12 måder at sikre din WordPress hjemmeside Du har sikkert overset

Niclas Johansen

Af Niclas Johansen

WordPress sikkerheden bliver ofte omtalt som ”hardening”. Det giver selvfølgelig også mening. Da processen ligesom er, at tilføje forstærkninger til dit slot. Det handler om at styrke portene, og sætte udkigsposter i hvert tårn. Denne del bliver ofte overset.

I denne artikel vil jeg fokusere mere direkte på de metoder, hvori du kan sikre din hjemmesidens admin, og mere specifikt end det. Samt de metoder der ikke er diskuteret gang på gang ude i det store webunivers. Hvorfor? Fordi sikkerhed er vigtigt, og burde tages alvorligt.

Da WordPress vokser, som en stor platform - Er sikkerhed noget man skal se nærmere på.

Selve WordPress-installationen er let at bruge og relativt sikker, men jo flere plugins du tilføjer, temaer og kode, jo større sandsynlighed er der for et potentielt hackerangreb. Det samme med antallet af brugere du giver admin-acces på hjemmesiden, jo større kan skaden blive.

Med det i tankerne, så lad os bruge lidt tid på at udforske de 12 måder, du bedst muligt kan sikre din backend på - Så dine ( og dine kunders ) informationer er sikret.

Her er hvad du allerede bør vide


Jeg ved, at jeg lige før nævnte, at jeg ikke ville tale om de mere gængse sikkerhedsløsninger heri. Men i tilfælde af, at nogen skulle læse dette, og de ikke er velbevandret i WordPress. De fortjener ikke at blive efterladt. Derfor lister jeg de mindste. Selv hvis du er WordPress professionel, så kan denne liste gavne dig. Du kan henvise til den, og det kan være nyttigt, når du i gang med at implementere sikkerhedsstrategier på dine wordpress hjemmesider.

Sørg for at WordPress altid er up-to-date. Noget så simpelt, som en opdatering kan have en stor indflydelse på din hjemmesides sikkerhed. Når du logger ind på din backend, og ser dette ”Opdatering er tilgængelig”. Så klik på det, og opdaterer din hjemmeside til den nyeste wordpress installation. Hvis du er bekymret for at noget bryder sammen, så lav en sikkerhedskopi af din database, inden du installerer opdateringen. Det vigtigeste er, at du gør det, og at du gør det regelmæssigt. Oplysninger om eventuelle sikkerhedshuller fra den tidligere opdatering af wordpress er nu tilgængelige for offentligheden. Det betyder, at en forældet hjemmeside er så meget mere sårbar, da hackere nu har kendskab til sikkerhedshullet på din hjemmeside.

Sørg for at plugins og temaer er up-to-date. Ligesom du opdaterer WordPress kernen regelmæssigt, så bør du også opdatere dine plugins og temaer. Hvert plugin og tema, som er installeret på din hjemmeside er endnu en mulig bagdør ind i din backend & administratordel. Medmindre du har sikret dem(Dvs. undersøgt koden grundigt, opdateret det jævnligt mm.). Se plugins og temaer, som en åben dør ind til dine personlige oplysninger. Husk at download plugins med omhu.

Slet plugins eller temaer, du ikke bruger. I samme tankegang, som hvad jeg har anført ovenfor, så kom af med plugins eller temaer, du ikke har bruger. Det vil reducere sandsynligheden for et potentiel hackerangreb. Hvis du ikke bruger dem, og du ikke ønsker at opdatere dem, så er det en meget bedre idé at slette dem. Husk dette - Deaktivering af plugins er ikke nok. Skal du gøre det, så skal du faktisk klikke på ”Slet”.

Download kun plugins og temaer fra kendte skabere. Når du kan downloade plugins og temaer fra WordPress.org er det faktisk din bedste satsning. De vil være grundigt scannet, før de tillades på i WordPress' Theme bibliotek eller Plugin bibliotek. Hvis du vil have et premium tema eller plugin, så hent dem kun fra vel kendte kilder, som ThemeForest eller fra en højt respekteret udviklers hjemmeside.

