WordPress har växt sig till att vara det största CMS programmet i världen, och detta på bara några år. Främst för att det är ett väldigt bra verktyg men också för att utvecklarna kör med en öppen källkod. Med en öppen källkod så kan vem som helst mixtra i koden och göra egna koder, samt utveckla egna så kallade plugins (insticksprogram). I och med detta så ökar risken markant för sabotage av WordPress drivna webbplats samt så ges det många vägar in för bland annat hackare. I denna artikeln ska vi ta upp hur man kan göra WordPress säkrare samt hur man gör det svårare för hackare att ta sig in.
- Användarnamn
Det absolut vanligaste inloggningsnamnet är ”admin”. Det är väldigt dumt att ha då in princip alla vet om detta. Ändra det och använd inte ditt eget namn eller domännamn som WordPress är installerat på. Driver man flera olika webbplatser/bloggar så ska man inte ha samma login till någon av dessa. - Lösenord
I de allra flesta fall så använder man ett lösenord som man kommer ihåg, oftast samma till olika typer av login. Använd aldrig samma till någon av dina sidor som kräver inloggning. När du väljer lösenord, blanda då små bokstäver med stora samt lägg till siffror för att göra det extra svårt att luska ut inloggningsuppgifter. - WordPress version
Använd alltid den senaste versionen av WordPress. När man är inloggad så kommer det automatiskt upp en förfrågan om man vill uppdatera sin version till en nyare. Gör detta då säkerheten är prioriterat även för utvecklarna av WordPress. - Temat och plugins
Att skaffa sig en unik design till sin WordPress sida är idag inget problem. Det finns 10 000-tals olika teman som man kan installera och utforma så att det passar precis till sin egna sida. Problemet med detta är att flera utvecklare av teman inte uppdaterar dessa så värst ofta, speciellt inte de som är gratis. Detta är en säkerhetsrisk som gör din sida sårbar för möjliga attacker. Detsamma gäller plugins. Se alltid till att använda ett tema som uppdateras markant samt använd plugin som är populära bland andra WordPress användare. Dessa brukar i regel uppdateras. Ett plugin det talas väldigt mycket om är Timthumb, Detta är ett redigeringsprogram för bilder som går att ladda ner eller som är inbyggt direkt i ett tema. Att inte ha detta insticksprogrammet uppdaterat medför en väldigt stor risk då det har säkerhetshål i äldre versioner som inte är stängda.Plugin som skyddar
– WordPress Firewall 2 hjälper att skydda mot de vanligaste attackerna.
– WordPress File Monitor Plus håller koll på om några filer ändras eller läggs till.
– BulletProof Security är likt det första pluginet som vi rekommenderar fast innehåller lite mer.
– Captcha funkar som en ”robotfälla”. Använd detta på din inloggningssida samt, registrering och återställning av lösenord. - Datorn smittar
Att ha sin dator virusfri samt skyddad mot andra sabotageprogram kan vara en av de viktigaste punkterna här. Det finns program som kan installeras på din dator och registrera lösenord och användarnamn och skicka dessa uppgifterna vidare till utvecklaren av sabotage programmet. Då är det inte så värst svårt att logga in på din sida och göra lite ändringar eller infektera filer. Många gånger vid hack attacker så syns det inte på sidan att den är hackad. Oftast är dolda länkar till diverse sidor av högre värde för hackaren och lämnar därför din sida så orörd att du knappt märker att den är infekterad. Vi har skrivit en artikel om hur du skyddar din dator samt dina inloggningsuppgifter från att kapas. - Backup av allt innehåll
Har man en sida som blivit hackad och inte riktigt vet hur man ska reda ut allt så kan det vara bra att använda ett webbhotell som ständigt tar backupper av sina kunder konton. Då är det bara att kontakta kundtjänsten och be de återställa hela ens konto/webbplats som det var för bara några dagar sen. Vi på Webbdo använder daglig-/veckor- samt månadsvis backup på vårt webbhotell! Vill man dubbelförsäkra sig själv så rekommenderar vi att ta backupper själv på sitt konto och ladda ner till sin egna dator och lagra. Man kan aldrig vara överförsäkrad! - Flera användare
Med WordPress så finns det möjlighet att skapa flera administrations-konton med olika login. Detta är väldigt vanligt om man driver en artikelkatalog eller någon större sida. För det första, ställ in korrekt så att användaren som skapar ett konto inte får administrations behörighet. Tillåt endast det nödvändigaste. Håll koll på antal registreringar och se om de är aktiva samt på vilket sätt. Är ett konto skapat och inte aktivt, vad finns det då för mening att ens ha det registrerat? Ta bort konton som inte används och lita inte på någon som vill ha ett administrations-konton för att exempelvis hjälpa dig med något angående WordPress. - Databasen och FTP
När man installerar WordPress så skapar man även användarnamn och lösenord till sin databas. Använd säkra inloggningsuppgifter och inte samma som man kommer att använda till WordPress för att logga in. Detsamma gäller för ditt FTP-login. Använd inte samma som någon av de andra två inloggningsätten.
Och sist men inte minst, man kan aldrig vara säker. Men man kan motverka en hel del genom att följa råden som angivits över.
Helt klart värt att gå igenom denna listan. Tackar tusen gånger om. Har inte haft ett ända intrång på flera månader!
Tack för din kommentar! Ja, även om det tar lite tid så är tiden man avsätter till säkerheten värt det. I den senaste versionen av WordPress 3.4.2 uppdaterades flera säkerhetshål vilket är bra. Men en av de viktigaste enligt mig skippade de konstigt nog. Men den ersätter WordPress firewall 2 som tur väl är.