I och med att vi använder LiteSpeed på våra webbhotellservrar kan du dra nytta av det bruteforce-skydd för WordPressinstallationer som finns inkluderat. Skyddet är påslaget som standard, men om du vill ändra hur skyddet beter sig eller om du vill vitlista ett IP-nummer beskriver vi hur nedan.
Bruteforce-attacker går oftast till som så att en illasinnad part försöker gissa sig fram till inloggningsuppgifterna för en site; och då WordPress är såpass vanligt att använda är denna plattform extra utsatt. Att då kunna dra nytta av ett skydd som är specialanpassat för WordPress är en stor fördel, framförallt med det faktum att WordPress saknar inbyggt bruteforce-skydd i bakhuvudet.
Hur bruteforce-skyddet fungerar
För att använda skyddet används ett kommando som läggs in i .htaccess-filen i mappen där man vill att skyddet ska vara aktivt (t.ex. i dokumentroten för en viss hemsida):
WordPressProtect [off|on|drop|deny|throttle, ] <limit>
Där finns några olika varianter att använda:
- off – stäng av bruteforce-skyddet helt.
- on – slå på skyddet, t.ex. om du stängt av det i en överordnad mapp.
- drop – om antalet tillåtna postningsförsök uppnåtts klipps anslutningen helt till servern.
- deny – om antalet tillåtna postningsförsök uppnåtts får den som försöker posta svarskoden 403 (forbidden).
- throttle – om antalet tillåtna postningsförsök uppnåtts laddas sidan fortfarande för den som försöker posta, men mycket långsamt. Detta är standardinställningen.
Värdet för <limit> kan ställas in på valfritt värde mellan 2 och 1000. Standardvärdet är 10. Värdet bestämmer hur många postningar som får göras från en viss IP-adress innan skyddet börjar arbeta. När halva värdet av <limit> uppnåtts begränsas laddningshastigheten på sidan en del, men inte lika mycket som när värdet uppnåtts och man har inställningen throttle vald.
När skyddet aktiveras blockeras eller begränsas trafiken på servernivå, alltså innan trafiken hinner nå själva WordPress-installationen. Detta gör att färre systemresurser behövs för att utföra begränsningen/blockeringen än om man exempelvis använder ett säkerhetsplugin för WordPress. Risken att dina övriga besökare påverkas negativt av ett aktiverat skydd är alltså minimal.
Vitlistning av IP-adresser
Det kan ibland hända att man inte vill att skyddet ska vara aktivt för förfrågningar som inkommer via vissa IP-adresser (till exempel om man sitter och arbetar mot siten. Man kan då lägga in rader som börjar med Trusted följt av den eller de IP-adresser man vill vitlista. Exempel på hur det kan se ut:
Trusted 1.2.3.4, 5.6.7.8 Trusted [2001:db8:85a3:8d3:1319:8a2e:370:7348]
Både IPv4- och IPv6-adresser går att vitlista. Om flera anges på samma rad separeras de med kommatecken, och om man anger en IPv6-adress är det viktigt att man lägger hakparanteser runt.
Aktivering via .htaccess
Skyddet styrs via .htaccess-filen för den aktuella hemsidan, och detta exempel visar hur man lägger in det:
<IfModule Litespeed> WordPressProtect throttle, 10 Trusted 1.2.3.4 </IfModule>
Om du inte vill vitlista några IP-adresser kan du ta bort raden som börjar med Trusted. Givetvis kan du använda någon av de andra funktionerna beskrivna ovan istället för throttle.