Skiftning af fil-rettigheder. Undgå at konfigurere mapper med 777-tilladelser. Du bør vælge 755 eller 750, i stedet. I henhold til WordPress.org. Mens du er ved det, så sæt filer til 640 eller 644, og wp-config.php til 600.

Brug ikke ”admin” som brugernavn. Hvis du allerede har oprettet WordPress brugeren ”admin” som dit brugernavn eller noget andet simpelt, så kan du ændre det ved, at lave en SQL-forespørgsel i PHPMyAdmin.

Skift din adgangskode ofte (Og gør det godt). Tilfældige sammensætninger af bogstaver og tal er bedst. Hvis du ikke har lyst til at komme op med noget manuelt, så kan du bruge en adgangskode generator til at udføre opgaven, som Strong Password Generator.


Sørg for, at dine brugere opretter stærke brugernavne og passwords. Det er alt sammen fint og godt, hvis du opretter et godt brugernavn og adgangskode. Men hvis dine brugere ikke gør det, så vil din personlige indsats være ligegyldig, og din hjemmeside vil være lige så sårbar.

Tilføj to-trins-godkendelse. En rigtig god måde at forhindre brute force-angreb er ved at oprette to-trins-godkendelse. Det betyder, der kræves en adgangskode plus en tilladelse kode. Den kan sendes til din telefon for at kunne logge ind på din hjemmeside. Adskillige plugins kan bruges til at tilføje denne funktion, herunder Google Authenticator, og Duo Two-Factor Authentication.

Installer en firewall på din computer. Det er et ekstra skridt, ja, men let at gøre. Og når det er installeret giver det et ekstra lag af beskyttelse mod hackere og sikkerhedsbrud. 

Limit logins. Brute force angrebet er taktik nr. 1 for hackere. Hvis du lader dem, så vil de forsøge at logge ind på din hjemmeside igen og igen, indtil de knækker din adgangskode. Det er derfor, det hedder ”brute force”. Men der findes plugins, så du kan begrænse antallet af gange, en person fra en bestemt IP kan forsøge at logge ind, inden for en bestemt periode. Brugeren er derefter begrænset for at kunne logge ind igen for en given periode. Der findes en hel række sikkerhedsplugins der udbyder dette, såsom iThemes Security og Sucuri Security.

Begræns brugeradgang.  En god tommelfingerregel er at kun give adgang til dem, der absolut har brug for den. Det samme gælder de tilladelser du skal have. Giv dem kun adgang nok til at kunne fuldføre deres opgaver. At give alle dine brugere administrative tilladelser kan have store konsekvenser.

Husk backup af din hjemmeside. Jeg mener ikke bare  i et stykke tid. Der skal laves en tidsplan for hvornår der tages backups. Planlagte backups er en vigtig del af enhver hjemmesides sikkerhedsstrategi. Det sikrer, at hvis din hjemmeside går ned, så vil du være i stand til at gendanne den til den sidste backup der blev taget. Dette er noget vi tilbyder, som en del af det at være kunde hos Coweb.

Tjek for temas troværdighed og gennemfør sikkerhedsscanninger. Ligesom du nu har installeret et antivirusprogram på din computer for at tjekke for malware, så skal du også installere en scanner på din WordPress installation. En sikkerhed's scanning vil kontrollere siden for skadelig kode i dine plugins, dine core filer, og sikre at dine plugins ikke er blevet manipuleret med. Der findes adskillige scannere på pluginniveau, at du måtte ønske at overveje at medtage Sucuri SiteCheck, CodeGuard, Tema Autenticitet Checker, og AntiVirus.

Nu da vi har børstet op på de ting, bør du have lidt kendskab til om sikring af en WordPress hjemmeside, kan vi gå videre til nogle af de mere obskure ting såvel som dem, som du måske ikke havde tænkt på endnu.

Men først, skal du sørge for at oprette et barn tema før du foretager ændringer til din functions.php fil.

 

 

 

1. Skær ned på Plugin Brug


Jeg ved, at jeg allerede nævnt i listen ovenfor, at du skal slette plugins og temaer, du ikke bruger. Men det er værd at bemærke, at du bør gøre en indsats for at begrænse det samlede antal af plugins du har installeret i første omgang. For at holde dit websted sikkert, skal du være omhyggelig i de kriterier, du bruger til at vælge plugins.

