Vi tar säkerheten på största allvar här på Kinsta och det är därför vi erbjuder tvåfaktorsautentisering för alla våra host-klienter. Ingenting vore värre än att nån kapar tillgången till alla dina webbplatser! Den här funktionen finns i MyKinsta’s instrumentpanel och vi rekommenderar alla att dra nytta av den. Idag kommer vi att fördjupa oss i varför WordPress tvåfaktorsautentisering är viktigt, hur vår 2FA-funktion fungerar och visa ett bra och kostnadsfritt sätt att själv ställa in tvåfaktorsautentisering för din WordPress-webbplats.

Varför tvåfaktorsautentisering är viktigt

Jämfört med de bästa CMS-plattformarna som Joomla!, Drupal och Magento; har WordPress över 62.5% mer av marknadsandelen. Denna popularitet, leder dessvärre till fler attacker. Det går inte riktigt att säga att en viss plattform är säkrare än den andra. Främst inträffar attacker på grund av den stora volymen av webbplatser där ute.

En annan anledning är att webbplatsägare inte riktigt fått den kunskap som krävs om säkerhet. WordPress har alltid varit häftigt på grund av det faktum att nästan vem som helst kan bli en användare. Detta innebär ju tyvärr även att det finns en hel del nybörjare som lämnar bakdörrar vidöppna genom att exempelvis inte patcha, inte låsa fast uppgifter med rätt behörigheter osv.

WordFence lät ett stort antal webbplatsägare på wordpress genomföra en undersökning år 2016 och bad dem svara på följande fråga: ”Om du vet hur din webbplats komprometterades beskriv då hur angriparna fick tillgång till informationen.” 61,5% svarade att de inte visste hur angriparen äventyrat deras hemsida.

De körde även en annan undersökning för att se vad angripare gör när de äventyrar WordPress webbplatser. Som du kan se, tas 25% vanligtvis offline eller vanställs. Detta är förmodligen en av de värsta sakerna som kan hända om du driver ett företag med hjälp av WordPress. Det är därför du bör vidta säkerhetsåtgärderna före, inte efter.

Vad WordPress-angripare gör
Vad WordPress-angripare gör

Det finns många sätt för att göra en webbplats säkrare på wordpress. En enkel lösning är att ändra din inloggningsadress. Detta kommer omedelbart att slå ner mängder av misslyckade inloggningsförsök från bots och skript som ständigt skannar webben efter en väg in. Men en av de viktigaste sakerna är att helt enkelt välja ett komplext lösenord.

Låter detta lätt? Tja, kolla in SplashDatas årliga lista över de mest populära lösenorden som stulits under hela året (sorterade i popularitetsordning).

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

Det stämmer! Det mest populära lösenordet är ”123456”, följt av det häpnadsväckande ”password”. Det är en anledning till varför vi på Kinsta faktiskt tvingar fram ett komplext lösenord på nya wordpress-installationer som ska användas för din wp-admin inloggning (som visas nedan på vår en-klicks installationsprocess).

Tvinga fram en säker lösenords-generering
Tvinga fram en säker lösenords-generering

Hög säkerhet kräver att man bygger från grunden. Google har några bra rekommendationer om hur du kan välja ett starkt lösenord. Och en av deras rekommendationer är att möjliggöra tvåfaktorsautentisering.

Tvåfaktorsautentisering innebär en 2-stegsprocess där du inte bara behöver ditt lösenord för att logga in utan även en annan metod. Det är för det mesta ett sms, ett telefonsamtal eller ett tidsbaserat engångslösenord (TOTP). I de flesta fall är detta 100% effektivt för att förhindra attacker på din WordPress-webbplats. Anledningen till detta är att det är nästan omöjligt för angriparen att ha både ditt lösenord och din mobiltelefon.

Kolla in mer nedan om hur du aktiverar WordPress tvåfaktorsautentisering.

Kinsta tvåfaktorsautentisering

Här på Kinsta tar vi användarsäkerheten på största allvar. För att hjälpa våra kunder att skydda sina MyKinsta-konton och WordPress-webbplatser erbjuder vi Authenticator-baserad 2FA-support.

