Den ultimate guiden til WordPress-påloggingssikkerhet (2026)

Autentisering er inngangsdøren til ditt digitale slott. I 2026 utføres Brute Force-angrep av AI-drevne botnett.

Denne omfattende guiden tar deg fra grunnleggende hygiene til beskyttelse av militær grad.

Del 1: “Admin”-sårbarheten

Hvorfor elsker hackere brukernavnet “admin”? Fordi det halverer arbeidet deres.

”Id 1”-problemet

Hacket skanner ofte ditt-nettsted.no/?author=1.

Løsningen: Kirurgisk fjerning

1. Opprett en ny kommandør:
   • Brukernavn: Noe ukjent (f.eks. Obsidian_Eagle_88).
   • Rolle: Administrator.
2. Logg inn som den nye.
3. Slett rekrutten:
   • Slett “admin”.
   • KRITISK TRINN: Velg “Tilskriv alt innhold til:” -> [Ny bruker].

Del 2: Tofaktorautentisering (2fa)

Passord er døde. Hvis du driver en bedriftsside uten 2FA, er du uaktsom.

Nivåene av 2fa

1. E-postkode (Svak).
2. TOTP-app (Standard): Google Authenticator.
3. Maskinvarenøkler (Jernstandarden): YubiKey.

Del 3: Passkeys (fremtiden)

Passkeys bruker biometrien på enheten din (TouchID, FaceID). Ingen passord å stjele. Ingen phishing mulig.

Del 4: Stoppe brute force

Lag 1: Plugin-nivå

Installer Limit Login Attempts Reloaded.

Lag 2: Captcha (cloudflare turnstile)

Bruk Cloudflare Turnstile. Det er usynlig og sjekker om den besøkende er et menneske.

Lag 3: Servernivå (fail2ban)

Fail2Ban skanner serverlogger. Hvis den ser en IP som hamrer på wp-login.php, blokkerer den IP-en fullstendig i brannmuren.

Del 5: Deaktiver “user enumeration”

Blokker skanninger via .htaccess:

## Stop author scans
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
</IfModule>

Oppsummering

1. Identitet: “Admin” er borte.
2. Auth: 2FA er aktivt.
3. Dørvakt: Cloudflare Turnstile.
4. Utkaster: Limit Login Attempts.