WordPress är överlägset det mest populära sättet att bygga en webbplats. Tyvärr betyder det också att WordPress är ett populärt mål för hackers och hundratusentals webbplatser blir hackade varje år. Därför ställer sig många frågan hur det ligger till med WordPress och säkerhet. Nu finns det data som berättar hur många webbplatser med WordPress blir hackade och varför de blivit det och resultatet visar att det ytterst sällan beror på WordPress utan ofta handlar om otillräckliga rutiner och dåligt uppdaterade tillägg. WordPress i sig självt är säker programvara.
Så här blir webbplatser med WordPress hackade
Vi kan alltså konstatera att många WordPress-webbplatser blir hackade varje år. Men frågan är hur det går till? Är det ett problem med WordPress eller blir webbplatser hackade för att de har dåliga och bristfälliga rutiner. Nu finns det data från säkerhetsföretaget Sucuri som ger oss svaren.
Först och främst har de jämfört WordPress med andra CMS-system och där är WordPress det CMS som blir allra mest hackat. Men det som man ska ta med i beräkningen är att WordPress också står för den största andelen webbplatser totalt. Jämför man andelen hackade webbplatser med den totala marknadsandelen kan man se att WordPress, Joomla och Drupal står för huvuddelen av hackade webbplatser. WordPress har en något högre andel jämfört med marknadsandelar (83-60%) , Drupal har en betydligt lägre andel (4,0-1,6 %) och Joomla (13,1-6%) mer än dubbelt så hög andel. Med tanke på hur få som använder Magento som är ett ehandelssystem har de en anmärkningsvärt hög andel (6,5-2,4%). (första siffran andel hackade webbplatser, andra siffran marknadsandelar CMS)
Ej uppdaterad mjukvara
När vi nu vet att många webbplatser med WordPress blir hackade är det dags att titta på varför. Tittar man på data från hackade webbplatser, både WordPress och andra CMS kan man se att en stor andel hackade webbplatser är de som inte har uppdaterats till senaste versionen av mjukvaran. Intressant att se är dock att andelen för WordPress är betydligt lägre än på andra plattformar. Kan det bero på att det är enklare att uppdatera WordPress?
Gräver man ännu djupare i statistiken kring WordPress upptäcker man att merparten av hackade WordPress-webbplatser använder versioner av WordPress 3.X. Med andra ord, de är inte uppdaterade på väldigt länge.
Statistik visar att 38% av alla webbplatser med WordPress inte har uppdaterat till senaste versionen och att det är de webbplatserna som står för huvuddelen av alla hackade webbplatser.
Sammanfattat kan man säga att de som utvecklar WordPress är duktiga på att snabbt agera om någon upptäcker ett säkerhetsproblem med WordPress. Om man på en gång tillämpar de säkerhetsuppdateringar som WordPress släpper är det mycket osannolikt att webbplatsen kommer att bli hackad till följd av problem med WordPress kärna. Men struntar du i att uppdatera WordPress utsätter du dig alltid för en risk eftersom hackare alltid letar efter svagheter i koden och det är de svagheterna man åtgärdar med uppdateringarna.
Ej uppdaterade tillägg eller teman
En av orsakerna till WordPress popularitet är det stora utbudet av tillägg och teman. Idag finns det mer än 55 000 tillägg och 10 000 teman att välja bland. Men det stora utbudet av tillägg och teman utgör också en säkerhetsrisk. De flesta utvecklare följer kodstandarder och uppdaterar tillägg och teman kontinuerligt. Men det finns också tillägg och teman som överges av utvecklare och som därför aldrig uppdateras. Så frågan är hur stort är problemet? En undersökning från säkerhetsföretaget WordFence visar att över 60% av de webbplatser som vet hur de blivit hackade vet att det beror på en sårbarhet i ett tillägg eller tema.
Ska man peka ut några särskilda tillägg så visar undersökningar att tre tillägg står för mer än 15% av alla hackade webbplatser med WordPress. Det är tilläggen Revolution Slider, Timthumb och Gravity Forms. Men är de tilläggen särskilt sårbara eller dåliga på att skicka ut uppdateringar? Inte alls, samma undersökning visar att webbplatser som använt de tilläggen och blivit hackade inte har installerat tilläggens uppdateringar. Återigen pekar data på att om man installerat utvecklarnas uppdateringar hade webbplatserna aldrig blivit hackade.
Se upp för okända utvecklare
Nätet kryllar med tillägg och teman som man kan ladda ner från olika webbplatser. En del är gratis, andra kostar några kronor. Men man ska se upp när man laddar ner eller köper tillägg och teman från utvecklare man inte riktigt vet vilka de är. När man köper ett tillägg från en tredjepartsutvecklare måste man också lita på att de fångar upp eventuella säkerhetsproblem och åtgärdar dom med uppdateringar. Så köp aldrig något från utvecklare du inte litar på och vet att de kontinuerligt uppdaterar sin mjukvara.
Användarnamn och lösenord för WordPress och säkerhet
Ett väldigt vanligt sätt att hacka en webbplats är att gissa användarnamnet och lösenordet. Oftast är det inte en fysisk person som gör det utan det handlar om maskiner som testar olika kombinationer av användarnamn och lösenord. En undersökning visar att 16% av alla hackade webbplatser har blivit det p.g.a. användaruppgifter som hackaren listat ut. Det handlar inte heller bara om inloggningsuppgifter till WordPress adminpanel utan kan lika gärna vara en arbetsdator som lämnats inloggad eller att man tagit sig in via ett ftp-konto.
