WordPress sikkerhed er ofte et overset emne, blandt hjemmesideejere, men faktum er at op mod 30.000 WordPress sider bliver hacket hver dag.
Det sker fordi de enkelte sider ikke er beskyttet godt nok, og fordi mange mangler viden på området. En ubeskyttet WordPress side, kan være meget sårbar overfor hackerangreb.
Du vil sikkert blive meget ærgerlig over at få hacket din side, og måske miste alle de indlæg, som du har brugt hundredevis af timer på.
Heldigvis kan du med nogle få enkle midler, øge sikkerheden på din side, og du behøver ikke være programmør eller WordPress ekspert.
Herunder vil jeg forsøge at forklare hvorfor WordPress sikkerhed er så vigtig, og du får 10 gode råd til at øge sikkerheden på din hjemmeside.
Klik og se indholdsfortegnelsen:
WordPress sikkerhed
WordPress sikkerheden kan øges på flere måder, dels med nogle helt grundlæggende ting, som jeg mener bør være i orden, og som umiddelbart kan implementeres, og dels via plugins.
Der findes en del plugins som både kan beskytte din side og scanne den for virus, og der findes både gratis og betalte løsninger. En kombination af den grundlæggende sikkerhed og plugins, er efter min overbevisning en god løsning.
Send hackeren ind til naboen
Hvis en hacker virkelig vil hacke lige præcis din side, så er der nok ikke så meget at stille op, men hvis du sikrer din side bedst muligt, så kan det jo være han finder det for besværligt, og går ind til naboen i stedet.
Hvis din side bliver hacket, er det dog sjældent personligt, men snarere noget der rammer helt tilfældigt, pga. manglende generel sikkerhed.
Hvorfor bliver WordPress sider hacket?
Ifølge Wikipedia drives over 23% af verdens hjemmesider af WordPress, og er dermed det mest udbredte CMS (Content Management System) der findes. I og med der er findes så mange sider, er WordPress blevet stort nok til, at det er interessant for en hacker at lede efter sikkerhedshuller, og gå efter dem.
Hvis det lykkes hackeren at finde et hul i WordPress, så er der pludselig adgang til rigtig mange websites. Hackere scanner et stort antal hjemmesider, og leder efter svagheder i installationen og i de installerede plugins og temaer.
Hvad sker der når hackeren har fået adgang?
Når Hackeren har fået adgang til din administrator side, kan de bruge serveren som din side ligger på til at sende spam, erstatte dine sider med deres eget indhold, eller indlægge skadelig kode og links til deres egne sider.
Nogle hackere har et klart (kriminelt) mål med at hacke din side. Det kan f.eks. være at få de besøgende til at downloade en skadelig fil, der giver adgang til vedkommendes computer.
10 råd om WordPress sikkerhed som du kan bruge med det samme
Brug aldrig “admin” som brugernavn på administratorkontoen
Mange hackerangreb er såkaldte Brute Force angreb, hvor hackeren forsøger at gætte kodeordet til din administrationsside. Da Admin er navnet på WordPress’ standard administratorbruger, er det nærliggende for en hacker at forsøge med den.
Hackerne bombarderer siden med alle mulige tilfældige kodeord, og måske er de heldige at finde det rigtige.
Opret en administrator bruger med et andet navn og slet Admin. Du opretter og sletter brugere I kontrolpanelet under Brugere -> Alle brugere.
Du må godt være lidt kreativ, når du skal vælge dit brugernavn. Lad være med at bruge dit eget navn, det er alt for let at gætte. Hvis hackeren både skal gætte brugernavn og password, så er det straks meget sværere for ham
Brug ikke din administratorbruger når du skriver indlæg
Nogle temaer viser brugernavnet på forfatteren, til de indlæg der ligger på bloggen. Hvis det samtidig er brugernavnet på din administratorkonto, så har hackeren allerede dit administrator brugernavn. Nu skal han bare gætte dit password. Du kan dog oprette et Kaldenavn (under Brugere i kontrolpanelet) som er det der vises på hjemmesiden.
Opret en Forfatter eller Redaktør, og brug den når du skriver indlæg, og brug kun din administratorbruger, når du skal ændre i din WordPress opsætning, installere plugins osv.
Du kan oprette en ny bruger I kontrolpanelet under Brugere -> Tilføj ny.
Hvis der er flere redaktører på din blog, så sørg for, at de kun har præcis de rettigheder, de har brug for. I WordPress findes der fem forskellige brugerniveauer
- Abonnent – Ingen rettigheder, men kan kommentere uden at skulle udfylde navn osv.
