Gode brugernavne til din WordPress-konto

I dette blog-indlæg vil jeg komme med et par ubehagelige facts, som du hellere må forholde dig til, hvis du vil undgå kedelige overraskelser, som eksempelvis når din side er blevet deface’d eller du pludselig er blevet indehaver af en webshop der sælger kinesiske kopier af mærkevare. Gode passwords og brugernavne er altafgørende for sikkerheden på dit site, så hér må du ikke sjuske.

Fact nr 1: Folk forsøger at hacke dit site netop nu

Okay, helt så galt er det måske ikke, men når vi i Online Solution Group slår firewall’en fra af den ene eller den anden årsag, har vi i omegnen af 50 forsøg i løbet af et døgn. Det var altså halvtreds hacker-angreb i døgnet. På et site af vores størrelse. Og når det går rigtigt festligt for sig, har vi over 15000 login-forsøg i døgnet. Derfor er en af de helt grundlæggende ‘dogmer’ i vores firma, at passwords og brugernavne skal være i orden, dvs. skal kunne holde til at angribere gætter løs. Længere nede får du et eksempel på, hvordan et brugernavn og password kunne se ud. Brug sammenlign dine egne brugernavn og passwords med dette. Hvis du mener at dine er væsentligt ringere end dette, kan du godt begynde at bide negle 😉

Selvsagt holder vi firewall’en aktiveret så meget af tiden som muligt for på den måde at holde så mange ubudne gæster fra livet som muligt. Men dem der alligevel slipper igennem, skal først ud i en større gætte-operation, inden de for adgang, så sikkerheden er (mindst) 2-laget.

Vi ingen relationer til folk uden for Europa, så der er lukket for ganske mange IP-adresser. Det tynder gevaldigt ud i angrebenes antal. De fleste angreb kommer fra Rusland, Hviderusland, Argentina og Frankrig (?) og dermed er antallet af login-forsøg blevet reduceret gevaldigt, inden gætteriet overhovedet starter.

Fact nr 2: Hvis hackerne er professionelle, har du et problem

Faktisk har du et meget stort problem, men hvis du som vi har et site der giver de store muligheder for at kapitaliserer på misbrug, er sandsynligheden ikke så stor for at du får de virkeligt grimme drenge (og piger) på nakken. Til gengæld har du med sikkerhed besøg af mange bots der forsøger at gætte dit password og brugernavn. Og hvis du ikke mener det er tilfældet, er det fordi du ikke ser ordentligt efter!

De fleste hacker-angreb er heldigvis udført af amatøre eller politiske tosser, der mener at din side skal være talerør for deres forskruede holdninger. Jeg skriver heldigvis, fordi du har gode chancer for at forsvare dig mod deres angreb på dit site. Første bastion er din firewall, den næste er brugernavn og password. Med en masse computer-muskler, f.eks. i form af et botnet, kan angriberne hurtigt få adgang til dit site, hvis du har sjusket.

Fact nr 3: Det er kun de absolutte amatører der udfører et manuelt angreb

Med manuelt angreb mener jeg at hackeren har udvalgt sig dit site og nu sidder og forsøger sig med at taste forskellige brugernavne og kodeord ind. Oftest vil dit site være dukket op i en søgemaskine søgning og en bot sat til at forsøge sig med forskellige angrebsmetoder (angrebsvektorer).

Denne type angreb er af så lav ‘farlighed’, at hvis du har brugt bare lidt energi på brugernavn/password, er det faktisk sikrere at have hackeren til at forsøge sig frem manuelt – så véd vi da hvor vi har ham (/hende) 😉

Det var den gode nyhed. Den dårlige er, at ingen laver manuelle angreb… Det vil formodentligt altid være et botnet, der angriber dit site, hvilket vil sige at du har tusindvis af koordinerede computere på nakken og de bliver ved, til de har været hele listen af passwords/brugernavne igennem. Typisk vil botnettet forsøge sig med ét brugernavn – ofte dit domænenavn, din email løftet fra siden, din navn, emailbrugernavnet eller tilsvarende og så forsøge sig med de mest anvendte passwords.