Det handler ikke kun om sikkerhed. Det handler også om hvor hurtig din hjemmeside er. Hvis du har alt for mange plugins på din hjemmeside, kan de bremse ned for din hastighed på hjemmesiden. Hvis du kan undvære et plugin, så gør det. Eller find et plugin med samme funktioner, som ikke er så overbelastende. Husk, jo færre plugins du har, jo færre chancer, du giver hackere adgang til din info.

Ønsker du hjælp til at sikre din hjemmeside?

2. Hent ikke gratis permium plugins


Selvom du måske får nogle smarte funktioner med i et gratis plugin, er det en dårlig idé at forsøge at hente premium plugins fra andre steder end hvor de er officielt til salg.

Piratkopi er aldrig en løsning. Hvis du tænker på at spare penge ved at hente et gratis plugin som er kopiret, så tager du fejl. Plugins som er kopiret er ofte beskadelige og kan ødelægge din hjemmeside.

Gør dig selv en tjenese - Spring over de ulovlige downloads og Torrent!

3. Overvej Automatiske Core opdateringer


Jeg har allerede talt om vigtigheden af at opdatere din WordPress installation, når en ny version er frigivet, men det tåler gentagelse. Faktisk, hvis du kører en ældre version af WordPress, end hvad der er aktuelt, vil alle de sikkerhedshuller i den version du kører nu, være kendt for offentligheden. Det betyder, hackere også har info og kan nemt bruge den til at angribe dit websted.

 

Men en opdatering engang imellem er ikke nok, hvis du ikke veligeholder din hjemmeside på regelmæssig basis. Det er vigtigt at din hjemmeside hele tiden er opdateret. Ved at aktivere automatisk opdatering til din hjemmeside - Vil dette hjælpe dem som glemmer eller ikke har tid at hele tiden står for opdatering. Dog er det ikke alle der får brug for denne funktion.

Lige siden WordPress 3.7, kom ud har den udført mindre opdateringer automatisk. Men større opdateringer er stadig noget, du skal godkende. Du kan indsætte en smule kode i din wp-config.php fil, men for at konfigurere dit websted for at installere store centrale opdateringer automatisk.

Så simpelt er det. Bare indsæt dette i filen og store centrale opdateringer vil ske i baggrunden uden behov for din godkendelse:

Bemærkning: Der er altid en risiko ved auto opdatering, da siden kan gå ned hvis din tema eller plugin ikke kører den nyeste version af WordPress. Dog er det en fordel at køre med auto opdatering hvis du ikke er så ofte på din hjemmeside.

4. Set tema og plugins til automatisk opdatering

Jeg er klar over at denne her er ikke for alle, men det er værd at nævne alligevel. Typisk er plugins og temaer hvad du har brug for at opdatere manuelt. Efter alt, så er opdateringer ofte udgivet på forskellige tidspunkter for hver af de elementer. Men igen, hvis du ikke er en person der veligeholder sin hjemmeside regelmæssigt, kan du lade auto opdatering til.

Automatiske opdateringer til plugins og temaer er en anden ting, du kan konfigurere ved at indsætte et stykke kode ind wp-config.php. For plugins du skal bruge:

 

5. Eliminer Plugin og Tema Editor

Hvis du er den slags udvikler, der rutinemæssigt foretager ændringer og tweaks til plugins og temaer så ønsker du måske at se bort fra dette afsnit. Men hvis du ikke bruger den indbyggede plugin og tema redaktør i instrumentbrættet i WordPress på en regelmæssig basis, er du bedre stillet deaktivere den helt.

Hvorfor? Fordi autoriserede WordPress brugere får adgang til denne editor, og hvis deres konti er hacket, kan redaktøren bruges til at tage ned et helt websted blot ved at ændre koden findes der.

Så du kan fjerne denne editor ved at indsætte dette kode i wp-config.php fil.

