Inställningar för Ithemes Security Pro

Jag tar säkerhet på största allvar när det gäller webbplatser och WordPress. Därför använder jag ett plugin som heter Ithemes Security Pro. Den kostar 80 USD per år. Det finns även en gratisversion som räcker väldigt långt. Men som kund hos mig ingår alltid Pro-versionen utan extra kostnad.

Så här ställer jag in Ithemes Security

Det finns mängder av inställningar i denna plugin och vet man inte vad man gör så kan det toka till sig rejält. Men håller man sig till några grundläggande inställningar så kommer man långt, och inget kan gå fel. Vi går igenom gränssnittet del för del.

SECURITY CHECK

Kör en kontroll av din installation och gör grundläggande inställningar automatiskt. Du kan gott köra den, men var medveten om att den gör några inställningar som du kanske inte vill ha, som Two-factor Authentication. Mer om det nedan!

GLOBAL SETTINGS

  • Kryssa i Allow iThemes Security to write to wp-config.php and .htaccess.
  • Fyll i den epostadress som du vill har säkerhetsvarningar och -meddelanden till.
  • Kryssa i Send Digest Email, annars finns risk att du blir fullständigt bombarderad av varningar i perioder. Om en robot försöker hacka din hemsida så kan den göra mängder av inloggningsförsök. Har du följt den här guiden kommer den inte att lyckas, därför är det inte heller relevant att få en varning i eposten för varje enskilt försök. Första gångerna kanske du blir orolig, men till slut blir det bara “ropa varg i skogen”, och du kommer missa meddelanden som faktiskt är viktiga. Så kryssa i den här rutan!
  • Skrolla ner en bit och kryssa i Enable Blacklist Repeat Offender.

404 DETECTION

Tryck på Enable och behåll standardinställningarna.

AWAY MODE

Den kan du strunta i. 

BANNED USERS

LOCAL BRUTE FORCE PROTECTION

Här behöver du bara kryssa i rutan längst ner och blockera alla inloggningsförsök med användarnamnet “admin”. OBS! Försäkra dig först om att det inte finns någon “admin” på din sajt. Om det finns en sån kommer den inte längre att kunna logga in.

Varför är detta viktigt? Jo, för att när man installerar WordPress så föreslås “admin” som användarnamn automatiskt. Om du inte ändrar detta så har du gett hackare halva din inloggning “gratis”. Nu behöver de bara lösenordet. Utan “admin” blir det svårare för hackarna.

DATABASE BACKUPS

Det här kan du strunta i, eftersom du har ett dedikerat backup-plugin installerat (för det har du väl?). Jag använder Backupbuddy (också från Ithemes), men tycker det strular ibland. Det kostar en slant också. Mest populärt är UpdraftPlus, som dessutom är gratis.

FILE CHANGE DETECTION

Den kan du strunta i. 

FILE PERMISSIONS

Visar helt enkelt dina skrivrättigheter. Inga inställningar kan göras här.

STRONG PASSWORD ENFORCEMENT

Rekommenderas.

SYSTEM TWEAKS

Den här är lite knepig. Jag brukar kryssa i följande:

  • Disable Directory Browsing
  • Filter Request Methods
  • Filter Suspicious Query Strings in the URL
  • Filter Long URL Strings
  • Disable PHP in Uploads

Dock kryssar jag alltid i dem en efter en, sparar och testar så att sajten verkar fungera som den ska. Det kan uppstå störningar med vissa plugins. Man får prova sig fram. Oftast går det dock utan problem!

WORDPRESS TWEAKS

Här är det precis som med System Tweaks, att man får prova sig fram. Kryssa i en , spara och testa att ingenting verkar konstigt. Oftast är det inga problem, dock.

Följande brukar jag kryssa i:

  • Remove the Windows Live Writer header
  • Remove the RSD header
  • Reduce Comment Spam
  • Disable File Editor

Under XML-RPC väljer du Disable, såvida du inte använder Jetpack, WordPress mobil app eller pingbacks.

Skrolla sedan ner till botten och kryssa i de två sista: Disables a user’s author page if their post count is 0 och Alter target=”_blank” links to protect against tabnapping.

MALWARE SCAN SCHEDULING

Daglig scanning efter skadlig programvara är definitivt något vi tackar ja till. Se till att trycka på Enable och ställ sedan in till vilken epostadress du vill ha meddelanden om/när något skräp hittas.

PRIVILEGE ESCALATION
PASSWORD EXPIRATION

De kan du strunta i.

reCAPTCHA

Här kan du ställa in så att alla som loggar in eller kommenterar måste kryssa i “I’m not a robot”. Detta rekommenderas varmt, såvida du inte har tvåstegsauktorisering aktiverat (vi kommer till det strax). För att reCAPTCHA ska fungera behöver du hämta gratis nycklar från Google.

SETTINGS IMPORT AND EXPORT

Väldigt fiffig funktion som låter dig exportera inställningarna i Ithemes Security från en hemsida och importera dem på en annan. Smidigt, inte minst som det är en hel del inställningar att göra. DOCK, det är sällan jag har helt identiska inställningar på två webbplatser, så oftast brukar jag ändå gå igenom punkt för punkt på varje ny sajt. Det tar ändå inte många minuter.

TWO-FACTOR AUTHENTICATION

Tvåstegsauktorisering. Med detta aktiverat måste alla användare, förutom användarnamn och lösenord, ange en hemlig kod varje gång de loggar in. Koden är unik för varje inloggning och skickas per mejl eller till en särskild auktoriseringsapp i mobilen. Detta kan låta krångligt, men fungerar faktiskt riktigt smidigt. Och tveklöst gör det sajten säkrare. Jag rekommenderar absolut att du använder detta eller reCAPTCHA.

USER LOGGING

Kan du strunta i.

VERSION MANAGEMENT

Här har du möjlighet att kryssa i så att WordPress, plugins och tema uppdateras automatisk. Smidigt. Men var försiktig. Ibland händer det att en buggig uppdatering släpps och att det uppstår konflikter. Den risken finns å andra sidan även när man uppdaterar manuellt, så… tja, valet är ditt. Jag uppdaterar oftast plugins manuellt, medan WordPress och teman gärna får uppdateras automatiskt.

Notera att vid större WordPress-releaser kommer du förmodligen ändå behöva uppdatera manuellt.

HIDE BACKEND

För att hitta den här och kommande inställningar måste du skrolla upp högst upp i Ithemes Security och klicka där det står Advanced (6).

För att logga in i WordPress går man till webadress.com/wp-admin. Det är samma för alla WordPress-sajter. Om man ändrar detta till något annat, så blir det ytterligare lite svårare för den med onda avsikter att ta sig in. En god idé!

Ställ in enligt följande:

Där jag skrivit “aologin” är alltså där du anger vad du vill använda i stället för “wp-admin” när du loggar in. Välj något smart som du kommer ihåg. Men använd inte webbplatsens namn eller ett användarnamn. Så fort du tryckt spara kommer du inte längre att kunna gå till “dinhemsida.se/wp-admin” för att logga in.

SUMMA SUMMARUM

And there you have it. Gör inställningarna ovan och din hemsida kommer att vara om inte som ett fort, så i alla fall näst intill.

Anders Olofsson
070-3141489
anders@anderso.se

Just det, jag gör musik också!