En stor anledning till att WordPress är så populärt är att det är enkelt att lära sig. Det finns automatisk hjälp med installationer, teman som kommer med färdiga mallar och ett gränssnitt som är enkelt att lära. Perfekt för den som är ny på webben och vill bygga en egen webbplats. Nära 35% av alla webbplatser i världen drivs med WordPress. Kombinationen av många oerfarna användare och många webbplatser med liknande sårbarheter gör WordPress till ett intressant mål för hackare. De gör det för att få tillgång till känslig information eller använda webbplatsen för att sprida skadlig kod till intet ont anande besökare. I den här artikeln ska vi titta på några åtgärder du själv kan göra för ett säkrare WordPress.
Är en öppen källkod säker?
WordPress är öppen källkod, vilket innebär att koden som din webbplats använder är fri att undersöka av alla som vill det. Det inkluderar hackare som letar efter sårbarheter och säkerhetshål att utnyttja. Med det i åtanke, är det säkert att använda plattformar som bygger på öppen källkod?
Men öppen källkod betyder inte bara att koden är tillgänglig för hackare, den är också tillgänglig för alla de som arbetar för att göra WordPress en säkrare plattform. WordPress säkerhetsteam är många frivilliga programmerare som hela tiden letar efter sårbarheter och hjälper till att täta till dom. Tänk det omvända. Du har anlitat någon som byggt webbplatsen åt dig med egen kod. Den koden måste hela tiden underhållas och uppdateras och det är ofta väldigt dyrt.
Webbhotellet kan ge dig ett säkrare WordPress
En viktig faktor för en säkrare webbplats är att du väljer ett webbhotell som tar säkerheten på allvar. Är de säkerhetsmedvetna? Förlitar de sig på den senaste tekniken och standarden?
Många webbhotell erbjuder s.k. delad hosting till lägre kostnad. Det betyder att du delar serverutrymme med andra kunder. Har du otur kan någon annan webbplats på servern bli hackad och skadlig kod sprider sig vidare till alla webbplatser på den delade servern. Om du har råd, överväg att uppgradera till ett VPS eller dedikerad hosting (egen server).
Hur vet man om ett webbhotell är noga med säkerheten?
Kontrollera om de använder uppgraderad programvara. Det finns fortfarande webbhotell som kör PHP 5. Idag är PHP 7.0 en absolut minimigräns. Detsamma gäller för annan programvara som cPanel, MySQL eller andra databasprogram, samt operativsystemet.
Välj ett webbhotell som eventuellt erbjuder malware skanning och borttagning. Alla webbhotell har inte en policy för att ta bort skadlig kod från en infekterad webbplats och vissa tar extra (ibland ganska mycket) betalt för att göra det.
Ett av de mest effektiva sätten för ett webbhotell att öka säkerheten är att använda en brandvägg eftersom det stoppar obehörig extern åtkomst till servern. Kontrollera om webbhotellet har det och andra metoder på plats innan du gör ett val. Inga frågor är för dumma även om du säkert kommer att få svar i stilen, ”självklart har vi det”.
>> Lär dig mer om WordPress på vår WordPress Grundkurs
SSL – ett måste idag
Ett SSL-certifikat (Secure Sockets Layer) krypterar data som skickas mellan användaren och webbplatsen. Du ser om din webbplats har SSL på en låssymbol man hittar i adressfältet och att URL:erna alltid börjar med HTTPS. Idag varnar många webbläsare användare för att besöka webbplatser som saknar SSL-certifikat. Det kommer garanterat skrämma bort många besökare även fast din webbplats är säker. En del webbhotell har SSL som en del av tjänsten de tillhandahåller, men det finns förvånansvärt fortfarande många webbhotell som tar hutlöst betalt för SSL.
SSL hindrar ingen från att hacka din webbplats, men är bra att ha för att få förtroende av dina besökare. Om ditt webbhotell har SSL som en del av tjänsten du betalar för brukar det fungera automatiskt. Skulle du behöva hjälp att knuffa igång SSL på webbplatsen kan du testa tillägget Really Simple SSL som får igång certifikatet.
Säkerhetskopiera din webbplats
Många säger att det är inte om din webbplats kommer att bli hackad eller krascha utan när. Därför är det alltid behändigt att ha en säkerhetskopia. Det enklaste är om webbhotellet du använder säkerhetskopierar webbplatsen åt dig och även erbjuder återställning om något skulle hända.