6. Eliminer PHP fejlrapportering

Kræfter på webstedets backend sikkerhed har meget at gøre med at lukke huller eller svage steder. Men, hvis et plugin eller tema ikke fungerer korrekt, kan det skabe en fejlmeddelelse. Dette er absolut nyttigt ved fejlfinding, men her er problemet: disse fejlmeddelelser omfatter ofte din server sti.

Hackere vil kun behøver at se dine fejlrapporter for at få din fulde server sti, hvilket betyder, at du ville uddele dem alle kroge og hjørner af din hjemmeside på et sølvfad. Uanset hvor nyttige fejlrapportering måtte være, er det en bedre idé at deaktivere den helt. Denne ene er en anden kodestykke der skal lægges til wp-config.php.

7. Beskyt din mest relevante filer Brug .htaccess

Hvis du er til WordPress sikkerhed overhovedet, har du hørt om den .htaccess fil før og har sandsynligvis adgang det. Alligevel kan de ændringer, du foretager i denne ene fil har sådan en enorm indflydelse på hele dit websted sikkerhed, kan jeg ikke lade det fra listen.

Hvorfor er denne fil så vigtigt? Det er i hjertet af WordPress og påvirker, hvordan din hjemmeside strukturer permalinks og hvordan det håndterer sikkerheden. Du kan indsætte mange forskellige koder overalt ind i .htaccess filen uden for #BEGIN WordPress og #END WordPress tags til at ændre hvilke filer er synlige inden for dit websted mappe. Disse uddrag er indkøbt direkte fra WordPress Codex.

For nybegyndere, vil du ønske at skjule wp-config.php, fordi det er et centralt knudepunkt for dit websted og omfatter din personlige info og mange andre detaljer i forbindelse med sikkerhed. Skjul det ved at tilføje denne bit kode til htaccess:

Du kan også begrænse admin adgang ved at oprette en ny .htaccess fil og uploade den til wp-admin. Du vil derefter indsætte følgende kode:

Indsæt din egen IP-adresse i det relevante sted. Du kan give adgang til wp-admin fra flere IP-adresser ved at angive dem ud som tillader fra IP-adresse, hver på en ny linje.

Du kan begrænse adgangen til wp-login.php på stort set samme måde. Blot tilføje følgende kode i .htaccess:

Hvis du ikke ønsker at blokere enhver IP adresse, men kun din egen og i stedet ønsker at bare blokere bestemte personer, der forsøger at få adgang til wp-admin eller wp-login.php, kan du gøre det ved at blokere de IP-adresser enkeltvis ved hjælp af denne smule kode:

En anden måde at forhindre folk i at se dit websted mapper er at gøre dem ikke-browsable. Denne enkle stykke kode vil gøre det trick:

Der er mange andre måder at ændre .htaccess at øge dit websteds sikkerhed samt-vi har skrevet på dem udførligt her-men disse er blot nogle af de mere vigtige dem, du skal gennemføre.

8. Skjul Forfatter Brugernavne

Hvis WordPress efterlades som standard, er det virkelig nemt at finde forfatterens brugernavn. Og da det som regl er administrationen som er forfatter. Er det virkelig nemt for hackere at udnytte dette situation.

Ifølge DreamHost, er det en god ide at skjule forfatterens brugernavn for at sikre, at du ikke gør hackerens arbejde lettere. For at gøre dette, alt hvad du skal gøre er at tilføje noget kode til dit websted. Når den er indsat, denne kode vil gøre det så, når nogen søger på input? Author = 1 efter din vigtigste webadresse, vil de ikke blive præsenteret for administratorens oplysninger og vil i stedet blive sendt tilbage til din startside.

Bare kopiere og indsætte følgende i din functions.php fil:

9. Hold styr på Dashboard Aktivitet

Hvis du har mange brugere på dit websted, kan det være en god idé at holde styr på, hvad de laver på instrumentbrættet. Ikke fordi at du har mistanke om dem, men nogle gange, når du har en masse mennesker, der er involveret i dit websted, kan en simpel fejltrin forårsage noget til at bryde. Det er derfor, logning instrumentbræt aktivitet er så nyttigt - det giver dig mulighed for at spore din brugers trin op til det punkt af site brud. Du kan endda spore dine egne trin.