Jämfört med den traditionella SMS-baserade 2FA-metoden som skickar inloggningskoder via sms använder vår Authenticator-baserade metod dynamiskt genererade koder i Google Authenticator, 1Password och andra 2FA-appar. Detta innebär att din 2FA-konfiguration är skyddad mot grundläggande säkerhetsattacker som SIM-byte.

Vi rekommenderar att du aktiverar 2FA för alla dina Internet-tjänster som stöder detta. För att aktivera tvåfaktorsautentisering i MyKinsta, kan du kolla in vår kunskapsbas-artikel.

Aktivera WordPress tvåfaktorsautentisering

Nu när du har din instrumentpanel på Kinsta säkrad, kan du även aktivera WordPress tvåfaktorsautentisering på din webbplats. Vi rekommenderar ett av följande två plugins.

Tvåfaktorsautentisering

WordPress-plugin:et för Two Factor Authentication är utvecklat av skaparen av UpdraftPlus, det populära backup plugin:et. Detta plugin stöder vanliga TOTP + HOTP-protokoll (Google Authenticator, Authy och många andra). Det finns både en kostnadsfri version och en premium version.

Two Factor Authentication WordPress-plugin
Two Factor Authentication WordPress-plugin

Det har för närvarande installerats över 10.000 gånger med betyget 4,5 av 5 stjärnor och innehåller följande:

  • Grafiska QR-koder för enkel mobil-skanning
  • Inkluderar stöd för WooCommerce och Affiliates-WP inloggningsformulär
  • WordPress Multiside kompatibel (plugin:et bör vara nätverksaktiverat)
  • Nödkoder och premiumlayouter (premiumversion)

Google Authenticator

Om du letar efter en helt kostnadsfri lösning, fungerar Google Authenticator WordPress plugin bra. Det betyder dock att du kommer att hoppa mellan två olika appar. Du kan bestämma vilken som är den mest tids-effektiva för den miljö du rör dig i. Om du vill hålla dig till en app kan det vara bra att uppgradera till startplanen. Vi kommer att använda den kostnadsfria versionen av Google Authenticator i detta exempel.

Google Authenticator’s plugin har 30.000 + aktiva installationer med ett betyg på 4,5 av 5 stjärnor. Det är helt kostnadsfritt och du kan ställa in det för ett obegränsat antal användare. De flesta av de andra auth-plugin:en där ute har begränsningar om du inte uppgraderar till en betald plan. Du kan ladda ner Google Authenticator’s plugin från WordPress arkivet eller genom att söka efter detta i din instrumentpanel på WordPress under ”Lägg till nya” plugins.

När installationen är klar kan du klicka på din användarprofil, markera den som aktiv och skapa en ny hemlig nyckel eller skanna QR-koden.

Inställningar för Google Authenticator
Inställningar för Google Authenticator

Du kan sedan använda en av de kostnadsfria Authenticator-apparna på telefonen:

När du har aktiverat detta kommer det nu att krävas att du skriver in ditt vanliga lösenord för att logga in plus koden från Google Authenticator app på telefonen. Du kommer att märka att det kommer upp ytterligare ett fält som nu visas på din inloggnings-sida på WordPress. Dessutom är detta plugin helt kompatibelt med plugin som vi rekommenderade tidigare för att ändra din inloggningsadress på WordPress.

Google Authenticator WordPress-inloggning
Google Authenticator WordPress-inloggning

Och det är allt! Du har nu tvåfaktorsautentisering på ditt Kinsta-konto och på din WordPress-webbplats.

Sammanfattning

Vi är glada över att kunna erbjuda tvåfaktorsautentisering till Kinsta’s kunder, eftersom detta har varit en av våra mest efterfrågade funktioner. Att göra dina WordPress-webbplatser säkra blev plötsligt lite enklare! Se till att kolla in vår mer avancerade guide om WordPress-säkerhet för att se hur man verkligen kan säkra sin webbplats.

Har du några frågor om hur WordPress tvåfaktorsautentisering fungerar? Lämna gärna en kommentar nedan eller hör av dig till vår support via MyKinsta’s instrumentpanel.

QR Code är ett registrerat varumärke som tillhör DENSO WAVE INCORPORATED som finns i USA och andra länder.

 

Brian Jackson

Brian har stor passion för WordPress och har använt det i över ett årtionde, han har till och med utvecklat ett par premium-plugins. Brian gillar att blogga, kolla filmer och hiking. Ta kontakt med Brian via Twitter.