for det

En WAF (Web Application Firewall) filtrerer ondsindet trafik, før den rammer dit WordPress. Lær forskellen på plugin-WAF og netværks-WAF som Cloudflare, hvad en firewall faktisk stopper — og hvad den ikke kan redde dig fra.

Ring nuFå akut hjælp