Dette er også fantastisk til sikkerhed, fordi det giver dig mulighed for at forbinde punkterne mellem en bestemt handling og en specifik reaktion. Så hvis en uploadet fil forårsagede dit websted til at bryde, kan du undersøge det videre for at se, om det indeholdt skadelig kode.

En god, gratis plugin giver dig mulighed for at tjekke aktivitet på dit website.

Ja, WordPress logger disse oplysninger automatisk, men det er ikke let at bruge. Det er en meget bedre at bruge et plugin til at organisere alle disse data. Det giver dig mulighed for at holde øje med dine brugere, samt om der sker ændringer når du installere plugins.

Ifølge Pagely, er WP Security Audit Log plugin god til at holde styr på din dashboard. Den er gratis og egnet til at holde styr på alt hvad der foregår på din hjemmeside. Den holder øje med hvad dine brugere og hackere foretager sig.

Hvis denne plugin ikke gøre det for dig, er der mange andre du kan prøve an. En af dem er Activity Log and Simple History.

10. Forstærk din loginside

Selvom sikkerhed, der fokuserer på ubemærkethed er ikke komplet, er det stadig en vigtig del af din overordnede strategi. Efter alt, at gemme sig visse elementer i dit websted vil ikke forhindre hackere i at få adgang dem, men det prøver vi at gøre endnu svære for dem.

Flytte eller omdøbe din login-side er en hurtig måde at lave en hacker job hårdere. Brute force-angreb er typisk automatiseret, så hvis din login-side er noget anderledes end www.websitename.com/wp-admin eller www.websitename.com/wp-login.php så de kommer til at have en virkelig vanskelig tid at angribe. Mange plugins er til rådighed, der gør denne enkle ændring for dig, herunder Lockdown WP Admin samt flere af de store WordPress sikkerheds plugins.

11. Vælg den bedste Hosting du har råd

Du kan øge sikkerheden på din hjemmeside så meget du vil, men hvis du ikke har en ordenlig hosting udbyder, er dette spild af tid. Faktisk rapporterer sikkerhedseksperter fra WP White Security at 41% af WordPress hjemmesider bliver hacket pga. sikkerhedsbrist hos hosting udbyderen. Det betyder at du skal finde en stabil hosting udbyder.

Hvis du ønsker at bruge delt hosting, så sørg for at din plan inkluderer konto isolation. Dette vil forhindre en andens hjemmeside på serveren i at påvirke dit. Men jeg synes det er en meget bedre idé at bruge en tjeneste, der er taget højde direkte mod WordPress, dog. En managed hosting udbyder, der har specialiseret sig i WordPress er mere tilbøjelige til at omfatte en WP firewall, up-to-date PHP og MySQL, regelmæssig malware scanning, en server, der er designet til at køre WordPress, og en kundeservice team, der kender WordPress inde og ude.

12. Hold din computer Up-to-Date

Sommetider kan hackere få adgang til dit websted på grund af sikkerhedsproblemer på din computer. Den bedste måde at bekæmpe dette er at holde din computer up-to-date. Når softwarerettelser frigives, installere dem. Når et nyt operativsystem er frigivet, gør dit bedste for at opgradere så hurtigt som muligt.

Ligeledes sørg for at bruge en anti-virus software på en regelmæssig basis. Du kan køre en gratis antivirus software som Avast, Panda Free Antivirus, Comodo, eller AVG for at se, om der er nogen virus eller malware på computeren og til at fjerne dem.

Opfyldning

At sikre din WordPress hjemmeside handler ikke kun om at installere plugins og gå væk. Det kræver en strategi. Nogle er du måske allerede bekendt med og nogle er nye for dig. Nogle gange kan de mest simple ting være nok til at det hele kører på skinnerne.

Er der noget du er gået glip af som jeg måske har glemt at tilføje? Du er velkommen til skrive til mig - Så hjælper jeg dig.

NYTTIGT FOR ANDRE OGSÅ? SÅ DEL DET 🙂

Skriv et svar

Coweb - dit digitale bureau
  • Info@coweb.io
  • +45 42 90 99 71

KONTAKT OS I DAG

Fortæl gerne om projektet
Ring +45 42 90 99 71 eller skriv her

[index]
[index]