Meebox bliver til UnoEuro. Læs hvad det betyder for dig.

Den komplette guide til et sikkert WordPress website

Dette indlæg er skrevet af Pia Nilsson fra App Academy, som også har skrevet bogen WordPress – design din hjemmeside og blog.

WordPress er det mest anvendte system til hjemmesider i verden. Der er mere end 60 millioner installationer af WordPress, og hver dag oprettes der tusindvis af nye hjemmesider, som benytter WordPress. WordPress er især populært, fordi det er gratis, nemt at bruge, og kan installeres på et øjeblik med et enkelt klik. Af samme årsag findes der rigtigt mange WordPress-hjemmesider, som enten er passive eller blot er en rå installation af WordPress.

Netop fordi WordPress er det mest udbredte system til hjemmesider, er det samtidig et af de mest yndede mål for hackere. Det er derfor vigtigt, at du passer på din hjemmeside, og beskytter den mod ødelæggende angreb.

Sådan sikrer du dit WordPress website

Det bedste du kan gøre, er at sikre WordPress på flere fronter, således at du både beskytter din hjemmeside mod angreb og samtidig begrænser mulige skader, hvis du alligevel skulle få hacket din hjemmeside.

Jeg vil foreslå følgende strategier:

 

  • Beskyt alle mulige indgange til din hjemmeside
  • Vær på forkant med udviklingen
  • Undgå selv at åbne døren for fjenden
  • Begræns skader med en komplet og automatisk backup-funktion
  • Beskyt din hjemmeside med en firewall

De første tre strategier handler om, hvordan du bruger din sunde fornuft, og gør det rigtige, så du skaber et sikkert miljø til din hjemmeside. De sidste to strategier handler om, hvordan du med gratis software kan beskytte og sikre din hjemmeside.

Beskyt også din hjemmeside mod spam

Spam i sig selv udgør ikke en sikkerhedsrisiko på din hjemmeside. I WordPress opleves spam oftest som uønskede kommentarer. Det er ikke farligt for din hjemmeside, men det kan være særdeles skadeligt for din hjemmesides omdømme og troværdighed, og samtidig give dig store administrative udfordringer.

Til at hjælpe dig med at bekæmpe spam findes pluginnet Akismet. Dette plugin er så velanset, at det som standard bliver installeret sammen med WordPress. Medmindre du har slået kommentarer helt fra i WordPress, så start med at aktivere Akismet og få hentet en Akismet API-nøgle til din hjemmeside.

Akismet er stadig gratis

Selvom det kan være svært at få øje på, så er det stadig muligt at få en gratis API-nøgle til Akismet. På Akismets hjemmeside, skal du vælge den plan der hedder Personal. Under de store knapper med priser, er der et meget lille link med teksten ”or use Akismet for free” (se billede). Klik på linket og du kan få din API-nøgle gratis.
akismet_gratis_wordpress

Brug din sunde fornuft

Ved at bruge lidt gratis sund fornuft, kan du gøre WordPress mere sikker på følgende måder:

 

  • Beskyt alle mulige indgange til din hjemmeside
  • Vær på forkant med udviklingen
  • Undgå selv at åbne døren for fjenden

Beskyt alle indgange til din hjemmeside

Der er typisk adgang til en WordPress-hjemmeside via tre forskellige indgange:

 

  • Den eller de computere, som administratoren bruger, når han logger ind på hjemmesiden.
  • Webserveren som hjemmesiden ligger på.
  • Loginsiden, som ligger frit tilgængelig på internettet.

Beskyt din egen computer

De færreste tænker over det, men er din egen computer inficeret med virus, spyware eller malware, så kan du have skjult software som fortæller en hacker hvad du skriver og gør på din computer. Det betyder, at når du indtaster dine loginoplysninger til WordPress fra din computer, så vil han kunne aflæse dit login og derefter logge ind som dig.

Hold altid din computer opdateret og beskyt den med antivirus. Download kun software, du har tillid til, og som hentes fra udviklerens egen hjemmeside eller en anerkendt forhandler.

Vælg et webhotel du kan stole på

Hvis webserveren du bruger er sårbar for hackerangreb, så er din hjemmeside også sårbar. Får hackeren først adgang til din webserver, kan han ramme alle som bruger den.  Vælg derfor et webhotel som prioriterer sikkerheden højt, jævnligt tager backup, og som yder en hurtig og tilfredsstillende support til sine kunder. Undersøg webhotellets omdømme på Trustpilot og hør om andre gerne vil anbefale webhotellet til dig.

Undgå webhoteller, som er gratis. Du kan nemt leje et veletableret, dansk og sikkert webhotel for kun 15 kr. i måneden.

Skjul din loginside i WordPress

Du kan skjule din loginside på internettet, således at søgemaskiner som Google ikke viser den i søgeresultater. Du kan nægte andre adgang til loginsiden, ved at kræve et kodeord til siden, omdøbe siden eller kun give adgang til netop din IP-adresse.

