WordPress säkerhet – viktiga saker att tänka på

Vi på Decision By Heart och många andra har märkt av ett ökat tryck av hackerintrång bland WordPress-sajter på sistone. Vad beror det på och vad kan du se över själv för att undvika det? Vi hjälper dig med ett par tips på hur du i många fall kan förhindra hackning av din webbplats – som du kan göra själv eller helt enkelt se till att det blir gjort.

Vad är viktigt att tänka på kring WordPress säkerhet?

Vi listar ett antal enkla åtgärder för att förbättra din WordPress säkerhet:

  1. Grundläggande WordPress säkerhet.
  2. Säkert lösenord.
  3. Användarnamn som inte är förutsägbart.
  4. Begränsa och håll koll på antalet administratörer.
  5. Dölj din inloggningssida.

Ökat antal intrångsförsök

När alla högtider är avklarade börjar hackarna komma igång igen. För faktum är att hackarna inte jobbar så mycket under december och januari, kanske till följd av högtiderna. Även de behöver semester – tro det eller ej.

Nu rapporterar i alla fall kända cybersäkerhets-företag såsom Wordfence, WebARX, och NinTechNet att intrången ökat de senaste två veckorna. Vad som är gemensamt för intrången är att hackarna vill komma åt plugins där eventuella buggar finns istället för WordPress-sidan i sig.

De plugins det än så länge handlar om är:

  • Duplicator
  • Profile builder
  • Themegrill demo importer
  • Themerex addons
  • WooCommerce
  • Async Javascript
  • 10web map builder för Google Maps
  • Modern events calender lite

WordPress säkerhet

Vidare så är WordPress en av världens mest använda plattformar för webblösningar – ungefär 30 % av alla webbplatser och bloggar i världen är baserade på WordPress. Med en så bred användning av en öppen källkod blir det tyvärr också lockande för dem som vill ta sig in på andras webbplatser att välja just sidor byggda i WordPress som mål. Exakt vad det beror på att fler och fler sidor blir utsatta för intrång är det dock svårt att sia om.

Varför är din webbplats intressant för andra?

Om du inte håller din webbplats säker krävs det inte många minuter för en hackare att ta kontroll över din webbplats. Det är inte alltid informationen på din webbplats som en hackare är ute efter; syftet kan till exempel istället vara att ändra informationen och innehållet för hackarens egen vinning.

Det kan också röra sig om att komma åt din server för att skicka spam-mail eller en så enkel sak som att skapa länkar till sin egen hemsida för att förbättra sin ranking.

Detta är några anledningar till att din webbplats eller blogg alltid är intressant för en hackare – oavsett hur många eller få besökare du har och oavsett om du har affärskänslig information eller inte.

Därför är det viktigt att du gör allt du kan för att öka din egen WordPress-säkerhet. Här är några saker du bör hålla koll på för att minska risken att bli hackad:

Grundläggande WordPress-säkerhet

En av de mest grundläggande sakerna du bör göra för att hålla din webbplats säker är att se till att din WordPress-version är uppdaterad. Samma sak gäller det tema och de plugins du använder. Många gånger innehåller uppdateringarna säkerhetsförbättringar och buggfixar. Det visar sig nämligen att sårbarheten med plugins utgör över 50% av de vanligaste åtkomstpunkterna för hackare.

Har ditt plugin slutat uppdateras? Då är det bäst att hitta ett nyare plugin (med samma funktionalitet) som du kan byta till. Ett gammalt plugin är inte bara en stor säkerhetsrisk, det kan också påverka din webbplats prestanda.

Det är också viktigt att avinstallera plugin som inte används. Det är lätt att installera plugin för nya funktioner, men tas sällan bort när de tas ur bruk eller inte används längre.

Se också till att du och alla andra användare har säkra lösenord. Undvik också att skylta med vilken WordPress-version du använder. En hackare vet precis vilka luckor i säkerheten som varje WordPress-version har. Det är också nödvändigt att installera virus-program och kontrollera brandväggen på din dator eller nätverk.

Vad är ett säkert lösenord?

Hackare har sofistikerade sätt att ta reda på information och komma åt bland annat dina lösenord eller inloggningsuppgifter. Se därför till att du använder ett så säkert lösenord som möjligt – använd inga ord som exempelvis ett namn, årstider eller årtal. Kom också ihåg att byta ditt lösenord då och då.

Ett säkert lösenord är så oförutsägbart som möjligt. Därför kan det vara bra att använda ett genererat lösenord som är långt och som inte bildar något ord. Det finns flertalet gratis-tjänster för generering av lösenord – här är två exempel:

Användarnamn som inte är förutsägbart

Det är inte bara ditt lösenord som ska vara säkert – kombinationen med och valet av användarnamn är minst lika viktigt för din WordPress-säkerhet. Här gäller det också att göra det så svårt som möjligt för en hackare att komma fram till ditt användarnamn.

Undvik därför till exempel att använda samma namn som du använder när du publicerar blogginlägg eller nyheter, eftersom det ofta är synligt för alla besökare på din webb.

Begränsa och håll kontrollen över antalet administratörer

Är ni många som arbetar med innehåll och vidareutveckling av din webbplats? Då bör ni alla ha en personlig inloggning. Men det är viktigt att begränsa antalet administratörer till dem som verkligen aktivt arbetar med din webbplats. Se till att ta bort administratörer så snart någon slutar eller inte längre arbetar med webbplatsen.

Du vet väl också att du kan styra hur mycket varje person kan göra och se genom att ange behörighet? Alla måste inte kunna publicera och hantera allt innehåll. Och tänk på att inte låta någon välja eget lösenord! Ge alla ett säkert lösenord.

Dölj din inloggningssida

Standardinställningarna för att nå din inloggningssida för din WordPress hemsida är dinhemsida.se/wp-admin. Ett stort problem med detta är att hackare, scripts och bots också vet om det och är den första webbadressen de kommer att prova.

Om du ändrar webbadressen på din inloggningssida till något annat mer kryptiskt och oförutsägbart försvårar du för intrångsförsök och attacker. Det finns plugin för WordPress som du kan använda som hjälper dig att ändra webbadressen relativt enkelt.

Några exempel på dessa är säkerhetspluginet iThemes Security där du dessutom får mycket mer gällande säkerhet. Andra exempel som dessutom är något enklare är gratis-pluginet WPS Hide login. Detta plugin har ett enkelt inmatningsfält för din nya inloggningsadress. Välj något unikt som inte är förutsägbart och enkelt att komma på.

Ta hjälp av proffs för att öka din WordPress-säkerhet

Valet av lösenord och användarnamn samt hålla kontroll över antalet administratörer är något du kan styra över själv. Sen finns det många andra saker som ökar din webbplats säkerhet och som du troligtvis kan behöva hjälp för att se över. Det gäller bland annat att:

  • Välja ett webbhotell som har ett bra grundskydd.
  • Konfigurera driftsmiljön korrekt.
  • Avinstallera teman och plugins som inte används eller ta bort gammal kod.
  • Installera och framförallt konfigurera ett säkerhetsplugin på rätt sätt.
  • Löpande och kontinuerligt uppdatera din WordPress-version.
  • Uppdatera befintliga plugins löpande
  • Installera SSL-certifikat.
  • Begränsa antalet inloggningsförsök varje person kan göra.
  • Använda tvåstegsautentisering.
  • Säkerhetskopiera allt.

Kontakta oss om du behöver en hjälpande hand. Vi hjälper många utav våra kunder med underhåll och support.

Tommy Nilsson
Publicerat av
Tommy Nilsson Senior Front end-utvecklare tommy@decisionbyheart.com