- Bidragyder – Kan skrive indlæg, men ikke selv publicere dem
- Forfatter – Kan skrive , udgive og redigere egne indlæg
- Redaktør – Kan skrive , udgive og redigere alle indlæg samt administrere sider
- Administrator – Har rettigheder til alt
Du kan oprette alle de brugere, du har behov for.
Brugernavne og passwords
Vælg et brugernavn der er svært at gætte.
Brug gerne flere sammensatte ord med store og små bogstaver, tal og tegn.
Vælg et stærkt password, og udskift det en gang i mellem. WordPress har en indbygget indikator der angiver, om dit password er stærkt nok.
Hvis du har flere forskellige WordPress sider, så brug aldrig det samme brugernavn og password på dem alle.
Hvis du har problemer med at finde på et godt brugernavn og password, så kan du bruge Nortons Password Generator.
Det kan være meget svært at huske alle brugernavne og passwords. De fleste browsere har en indbygget funktion til at huske passwords, men hvis du vælger at bruge den metode, skal du være opmærksom på, at andre brugere af din computer, kan få adgang til dine koder.
En bedre løsning er, at bruge et program til at huske brugernavne og passwords. Jeg bruger selv programmet Lastpass, som virker fortræffeligt. Lastpass fungerer på den måde, at du har et masterpassword som du logger ind med, og så gemmer du alle dine øvrige passwords her. Lastpass genkender selv de sider du vælger i browseren, og foreslår de rigtige brugernavne og passwords. Lastpass findes også i en betalingsverison, som giver adgang til at bruge programmet på mobile enheder. Lastpass har også en indbygget password generator.
Husk også at lave et stærkt password til FTP. Hvis dit webhotel understøtter sFTP eller FTPs, så brug det. Det vil kryptere dine data, og gøre det umuligt for en hacker at opfange dit password.
Hold WordPress opdateret
Dette er det vigtigste råd af alle, når vi taler om WordPress sikkerhed – Sørg for at holde WordPress opdateret.
I hver opdatering bliver kendte sikkerhedsbrister lukket, og derved sikrer du, at en hacker ikke kan udnytte gamle huller i sikkerheden.
Det er ikke kun opdateringerne til din WordPress installation der skal indlæses, men også opdateringer til plugins og temaer.
Fra WP version 3.7 bliver sikkerhedsopdateringer til WordPress automatisk installeret, men større versionsændringer f.eks. fra 3.7 til 3.8 osv. skal stadig installeres manuelt.
Du kan altid gå til Kontrolpanel -> Opdateringer og kontrollere, om der er tilgængelige opdateringer.
Hvis du har købt dit tema, på en af de mange sider der udbyder dem, så kontrollér jævnligt om der er opdateringer. Hos de fleste udbydere af temaer, kan man tilmelde sig en mailliste, og automatisk blive adviseret, når der er opdateringer.
Det gælder også for plugins, der ikke er downloadet hos WordPress.org
Hvis du har oprettet et testsite, som du bruger til at teste temaer og plugins, så husk også at opdatere det. Hvis du har brug for et testsite, så kan du med fordel vælge at installere det lokalt på din computer, så det ikke udgør en risiko på dit webhotel.
Pas på gratis temaer
Der findes tusindvis af sider på nettet, hvor du kan downloade gratis temaer. Sikkerhedseksperterne fraråder at downloade gratis temaer fra disse sider, da de meget ofte kun er lavet med det formål, at lægge skadelig kode på din side, og derved give en hacker adgang til siden.
Jeg har tidligere hørt om eksempler, hvor der blev udbudt et gratis tema som var uden virus, men første gang temaet skulle opdateres, havde programmøren indlagt kode der gjorde, at han kunne hacke siden. Der findes ganske givet masser af ærlige udbydere af gratis temaer, men hent ikke noget fra en side, du ikke stoler 100% på.
Der findes et plugin der hedder Theme Authenticity Checker, der kan scanne temaer for mistænkelig kode.
Minimér antallet af plugins
Dårligt kodede plugins og plugins der ikke er opdateret, kan udgøre en sikkerhedsrisiko og samtidig påvirke WordPress load hastighed.
Derfor bør du ikke ukritisk installere plugins, men nøjes med dem der er absolut nødvendige.
Slet de plugins du ikke bruger. Hvis et plugin indeholder skadelig eller dårlig kode, er det ikke nok at deaktivere det. Hvis du fortryder at du har slettet et plugin, kan du jo bare hente det igen.
