Selv om WordPress sin kjerne er svært sikker og er revidert av flere hundre utviklere, er det mye som kan gjøres for å heve sikkerheten til et toppnivå.
Vi i B17 tror at sikkerhet ikke bare handler om å eliminere risiko, men også å forebygge risikoen for angrep. Dette kan du gjøre uten å være veldig kunnskapsrik rundt sikkerhet.
Vi har satt sammen en guide for hvilke tiltak du kan gjøre for å holde nettsiden sikker. Denne guiden tar for seg hvordan du skal beskytte deg mot malware og hackere.
Innhold i guiden
Grunnleggende om sikkerhet for WordPress
Tiltak i WordPress
WordPress sikkerhet du kan gjøre selv
Grunnleggende om sikkerhet for WordPress
Når du eier en fysisk butikk er det du som er ansvarlig for å beskytte den. Dette gjelder også når du eier en nettside. En hacket WordPress-side kan gjøre stor skade både for deg som eier, men også for de som besøker nettsiden. En hacket nettside kan stjele informasjon om brukere, implementere skadelig kode og til å med slette data.
Som worst case scenario, så kan hackerne kreve penger for å åpne nettsiden din igjen.
I november 2021 hadde GoDaddy et sikkerhetsbrudd på sin WordPressløsning. Dette resulterte i at 1.2 millioner WordPress-sider ville være sårbare for angrep.
Det er et godt eksempel på hvorfor du selv må sørge for at nettsiden din er trygg. Du kan aldri stole hundre prosent på at en leverandør av webhosting holder dataen din sikker.
Hold WordPress, utvidelser og template oppdatert
WordPress oppdaterer stadig sin kjerne med sikkerhetstiltak, funksjoner og forberedelser. Disse oppdateringene oppdateres både automatisk og manuelt, helt avhengig av hva det gjelder.
WordPress har også et stort community der utvidelser og templates utvikles. Disse er spesielt viktig å holde oppdatert når dette blir levert av en tredjepart.
For å holde sikkerheten optimal, er det viktig at du kontinuerlig er observant på oppdateringer for WordPress. Det gjør du i administratorpanelet ditt på nettstedet. Du kan også skru på notifikasjoner når nye oppdateringer er tilgjengelig. Går det for lang tid mellom oppdateringene, er du mye mer utsatt for angrep.
Passord og brukeroller
En av de vanligste måtene å få tilgang til en WordPress-side er via passord som har blitt stjålet fra brukere. Derfor er det alltid lurt å ha vanskelige passord som ikke kan dekrypteres av boter eller programvare. Dette gjelder både for brukere, ftp-kontoer, database, e-poster og andre tilganger.
Et vanskelig passord består av spesialtegn, store og små bokstaver, tall og ikke bokstaver som kan være et ord i rekkefølge. Bruk heller ikke årstall i passordet ditt.
Det kan også være lurt å gi ut så få administrator-roller som mulig på nettstedet. Dette minsker sjansen for at brukere kommer på avveie og at en adminbruker blir hacket. Du kan lese mer om rollefordeling til WordPress her >
Velg et webhotell som er sikkert
Et webhotell er grunnlaget for sikkerheten for nettsiden din. Dette er det laveste nivået man kommer til for sikkerhet, så hvis dette ikke er godt rustet så vil nettsiden være svært utsatt. Derfor kan det være lurt å velge en leverandør som har en brannmur som passer din nettside.
Et godt webhotell består av:
- Godt cachesystem som speeder opp nettsiden
- Backup av nettsiden daglig
- Brannmur som tilpasses etter hva slags trafikk som besøker nettsiden
- Blokkerer tilgang til områder på webhotellet som er utsatt
- Sikkerheten heves opp og ned ettersom man oppdager mistenkelig trafikk
Du kan lese mer om hvorfor rask webhosting senker bounce rate her >
Grunnleggende om sikkerhet for WordPress
Sette opp en backupløsning
Hvis en statlig nettside kan bli hacket, så kan din nettside også bli hacket. Derfor er det alltid lurt å ha en backup. Det finnes flere type løsninger for backup, som er både gratis og betalte. Vi tar utgangspunkt i den enkleste måten der du kan ta en backup i WordPress.
En sikkerhetskopi gjør at du enkelt kan hente tilbake nettsiden din eller flytte den til et annet webhotell.
Det viktigste du trenger å huske på når det kommer til backups er at du må ha backupen et annet sted enn der du har nettsiden din. Hvis det skjer noe med webhotellet ditt, så er det dumt å ha backupen samme sted.
En backup bør ihvertfall taes minimum 1 gang om dagen. Frekvensen kan taes oftere om du for eksempel har en nettbutikk der det er konstant nye ordre eller endringer.
Vi anbefaler en utvidelse til WordPress som heter Updraft Plus. Det er en plugin som kan lagre en backup til eksterne hostingløsninger, som for eksempel Google drive, Dropbox, SFTP, Amazon, One drive og mer.