Fact nr 4: Angriberen skal kende både brugernavn og kodeord for at få adgang til dit site

Det er en sandhed med modifikationer, men hvis der er tale om et ‘brute-force’ angreb, er det nødvendigt at have kendskab til, eller kunne gætte sig til, brugernavn og kodeord.

Det er hér, det gode brugernavn der er dette indlægs emner kommer ind i billedet. Se evt. billedet af en hackers forsøg på at gætte (mit) brugernavn og gæt så, hvilke brugernavne jeg aldrig kunne finde på at bruge…

Det er vigtigt at du aldrig bruger indlysende navn til din administrator-konto. Admin, Webmaster, Mistress (som jeg af andre grunde formodentligt heller ikke vil vælge) og lignende bør være bandlyst! Et godt navn relaterer sig ikke til din rolle på sitet (admin, administrator etc), den relaterer sig ikke til dit køn, din aldre, dit fødselsår, din hunds navn, din partners navn, dit …  Begynder du at se hvor jeg vil hen? Det må ikke være muligt at finde dit brugernavn på dit site, på din Facebook-side, din LinkedIn-side etc. Faktisk… skal dit brugernavn være lige så svært at gætte, som dit password.

Her er et eksempel på, hvordan mit Administrator brugernavn og kodeord kunne se ud:

User: FjsDtchTX7kc

Password: Vw)y8HI)ake9mg(

Det er jævnt svært at gætte, tror du ikke? Mit råd er derfor: brug et tilfældigt sammensat brugernavn og kodeord og skriv det ned et sikkert sted (en lap papir i din pung er et udemærket sted at gemme det, blot du ikke skriver hvor oplysninger skal bruges).

Eksempler på brugernavne

Eksempler på ‘Brute-force’ angreb på brugernavnet

Fact nr 5: WordPress er lidt for hjælpsom

WordPress er systemet hvor selv de glade amatører kan være med og lave en blog eller hjemmeside der ser godt ud. Men bagsiden af systemets forsøg på at gemme kompleksiteten (og WordPress er et meget komplekst system, tag ikke fejl af det!) er, at angribere nogen gange får nogle informationer forærende, som de ikke skulle have haft. Kig på billede igen og læg mærke til, at samme brugernavn kun bliver forsøgt én gang.

WordPress har som standard en funktion der fortæller, hvis du har forsøgt at logge ind med et brugernavn der ikke findes. Meget betænktsomt, men det hjælper angriberen i hans angrebsvektor. Hvor han ellers skulle have kendt både brugernavn og kodeord, kan han nu koncentrerer sig om at finde brugernavnet først, ved at forsøge sig med en liste over de mest almindelige (og uanvendelige) brugernavne. Når WordPress fortæller at kodeordet er forkert, véd han at han har fundet et eksisterende brugernavn og kan herefter kaste sig over at forsøge sig med en liste de mest almindelige kodeord.

Løsningen på dette problem er to-sidig:

  1. Sørg for at dit brugernavn ikke kan gættes
  2. Installér et plugin der forhindrer WordPress i fortælle om det er brugernavnet eller kodeordet der er fejl i. Se evt. note i sidebar’en

Konklusion

Brug aldrig passwords der kan gættes eller som er sårbar over for leksikale angreb (dvs. ord (f.eks. hestevogn) og ordsammenstillinger (f.eks. hestevognshjul) der kan findes i ordbogen). Brug aldrig datoer, kæledyrsnavne, tastatursekvenser (cde34rfv – tast selv på keyboardet, så véd du, hvad jeg mener).

Genbrug aldrig password og helst heller ikke brugernavn på andre sites. Brugernavn kan være svær at komme udenom, da mange sites bruger email-adressen som brugernavn, men du kan snyde mange af disse sites. Se faktaboksen nederst på siden for at læse, hvordan du gør.