När en hacker har hittat nyckeln till en webbplats spelar det ingen roll hur mycket du uppdaterat WordPress, teman och tillägg.
När du installerar WordPress föreslår man ett svårt lösenord, men du som användare kan ändå välja ett enkelt. Så det är alltid fortfarande upp till användarna att hålla alla inloggningsuppgifter säkra och även använda starka lösenord på webbhotell och FTP. Idag finns det också möjligheten att använda tvåfaktorsautentisering för att logga in i WordPress.
Supply chain attacks
På senare tid har det upptäckts ett par fall av Supply Chain Attacks. Det är när en hackare köper ett tidigare populärt tillägg, lägger till skadlig kod till tillägget och sen när tillägget uppdateras kommer också den skadliga koden följa med in på webbplatsen.
Den här typen av attacker är svåra att försvara sig mot eftersom de utnyttjar det faktum att det är viktigt att uppdatera all mjukvara. Ett sätt att försvara sig mot det här är att försöka hålla ögonen på om de tillägg man använder försvinner från WordPress bibliotek. WordPress upptäcker oftast den här typen av försök och tar då bort tillägget från biblioteket. Problemet är att den som redan har tillägget kan få den skadliga koden via uppdateringar som inte skickas ut via WordPress bibliotek.
En bra strategi för säkerhetskopiering kan hjälpa dig att återställa webbplatsen utan någon permanent skada.
Webbhotell och gammal teknologi
Även webbhotellet och den teknik de använder spelar roll för säkerheten. PHP 7 innehåller många säkerhetsmässiga förbättringar jämför med PHP 5. Ändå så är det bara 33% av alla webbplatser som använder PHP 7 eller bättre. Det här är ju inget du som användare kan styra utan det är webbhotellet som bestämmer.
WordPress har satt en nedre gräns för PHP-version till 5.6. Ändå så är det fortfarande hela 28% av alla WordPress-webbplatser som använder en PHP-version lägre än 5.6.
Andra saker som webbhotellet kan säkra är en fungerande brandvägg, automatiska säkerhetsuppdateringar, tvåfaktorautentisering och automatiska säkerhetskopieringar. En sak du kan kontrollera med webbhotellet är hur de hanterar en hackad webbplats. Konstaterar dom bara faktum eller kommer du få hjälp att återställa webbplatsen.
Vem ansvarar för webbplatsens säkerhet
Med allt det vi vet om WordPress och säkerhet, vilka slutsatser kan vi då dra? Vi vet att 83% av alla WordPress-webbplatser har någon funktion som gör webbplatsen sårbar. WordPress arbetar aktivt med säkerheten och har ca 50 personer som enbart arbetar med det. Ungefär hälften är anställda av Automattic som utvecklar WordPress och den andra hälften kommer från de största säkerhetsföretagen.
När teamet har hittat ett säkerhetshål och åtgärdat det med en buggfix går de också ut med ett meddelande om att de åtgärdat problemet. Det de inte arbetar med är att se över teman och tillägg. Det är istället frivilliga WordPress-användare som försöker hålla koll på de delarna av WordPress. De gör ett bra jobb, men med så många teman och tillägg att välja bland är det ändå svårt att hålla ordning på samtliga.
Är WordPress säkert – sammanfattning?
Det viktigaste är att aldrig resonera som vissa gör kring uppdateringar. Varför väcka den björn som sover, varför uppdatera en webbplats som fungerar? Men tänker man på det sättet kommer man förr eller senare få webbplatsen hackad.
Inget CMS-system är 100% säkert, men om vi tittar på WordPress finns det en säkerhetsapparat kring själva WordPress kärna som gör det svårt att hacka WordPress den vägen. Om webbansvariga följer de rekommendationer för säkerhet som finns är WordPress finns det inget som säger att det skulle vara mer osäkert än andra CMS, snarare tvärtom.
Tänk på det här för en säker webbplats:
- Se till att hålla WordPress, tillägg och teman uppdaterade
- Välj tillägg och teman från välrenommerade utvecklare och källor du litar på
- Kan du välja mellan FTP och SFTP, välj alltid SFTP som är säkrare
- Använd starka lösenord för din WordPress inloggning och FTP-anslutning
- Fundera över tvåfaktorsautentisiering
- Använd SSL på webbplatsen så krypteras alla dataöverföring
- Välj ett webbhotell med säker miljö och senaste teknik som PHP 7+
Så vi ser att problemet sällan handlar om WordPress och säkerhet utan att man inte följer de råd och rekommendationer som finns. Om du följer råden ovan är din webbplats säker och otroligt svår att hacka och du kan sova lugnt på nätterna.
>> Vill du läsa hela Sucuris rapport?
Vill du lära dig mer om WordPress?
Vi har kurser både på distans och i klassrum
>> WordPress Grund distanskurs >> WordPress Fortsättning distanskurs
>> WordPress Grund klassrumskurs. >> WordPress Fortsättning klassrumskurs
Ansvarig utgivare