Installere brannmur i WordPress
For at du skal kunne vite hva som skjer på nettsiden din, er det lurt å installere en sikkerhetsutvidelse. Vi i B17 anbefaler å installere Wordfence som utvidelse for sikkerhet. De har en gratisversjon som dekker mye av den nødvendige beskyttelsen. Vi anbefaler også å kjøpe en fullversjon. Det er en investering i trygghet for din bedrift og dine besøkende.
Wordfence vil la deg overvåke trafikk, filene dine og eventuelle angrep.
Typiske varsler vil være mislykket pålogging av bruker, farlige filer, innbrudd på nettsiden, feil på utvidelser eller kode.
Sørg for at nettsiden kjører med SSL
For at nettsiden din skal kjøres under en sikker protokoll, må SSL installeres på din WordPress-side. SSL står for Secure Sockets Layer. Denne protokollen sørger for at dataoverføringen mellom nettstedet ditt og brukernes nettleser krypteres. Ved å ha SSL installert, vil det være vanskeligere for angripere å sniffe rundt på nettsiden og stjele informasjon.
Det er som regel leverandøren for ditt webhotell som må installere et SSL-sertifikat på nettstedet ditt. Hvis ikke kan dette gjøres der du har kjøpt domene ditt.
For å konvertere fra en ikke- sikker tilkobling(HTTP) til sikker kobling(HTTPS/SSL), kan du bruke en plugin som heter Really Simple SSL. Dette bruker du typisk hvis du har hatt en nettside som har kjørt uten SSL-sertifikat for å så aktivere SSL.
WordPress sikkerhet du kan gjøre selv
Endre navn på administratorbruker
I mange år hadde WordPress som standard å navngi en administrator “admin”. Problemet med å ha et fast brukernavn på en administrator er at det blir mye enklere å hacke brukeren.
Denne standarden har WordPress endret de siste årene, så du må nå manuelt velge et tilpasset brukernavn.
Har du en bruker som heter administrator eller admin, så anbefaler vi på det sterkeste å endret navnet på brukeren.
Skru av filredigering
WordPress har et standard innebygd filredigeringsverktøy i administratorpanelet. Hvis dette verktøyet kommer i feil hender, så kan dette få store konsekvenser. Du har da muligheten til å skru det av via wp-config.php
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Deaktiver PHP i mapper
For å stramme inn enda mer på sikkerheten kan det være lurt å sette opp føringer for hvilke mapper du kan kjøre med PHP.
For å sette opp dette går du til den mappen du ønsker skal ha restriksjoner for å kjøre med PHP. Her oppretter du en fil med navn .htaccess
I denne filen putter du følgende:
<Files *.php>
deny from all
</Files>
Begrense påloggingsforsøk
Standardoppsettet for påloggingsforsøk i WordPress har ingen begrensninger. Derfor kan det være lurt å endre hvor mange forsøk man har, for eksempel 5 ganger. Dette gjør at boter og hackere blir stoppet hvis de gjetter feil passord for mange ganger.
Den enkleste måten å sette opp en begrensning er via en plugin som heter Login lockdown >
Når du har installert pluginen går du til settings og velger oppsett for hvordan du ønsker å ha det.
Endre database tabell-prefix
Alle WordPress databaser har en standard tabell prefix som starter på wp_. Hvis din database bruker denne standarden vil det være enklere for hackere å endre på en tabell hvis de vet navnet på den. Derfor anbefaler vi at du endrer standard prefix på tabellene.
Du kan endre prefix med en plugin som heter Brozzme DB Prefix >
- Installer utvidelsen
- Gå til verktøy og velg DB Prefix
- Skriv inn ny DB prefix og trykk på Fullfør
* Hvis filen wp-config.php ikke er skrivbar vil du få en feilmelding fordi denne utvidelsen ikke kan endre database prefix i wp-config.php.
Skru av XML-RPC
Som en standard har WordPress aktivert XML-RPC for å ha kontakt mellom nettsiden og mobilapplikasjoner. Dette er en funksjon som begynner å bli ganske utdatert. Det betyr også at det lett kan utnyttes til å få tilgang til nettsiden din.
Hvis en hacker ønsker å prøve 800 forskjellige passord på nettstedet ditt, må de da gjennomføre 800 separate påloggingsforsøk som vil bli fanget opp og blokkert av login lockdown utvidelsen.
Men med XML-RPC kan en hacker bruke system.multicall-funksjonen til å prøve tusenvis av passord med for eksempel 20 eller 50 forespørsler.
Logg ut automatisk brukere på tid
Som vårt siste tiltak anbefaler vi å installere en utvidelse som regulerer hvor lenge en bruker kan være inaktiv før den blir logget ut.
Du kan laste ned utvidelsen for inaktive brukere her >
- Installer utvidelsen
- Gå til innstillinger og sett hvor lenge en bruker må være inaktiv før den logges ut
HAR DU SPØRSMÅL OM SIKKERHET RUNDT WORDPRESS?