Det kan være svært at huske alle de forskellige brugernavne og passwords, men det er et problem du må løse på anden vis. Aldrig! ved at genbruge passwords!(!) Der findes mange gode password-huskere, så prøv dig lidt frem, læs lidt på nettet og vælg så en, der lever op til dine krav.

Brug sikkerhedssoftware til at fange forsøg på at gætte passwords. Vi bruger WordFence (premium), men den gratis version har mange fine funktioner. Igen: jeg er ikke meget for at komme med anbefalinger om, hvilke software du skal bruge og ikke bruge, men jeg vil dog vove pelsen og sige at du ikke er ringere stillet med WordFence end uden (det var vist meget jysk formuleret 😉 )

Sidst men ikke mindst – og i direkte modstrid med, hvad man typisk læser på nettet: Stol ikke for meget på din ‘sunde fornuft’. Du skal naturligvis lade være med at gøre indlysende dumme ting, men selv om f.eks. en handling forekommer at være sikker, er den det ikke nødvendigvis. Derfor skal du, når talen falder på sikkerhed, udelukkende holde dig til handlinger og procedurer du ved er sikre, eller som personer der har en vis myndighed angiver som værende sikre.

Og husk så lige at tage en backup af det hele, ikk’? Bare for en sikkerheds skyld.

Faktaboks: Snyd med email-brugernavnet

Tilføj tilfældighed til din email-adresse

Ved at tilføje ‘+’ og en tilfældig tekst, f.eks. ‘abcd’ efter brugernavnet i email-adressen kan du snyde mange sites der bruger email som brugernavn.

Hvis din email f.eks. er [email protected] kan du ændrer den til [email protected] Dette virker, fordi mange mailservere ignorerer hvad der står efter ‘+’ i brugernavnet (og brugernavnet, for lige at slå det helt fast, i eksemplet er john.doe). Derfor vil mailserveren opfatte [email protected] og [email protected] som værende den samme adresse.

Dette trick virker ofte, om end ikke altid. Hvis du ikke kan komme uden om at bruge din email-adresse som brugernavn, må du derfor sørge for at dit password er ekstra stærkt og, som skrevet i artiklen, ikke bliver brugt på andre sites.

Ordliste

I den ovenstående tekst slynger jeg rask væk en masse tekniske termer ud, som du måske ikke er bekendt med. I listen herunder har jeg givet en kort forklaring på hvad termerne betyder. Du er naturligvis velkommen til at skrive en kommentar, hvis du mangler en forklaring i listen.

Angrebsvektor

Et hackerangreb er ikke en enkeltstående handling, men en serie af handlinger der har til formål at gøre indtrængning i dit system muligt. Angrebsvektor dækker over en sådan sekvens af handlinger.

Brute-force

Angriberen bruger ‘rå muskelkraft’ i form af mange computer-ressourcer på at forsøge at trænge ind i et system. I denne artikel dækker brute-force over at angriberen gætter brugernavne i stedet for at forsøge lokke brugernavnet ud af dig (ved f.eks. at ringe til dig og foregive at være fra din webhotelleverandør og bede om adgang til dit system “fordi det er ved at blive hacket”.
Defaced
Når det oprindelige indhold er blevet skiftet ud med mere eller mindre lødige beskeder, oftest af politisk karakter.

Firewall
Enhed, software- eller hardware-baseret, der skal forhindrer visse typer trafik i at komme ind i dit site. I denne artikel er omtalt IP-blokering, der skal forhindrer at visse IP-adresser i at få adgang til vores site.

Hacking
Der er stadig en del debat (nogle vil måske kalde det for slagsmål) om, angreb på websites er hacking eller crakcing. I denne artikel kalder jeg angrebet for hacking og angriberen for hacker, men man kunne argumentere for at der er tale om cracking og at angriberen er cracker.

IP-adresse
Internet Protokol adresse. Unik adresse for alle enheder der er koblet til Internettet og som bruges som afsender og modtager af pakkerne der bliver sendt.