Om du inte har aktiverat 2FA på WordPress ännu, gör det nu
Säkerhetsfördelarna med att använda tvåfaktorautentisering (2FA) borde inte vara ett mysterium för någon nu. Ännu svagare former av 2FA gör att kompromissa med onlinekonton är mycket svårare för hackare, och tack och lov tycks fler och fler människor anta funktionen. Det finns naturligtvis en avvägning, och, som med många andra mekanismer som gör våra online-liv säkrare, kommer det i form av användbarhet. För många är tillhandahållande av ytterligare information under inloggningsprocessen helt enkelt för mycket arbete, varför de bara använder 2FA för sina mest värdefulla konton.
Ägaren till en enkel WordPress-blogg, till exempel, kanske tror att deras webbplats inte riktigt är viktig nog för att garantera 2FA. Om du konfronterar dem om det, kan de säga att deras webbplats inte presenterar ett livskraftigt mål för hackare. Det är inte sant.
Varför kan hackare vara intresserade av din WordPress-webbplats?
En av de bästa sakerna med WordPress är att den har en centraliserad, lättanvänd instrumentpanel genom vilken du kan styra en hel webbplats. Det stora utbudet av teman och plugins gör innehållshanteringssystemet extremt mångsidigt, varför nästan 36% av alla aktiva webbplatser i världen använder det.
Med andra ord finns det många mål, och det finns vissa faktorer som kan göra en attack relativt lätt. Till exempel vet alla som någonsin har arbetat med WordPress att standardwebbadressen för instrumentpanelen är [webbplatsens domän]/wp-admin/. Det finns ett sätt att ändra det, men de flesta administratörer bryr sig inte om det, vilket innebär att det enda som sitter mellan hackare och din WordPress-instrumentbräda är vanligtvis ditt lösenord. Det är ofta en svag barriär att bryta igenom, och om angriparna gör det kan de orsaka mycket skada.
Om de inte gillar innehållet du lägger upp av någon anledning kan de torka av hela webbplatsen, eller så kan de förstöra det och använda det för propaganda. Möjligheten att modifiera innehållet ger dem också chansen att vara värd för och distribuera skadlig programvara, som, även efter att du återfår kontrollen och säkra din WordPress-installation, kan ha långvariga effekter på webbplatsens SEO-prestanda. Om du har en databas full av registrerade användare kan deras personliga data också äventyras.
Som du ser finns det många argument för att skydda din WordPress-instrumentpanel med 2FA. Tyvärr är det inte så enkelt som du kanske tror att göra det.
WordPress och 2FA
WordPress stöder inte 2FA ur lådan. Trots det faktum att säkerhetsmekanismen har funnits ett tag nu, och trots de uppenbara fördelar det medför, har gemenskapen fortfarande inte lyckats med att implementera 2FA som standard.
Lyckligtvis erbjuder ett antal tredjeparts plugins 2FA-funktionalitet, och eftersom kärninstallationen inte stöder det kan du lika gärna titta på alternativen och välja den som passar dina behov bäst. Se till att du funderar på några saker.
Läs recensioner och kolla betyg för de olika insticksprogrammen. Innan du installerar någon av dem, säkerhetskopiera din webbplats och se till att du vet hur tillägget fungerar. Sist men inte minst, glöm inte att plugins i huvudsak är kodrader som kan (och ofta göra) säkerhetsbuggar. Att hålla dem uppdaterade och installera alla de senaste korrigeringarna är oerhört viktigt.
Om du inte redan har gjort det, kanske det inte är en dålig idé att tänka på din WordPress-webbplats totala säkerhet. Som vi nämnde redan har hackare mer än några orsaker till att angripa det, och det stora antalet hackinghändelser vi ser varje dag visar att de sällan behöver en andra inbjudan.