Det behöver inte handla om att du blir hackad, det kan vara en vanlig uppdatering som ställer till något. Då är det skönt om man kan backa tillbaka webbplatsen en dag så att den fungerar igen. Efter det kan man försöka förhindra att man får samma problem igen.
Även om du har ett webbhotell som säkerhetskopierar webbplatsen kan det vara praktiskt att då och då göra egna säkerhetskopior. Jag har råkat ut för att webbhotellets säkerhetskopiering inte fungerat när jag väl behövde det. Därför gör jag också egna säkerhetskopior med hjälp av tillägg.
Det finns flera tillägg för säkerhetskopiering. BackupBuddy, UpdraftPlus, BackUpWordPress eller VaultPress är några exempel på populära tillägg.
Uppdatera tillägg och tema för ett säkrare WordPress
Har du ett bra webbhotell och säkerhetskopior av webbplatsen har du kommit långt. Men det finns mer att göra.
Ett tillägg eller tema som inte är uppdaterat är som en öppen dörr för alla hackare. Att uppdatera WordPress, temat du använder och tillägget är en av de bästa sätten för ett säkrare WordPress. Det finns ingen anledning att inte uppdatera webbplatsen.
Det är inte bara viktigt att uppdatera allt på webbplatsen. Det är också mycket enkelt. Du får notifieringar i adminpanelen när det finns uppdateringar. Välj och uppdatera ett tillägg i taget. På så sätt vet du vilket tillägg som orsakar problem om det skulle hända när du uppdaterar. Jag brukar börja med att uppdatera tilläggen först, efter det temat och allra sist WordPress i den ordningen. Tipats
Se alltid till att du verkligen har en säkerhetskopia tillgänglig innan du uppdaterar. Tänk också på att du ibland själv måste kontrollera om det finns uppdateringar till en del premiumtillägg och teman. Det är inte alla som ger notifieringar i adminpanelen.
Viktigast av allt är att uppdatera WordPress egna filer. 39% av alla hackade webbplatser hade inte gjort det. Det är så viktigt att uppdatera WordPress att du alltid ska göra det, även om något tillägg skulle sluta fungera. Om det händer får du fundera över att byta ut det tillägget istället.
Ta bort WordPress versionsnummer i källkoden.
De flesta WordPress-webbplatser har en metatagg som innehåller WordPress versionsnummer som webbplatsen använder. Det gör det enklare för hackare att utnyttja kända säkerhetshål i en viss version av WordPress. Genom att dölja versionsnumret kan du få ett säkrare WordPress.
Du kan ta bort versionsnumret genom att placera en kort snutt kod i webbplatsens functions.php-fil. För att kunna göra det behöver du komma åt den filen på webbservern. När du laddat ner filen, öppnar du den med en textredigerare och lägger till följande kod till filen:
remove_action(’wp_head’, ’wp_generator’);
Den enkla koden döljer WordPress versionsnummer från hackare.
Installera tillägg och teman från betrodda källor
Ett annat misstag WordPress-användare gör är att ladda ner tillägg och teman från webbplatser de inte har en aning om de är seriösa eller inte. Ett dåligt tema eller tillägg kan krascha webbplatsen eller i värsta fall injicera skadlig kod.
Tredjepartswebbplatser och utvecklare stöds inte av WordPress, och du vet aldrig vad du får. Undvik allt som kommer från okända webbplatser. Om ett tillägg är populärt eller får många positiva recensioner bör det vara säkert att installera.
Det är inte heller 100% säkert att alla tillägg och teman du kan ladda ner inifrån WordPress är garanterat säkra. Undvik att ladda ner tillägg som inte har uppdaterats under det senaste året, har färre än några hundra installationer, eller som fått låga betyg av andra användare.
Premium-tillägg och teman kostar pengar och det är många som frestas att ladda ner piratversioner. Du bör absolut undvika s.k. ”nulled” tillägg och teman. Ett tema eller tillägg som är ”nulled” är inte bara olagligt utan innehåller ofta kod som installeras på din webbserver. Ibland kan den skadliga koden ligga vilande i flera månader innan den plötsligt förstör webbplatsen på olika sätt, visar annonser du inte vill förknippas med eller skickar vidare information om kontokort, epostadresser och annat. Dessutom har du ingen tillgång till uppdateringar om du använder piratkopierad mjukvara så det är alltid ett dåligt val att använda sådan, oavsett vad du har för moralisk syn på det.
Installera bara programvara från WordPress-arkivet eller betrodda utvecklare du litar på.