Personligt mener jeg ikke det er nødvendigt at skjule din loginside, da du kan beskytte den effektivt med en firewall. Det kan du læse mere om i tredje og sidste del af denne blog-serie.

Vær på forkant med udviklingen

Det kan ikke siges ofte nok: hold altid din hjemmeside opdateret! Så snart der er nye opdateringer til enten WordPress, et plugin eller et tema, så få dem hentet og installeret.  En opdatering kan betragtes som et plaster, der lapper et problem i softwaren. Det kan være et mindre problem eller et sikkerhedshul, som kompromitterer sikkerheden på din hjemmeside. Ofte får en hacker adgang til en hjemmeside gennem gamle sikkerhedshuller, som ikke er blevet lukket med en opdatering.

Fjern dine inaktive plugins. Hvis du ikke længere bruger et plugin, så slet det. Gamle plugins kan udgøre en sikkerhedsrisiko, så længe de ligger på din webserver. Vær også opmærksom på, om de plugins du bruger, stadig bliver opdateret af udvikleren. Du kan installere Last Plugin-Updates, som kan vise dig hvornår dine plugins sidst er blevet opdateret.

Undgå at åbne døren for fjenden

Da WordPress er en gratis og open source-teknologi, betyder det, at alle i princippet kan bidrage til WordPress ved at udvikle og dele deres egne plugins og temaer. Du kan altid trygt hente plugins og temaer, som ligger tilgængelig på WordPress egen hjemmeside. De er alle gratis og sikre at bruge.  Pas på med at hente flotte temaer og smarte plugins, som tilbydes gratis på internettet, men ikke er at finde på WordPress hjemmeside. Softwaren kan vise sig at være en trojansk hest med det formål at få adgang til din hjemmeside.

Ud over det gratis software, så findes der også kommercielle WordPress produkter, hvor du betaler for et plugin eller tema. Dem kan du trygt købe på udviklerens hjemmeside, hvis du har tillid til produktet.  Du skal være påpasselig med at hente populært software fra andre steder end de officielle hjemmesider. Hvis noget der normalt koster penge, kan downloades gratis, så gør det ikke. Det er piratkopiering og forbudt ved lov. Ofte er softwaren også blevet ændret, så der er indbygget en bagdør i pluginnet, der kan give hackeren adgang til din hjemmeside.

Med helt gratis plugins kan du beskytte og sikre din hjemmeside på følgende måder:

 

  • Begræns skader med en komplet og automatisk backup-funktion
  • Beskyt din hjemmeside med en firewall

Begræns skaderne med en komplet og automatisk backup-funktion

De fleste webhoteller laver backup af filerne på din hjemmeside, så er uheldet ude, kan du få dem til at hjælpe dig med at genetablere en ødelagt eller hacket hjemmeside. Hvor smertefrit det går, afhænger af hvor ofte webserveren laver backup, og hvor serviceminded din webudbyder er.

I sidste ende er det altid dit ansvar, at du får lavet sikkerhedskopier af din hjemmeside. For at få lavet backup af hele din hjemmeside, dvs. både database, filer, billeder og andre medier, så skal du installere et plugin til formålet.

Der findes flere udmærke og gratis plugins til WordPress, som kan lave en komplet og automatiseret backup af din hjemmeside.

 

Der er mange flere plugins, som laver backup, og det varieret meget hvordan de bruges. Når du vælger et plugin, så overvej følgende:

 

  • Hvor skal mine backups gemme? Via mail, webserver, ftp, eller i skyen?
  • Hvad skal der tages backup af? Det hele, udvalgte dele, kun opdaterede filer?
  • Kan jeg automatisere min backup-funktion?
  • Hvor nemt er det at genetablere mine sikkerhedskopier?

Nogle plugins er med ganske få indstillinger, og med andre plugins kan du detaljeret vælge til og fra af muligheder. Mit bedste råd, er at du afprøver de forskellige plugins, til du finder et der passer til dit behov og temperament.

Undersøg også hvor nemt det er at genetablere din hjemmeside med et af dine sikkerhedskopier. Det hjælper ikke meget at få taget backup, hvis du ikke kan få genetableret din hjemmeside med din sikkerhedskopi bagefter.

Selv foretrækker jeg at bruge BackWPup, fordi den giver mulighed for at tilpasse mine backups, automatisere dem, komprimere dem og gemme dem flere forskellige steder.

Beskyt din hjemmeside med en firewall

Forestil dig, at fjenden vil indtage dit hus. Som et forsvar sætter du et højt hegn om din grund, placerer en vagt ved porten og barrikaderer din dør. Hvis WordPress er dit hus, så er en firewall dit forsvar.

