Praktisk guide til WordPress-påloggingssikkerhet (2026)

Autentisering er inngångsdøren til ditt digitale slott. I 2026 utføres Brute Force-angrep av AI-drevne botnett.

Denne omfattende guiden tar deg fra grunnleggende hygiene til beskyttelse av militær grad.

#Del 1: “Admin”-sårbarheten

Hvorfor elsker hackere brukernavnet “admin”? Fordi det halverer arbeidet deres.

#”Id 1”-problemet

Hacket skanner ofte ditt-nettsted.no/?author=1.

#Løsningen: Kirurgisk fjerning

1. Opprett en ny kommandør:
   • Brukernavn: Noe ukjent (f.eks. Obsidian_Eagle_88).
   • Rolle: Administrator.
2. Logg inn som den nye.
3. Slett rekrutten:
   • Slett “admin”.
   • KRITISK TRINN: Velg “Tilskriv alt innhold til:” -> [Ny bruker].

#Del 2: Tofaktorautentisering (2fa)

Passord er døde. Hvis du driver en bedriftsside uten 2FA, er du uaktsom.

#Nivåene av 2fa

1. E-postkode (Svak).
2. TOTP-app (Standard): Google Authenticator.
3. Maskinvarenøkler (Jernstandarden): YubiKey.

#Del 3: Passkeys (fremtiden)

Passkeys bruker biometrien på enheten din (TouchID, FaceID). Ingen passord å stjele. Ingen phishing mulig.

#Del 4: Stoppe brute force

#Lag 1: Plugin-nivå

Installer Limit Login Attempts Reloaded.

#Lag 2: Captcha (cloudflare turnstile)

Bruk Cloudflare Turnstile. Det er usynlig og sjekker om den besøkende er et menneske.

#Lag 3: Servernivå (fail2ban)

Fail2Ban skanner serverlogger. Hvis den ser en IP som hamrer på wp-login.php, blokkerer den IP-en fullstendig i brannmuren.

#Del 5: Deaktiver “user enumeration”

Blokker skanninger via .htaccess:

## Stop author scans
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
</IfModule>

#Oppsummering

1. Identitet: “Admin” er borte.
2. Auth: 2FA er aktivt.
3. Dørvakt: Cloudflare Turnstile.
4. Utkaster: Limit Login Attempts.

Se vår WordPress-sikkerhetsrevisjon.