Inaktivera filredigering för ett säkrare WordPress
Om du installerar WordPress standardfiler har du åtkomst till alla filer som ligger på webbservern, fast direkt inifrån WordPress. Du hittar filredigeraren under Utseende >> Temaredigaren.
Du kanske tycker det är behändigt att ha tillgång till filerna direkt inifrån WordPress? De flesta WordPress-användare är inte programmerare och har ingen nytta av att komma åt koden på det sättet. Dessutom kan en hackare som tagit sig in på webbplatsen använda Temaredigeraren för att köra skadlig kod eller radera delar av din webbplats. Därför är det klokt att avaktivera Temaredigeraren för att få en säkrare webbplats.
Det här kan du göra med en enda rad kod i filen wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Om du själv skulle behöva redigera din webbplats eller något tillägg kan du bara sätta på temaredigeraren igen genom att tillfälligt ersätta ordet true med false i koden.
Att inaktivera filredigering kommer inte hindra alla hackare, men det kommer att förvirra de mindre erfarna och förhoppningsvis få dom att ge upp sina försök.
Säkrare inloggning
Ett av de vanligaste sätten att ta sig in på en WordPress-webbplats är att gissa användarnamn och lösenord. Det kallas för en Brute Force-attack. Det går till så att man provar vanliga kombinationer av användarnamn och lösenord. Så en väldigt grundläggande metod till en säkrare webbplats är att inte använda för enkla inloggningsuppgifter.
Admin som användarnamn är ingen bra idé. Det är inte heller särskilt säkert att använda ditt namn eller smeknamn som inloggning. Det är uppgifter som är enkla att ta reda på. Samma sak gäller födelsedagar eller liknande. Många använder titeln på webbplatsen och det är nästan lika enkelt som Admin.
Du måste också välja ett säkert lösenord. Samma regler som för användarnamn gäller. Undvik personlig information, enkla val som ”lösenord”, ”12345” eller något som man enkelt kan relatera till din webbplats.
Ett bra lösenord är mer än 10 tecken. Använd inte bara bokstäver, blanda versaler och gemener och undvik vanliga ord och fraser. Tycker du att det är svårt att komma ihåg långa och komplicerade lösenord kan du använda någon app för lösenord.
Dölj inloggningssidan
Vem som helst kan komma till inloggningssidan på din webbplats genom att gå till dinwebbplats.se/wp-admin. Du kan förhindra det genom att ändra URL till inloggningssidan. Tillägget WPS Hide login kan hjälpa dig med det. Det är bara att installera, aktivera och göra inställningar för att byta URL.
Tänk på att inte bara byta till en ny URL man kan lista ut hur enkelt som helst, typ /inloggning. Välj något som du kommer ihåg, men som hackaren inte kan lista ut.
Efter det kan du också installera ett tillägg som begränsar antalet inloggningsförsök med fel lösenord. Ett tillägg som Limit Login Attempts begränsar hur många gånger man kan ange fel lösenord innan man blir utelåst. Det kan också upptäcka och omdirigera robotar bort från din inloggningssida.
Ett sista steg kan vara att ställa in tvåstegsautentisering med hjälp av ett tillägg som t.ex. Two-Factor
Förutom att ange ett användarnamn och lösenord för att komma in, behöver besökaren ytterligare en metod för autentisiering. Det vanligaste är ett sms som skickas till din telefon. En hackare kan kanske få tillgång till din e-post, men det är mycket osannolikt att de kommer att stjäla din telefon. Tvåstegsautentisering kan vara lite bökigt eftersom du inte får glömma telefonen hemma, men kan vara värt för att få ett säkrare WordPress.
Sammanfattning för ett säkrare WordPress
Att använda sig av den gamla devisen, bäst att inte röra den björn som sover, och inte uppdatera gäller inte WordPress. Uppdateringar är basen för en säkrare webbplats. Genom att uppdatera och följa de råd du fått i den här texten har du ökat säkerheten på din webbplats betydligt och då har jag inte ens föreslagit att du ska installera ett säkerhetstillägg som Wordfence, Sucuri eller iThemes Security, vilket så klart ytterligare förbättrar säkerheten.
Välj ett modernt webbhotell med säkra servrar, installera ett SSL-certifikat, säkerhetskopiera webbplatsen och håll din webbplats med WordPress, teman och tillägg uppdaterade och se till att du har ett säkert användarnamn och lösenord. Då har du basen till en säkrare webbplats.