Når du installerer et plugin via din administratorside, kan du se hvornår det sidst er opdateret. Hvis det er et plugin der opdateres jævnligt, er det som regel tegn på, at det er lavet af en ansvarlig programmør.
Når du installerer plugins, så brug samme regel som ved temaer – Virus og skadelig kode kan inficere siden via et plugin, så hent ikke noget fra sider du ikke stoler på.
Et godt tip er at besøge programmørens egen hjemmeside, og læse de kommentarer brugerne har skrevet. Hvis brugerne udtrykker utilfredshed med et plugin, så hold dig fra det.
Det er en god idé, at have en lokal installation af WordPress på din computer, så du kan teste et plugin, inden du installerer det på din side. Hvis du er uheldig og installere et plugin, der får siden til at opføre sig underligt, eller som får siden til at gå ned, så skal du manuelt fjerne det pågældende plugin. Du kan fjerne et plugin ved at logge ind via FTP og finde mappen /wp-content/plugins. Her sletter du mappen der indeholder det plugin der driller.
Tag backup
Sørg for at tage jævnlig backup af din WordPress installation.
Hvis du har lidt teknisk snilde, kan du lave en manuel backup af din database og dine WP filer. Udfordringen ved at lave manuel backup er, at huske at få det gjort.
Hvis du vil have backupprocessen automatiseret, kan du vælge at tage backup ved hjælp af et plugin. Jeg har testet en lang række plugins, inden jeg fandt et der virkede efter hensigten. Faktisk tog jeg i lang tid backup med et plugin, før jeg fandt ud af, at backup filerne slet ikke kunne indlæses (jeg kunne i hvert fald ikke få det til at fungere). Så husk at teste kvaliteten af dine backup filer. Mit valg faldt på et plugin der hedder WordPress Backup to Dropbox. Det tager en daglig backup, og sender backup filerne til min Dropbox.
Jeg har en lokal WordPress installation liggende på min computer, og der prøver jeg tid efter anden at indlæse en backup, for at teste, at alt er ok. Det er en god idé at gemme flere versioner af ældre backup’s. Hvis din installation har været inficeret i en længere periode, og du ikke kan lykkes med at fjerne de skadelige filer, skal du måske et stykke tilbage i tiden for, at finde en backup der er ok.
Hvis du ikke selv vil rode med backup, findes der en del online tjenester der, mod betaling, tilbyder at tage backup af din installation.
Om du vælger den ene eller den anden metode er ikke så vigtig, bare det fungerer for dig.
Hvis du selv vælger at tage backup, så tag en ekstra kopi og læg den på en USB nøgle, i Dropbox, på Google Drive eller lignende. Hvis din computer går ned eller bliver inficeret med virus, så har du altid en frisk backup af dit site.
Sørg for at godt antivirusprogram på din computer
Alverdens forholdsregler er ikke nok, hvis hackeren kan opsnappe brugernavn og adgangskode til din WordPress installation.
Hvis din computer bliver inficeret med virus, kan en hacker ved hjælp at en såkaldt keylogger, aflæse dine indtastninger og få adgang til dit site (og alle andre steder du logger ind).
Sørg for at installere et ordentligt antivirus program på din computer, og husk at holde dit styresystem og dine programmer opdaterede.
Der findes en masse antivirus programmer på markedet, både gratis og nogle der koster penge. Jeg har i tidens løb brugt gratis versionerne af Avast og AVG samt Microsoft Security Essentials, og de har indtil videre holdt min computer fri for virus.
.htaccess fil
.htaccess (Hypertext access) er en server konfigurationsfil, som kan bruges til at lave forskellige indstillinger i forhold til din hjemmeside.
Ved at indsætte små stumper kode i .htaccess, kan du bl.a. lave indstillinger der forbedrer sikkerheden på dit website. Det er disse indstillinger, vi vil kigge nærmere på her.
En .htaccess fil der ligger i roden (den øverste mappe) på dit webhotel, påvirker indstillingerne på hele din hjemmeside, mens en .htaccess fil der ligger i en undermappe, kun gælder for den pågældende mappe og mapperne derunder.
Når du skal redigere i .htaccess skal du hente den ned på din computer med FTP og lave ændringerne med en teksteditor. Jeg bruger selv Notepad++, men hvis du hellere vil bruge en anden editor, er der frit valg.
Husk ALTID at tage en backup af din .htaccess fil, inden du redigerer i den. Hvis noget ikke fungerer efter redigeringen, kan du altid uploade din backup.