Der findes en håndfuld populære og ganske gratis firewalls til WordPress. Følgende firewalls kan anbefales:

 

Flere af de nævnte firewalls tilbyder de samme sikkerhedsfunktioner. Uanset hvilken én du vælger er du godt sikret. Du kan også installere dem alle, og så afprøve dem én for én, og vælge den du bedst kan lide.

Jeg foretrækker selv at bruge iThemes Security, fordi den giver et godt overblik og på en brugervenlig måde hjælper mig med at slå de mange sikkerhedsfunktionerne til og fra i WordPress.

Dræb ikke din hjemmeside med en firewall

Det kræver lidt omtanke at bruge en firewall, især hvis du bruger de mere avancerede indstillinger i din firewall. Du kan lave sikkerheden så stram, at din hjemmeside holder op med at fungere hensigtsmæssigt.

Med en firewall kan du risikerer at nægte dig selv adgang til din hjemmeside, og få dele af dit tema og dine plugins til at holde op med at virke. Sørg derfor også for at få installeret et plugin, der kan lave backup, før du går i gang med indstillingerne i din firewall.

5 anbefalede sikkerhedsfunktioner du bør vælge

Følgende anbefalinger er grundlæggende sikkerhedsforanstaltninger, som kan aktiveres i de fleste firewalls. Bruger du dem, har du allerede afværget de største og mest almindelige sikkerhedstrusler mod din hjemmeside.

Start med at tillade din firewall at foretage ændringer i filerne wp-config.php og .htaccess. En del af sikkerhedsindstillingerne består i at tilpasse netop disse filer. Når ændringerne er lavet, kan du fjerne skriverettighederne igen.

Undgå brugernavnet Admin
Et af de mest almindelige brugernavne på hjemmesider er Admin. Og det ved hackere godt! Derfor bør du omdøbe eller slette brugeren Admin, hvis den findes på din hjemmeside.

Brug stærke adgangskoder
Gennemtving stærke adgangskoder for alle administratorer på din hjemmeside. Se hvordan du laver et stærkt kodeord her.

Begræns loginforsøg
Begræns gentagne loginforsøg på din loginside (Brute Force Attacks). En kendt måde at hacke på er ved at bruge en automatiseret proces, som igen og igen forsøger at logge ind på din hjemmeside ved at prøve sig frem med de mest almindelige adgangskoder. Du kan afværge disse angreb ved at kun tillade et vist antal loginforsøg i en bestemt tidsperiode.

Omdøb dine tabeller, hvis de starter med wp_
Det indhold du laver til din hjemmeside, bliver gemt i en database i nogle tabeller. Som standard starter alle tabellernes navne med wp_. Det kaldes for tabellernes præfiks. Får en hacker adgang til din database, kan ham nemt få adgang til alle tabellerne, hvis de har standard præfiks.

Det bedste er at du ved installation af WordPress vælger dit eget præfiks. Alternativt, kan mange firewalls hjælpe dig med at ændre standard præfiks til et nyt. Husk at sikkerhedskopiere databasen, før du laver ændringer i den (se forrige afsnit).

Deaktiver tema- og plugin-editoren
I WordPress kan du redigere direkte i dine tema- og plugin-filer. Det gør du ved at klikke på Editor under menupunkterne Udseende og Plugins. Hvis du ikke benytter dig af denne funktion, kan du fjerne skriverettighederne til filerne, og dermed risikoen for at en hacker redigerer i dine filer, hvis han får adgang til din hjemmeside.

Når App Academy afholder WordPress-kurser er sikkerhed et væsentligt emne. Her giver en af firmaets undervisere Pia Nilsson, som også er forfatter til bogen WordPress – design din hjemmeside og blog, gode tips til, hvordan du gør din WordPress sikker.



  •  
  •  




  • Allan Jensen siger:

    Forstår ikke pointet med at bruge andet tabel-prefiks end wp_ – hackeren kan da bare lave en query som lister alle tabeller i databasen? Og han kan vel også finde det givne prefiks via variablen $table_prefix, enten ved at læse variablens indhold eller bruge file_get_contents(‘wp-config.php’) og parse indholdet?!!

  • Kristian Langborg-Hansen siger:

    Hej @allanbj:disqus Du har ret mht præfikset – det giver ikke sikkerhed mod en rigtig hacker, for han/hun vil bare gøre, som du skriver. Men det hjælper faktisk mod mange af de automatiserede hacker-scripts, som åbenbart ikke har fundet det umage værd at bruge $table_prefix variablen.

  • Peter Sørensen siger:

    Jeg er enig i wp prefix, det giver minimal beskyttelse.

    Derimod mangler i lidt om credentials på database brugeren. Her kan sikres en hel del hvis man begrænser de muligheder som en database bruger kan. Den skal kun have læse og skrive rettigheder. Opdateres wordpress så benyt en bruger med alter rettigeheder eller det som der er behov for.

  • Der er lukket for kommentarer.

    Kategorier