Hvis du ikke gider rode med FTP, findes der forskellige plugins, der kan bruges til at redigere .htaccess. Jeg har prøvet WP Htaccess Editor, som fungerer udmærket, og du kan endda tage backup af din fil, inden du starter redigeringen.
Filer med punktum foran, som der er i .htaccess, betyder at der er tale om en skjult fil. Hvis du ikke kan se filen i dit FTP program, skal du lede efter en indstilling der hedder ”Vis skjulte filer”
Her kan du se nogle eksempler på, hvad du kan gøre med .htaccess. Hvis du vil afprøve nogle af funktionerne, skal du kopiere koden ind i din .htaccess fil og uploade den på dit webhotel.
Efter tegnet # kan du skrive en valgfri tekst, der beskriver den funktion koden har. På den måde kan alle vi der ikke roder med kode til daglig, huske hvad funktionen bruges til.
Denne kode beskytter wp-config.php, som indeholder information om adgang til din database. Du vil stadig selv have adgang til filen.
# Beskyt wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Tilsvarende kan man beskytte .htaccess filen, så ingen, udover dig selv, kan redigere i den.
# Beskyt .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
Bloker adgang for specifikke IP adresser. Erstat xxx.xxx.xxx.xxx med de pågældende IP adresser. Lav alle de linjer du har brug for. Denne funktion kan være god, hvis du bliver spammet eller angrebet fra en bestemt IP adresse.
Hackere benytter dog ofte forskellige IP adresser.
# Blokerer adgangen fra disse IP adresser
order allow,deny
deny from xxx.xxx.xxx.xxx
deny from xxx.xxx.xxx.xxx
allow from all
Tillad kun adgang fra specifikke IP adresser. Erstat xxx.xxx.xxx.xxx med de pågældende IP adresser. Lav alle de linjer du har brug for. Denne funktion kan f.eks. bruges, hvis du er ved at udvikle et site, som kun nogle få personer må få adgang til.
# Tillad kun adgang fra disse IP adresser
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from xxx.xxx.xxx.xxx
Kommentarspam
Kommentarspam har ikke så meget med WordPress sikkerhed at gøre, men jeg synes alligevel, jeg vil nævne det her. Det er nemlig vældig irriterende, at få sine kommentarer fyldt op med alle mulige spamkommentarer og reklamelinks.
Når din blog har været på nettet et kort stykke tid, kan du være sikker på, at spamkommentarerne begynder at vælte ind. Der findes spammere der ved hjælp af forskelligt software bombarderer WordPress sider, og forsøger at få folk til at klikke på deres links.
Hvis du vil undgå kommentarspam skal du prøve at kigge på det plugin der hedder Akismet.
Akismet fungerer på den måde, at det ved hjælp af en webtjeneste kontrollerer alle de kommentarer, der bliver skrevet på din blog. Spamkommentarerne bliver automatisk filtreret fra, og placeret i din WordPress spamfolder.
Akismet er gratis at bruge for private, hvorimod kommercielle blogs skal betale en licens. Hvis du tilmelder dig den gratis version, kan du bruge din Akismet licens på alle dine blogs.
Du kan eventuelt kombinere Akimet med Conditional CAPTCHA. Det er, som navnet antyder, et CAPTCHA plugin. Dvs. et plugin der beder den der skriver en kommentar om, at indtaste nogle tal og bogstaver i en bestemt rækkefølge for at sikre, at det ikke er en robot, der skriver kommentaren.
Det kan være temmelig irriterende for dine brugere, at skulle skrive disse tal og bogstaver, men det smarte ved Conditional CAPTCHA er, at det kun er kommentarer som Akismet har opfanget som spam, der bliver præsenteret for indtastningen.
Derved fanges eventuelle kommentarer, som fejlagtigt tages for at være spamkommentarer. Alle almindelige kommentarer vil aldrig skulle indtaste noget.
I Conditional CAPTCHA’s indstillinger kan du vælge, at alle kommentarer som er stoppet af Akismet, og som ikke har indtastet en korrekt CAPTCHA, bliver slettet.
Jeg bruger selv begge disse plugins, og jeg bruger aldrig mere tid på at slette spamkommentarer.
Plugins til WordPress sikkerhed
Udover disse “manuelle” tiltag, findes der en masse plugins der forbedrer sikkerheden på din WordPress hjemmeside.
Personligt har jeg erfaring med Wordfence og All In One WP Security & Firewall som begge har fungeret fint for mig. Begge plugins har en masse indstillingsmuligheder, og jeg anbefaler at du selv tester dem af.