WordPress har brutit mark länge och sedan ett par år tillbaka dominerar WordPress extremt stora delar av CMS-marknaden, det är också en av anledningarna till att vi på Lightweb valt att fokusera på just WordPress.
När ett verktyg blir så pass välkänt och användarna så många, bidrar det så klart till oerhört mycket positivt, det blir lättare att hitta kompetens, floran av plugins, teman och resurser öka drastiskt och säkerhetshål eller andra brister identifieras och åtgärdas ganska omgående.
Men det medför även en del negativa bitar, bl.a lockar den stora användarbasen till sig hackare och andra ”digitala skurkar” som specialiserar sig på att komma åt och utnyttja andras WordPressinstallationer för egna syften.
Man kan aldrig stärka säkerheten så pass att ingen kan hacka din webbplats, men däremot kan man ställa till det lite för hackarna- och enkla ”hardening” åtgärder kan göra att hackaren hoppar över just din webbplats. (lite som att sätta ett lås eller tejpa resväskan, det ställer till det för tjuven och dom väljer förhoppningsvis att gå på en annan väska som inte har det enkla låset).
Så i detta inlägg tänkte jag lista 5 enkla tips för hur du själv kan stärka och förbättra säkerheten på din (WordPress)-webbplats.
- Användarnamn och Lösenord
Det första är att välja bra användarnamn och lösenord för dina användare.
När man installerar WordPress skapas en administratörsanvändare som har fulla rättigheter till administrationen. Under många år fick denna användare ”admin” som användarnamn, detta gick inte att påverka vid installation och gjorde det extremt mycket lättare för hackare att hacka WordPress. Dom visste att det fanns en användare vid namn ”admin”, därav kunde dom fokusera på att bara knäcka lösenordet.
Sedan en tid tillbaka är det tack och lov upp till webbplatsägaren att namnge denna första användare, och vi kan bara ge en rekommendation – Välj aldrig ”admin” som användarnamn till någon användare.
Bonustips – Användare: Radera även användare som inte används, för varje användare som finns till din webbplats så finns ytterligare en väg in i ditt system, ta därför bort användare som inte används.
Resurser:
2. Uppdatera system, plugins och teman
Den vanligaste vägen in för hackare i din WordPressinstallation är via plugins/teman eller system som inte är uppdaterade. Att uppdatera system och plugins är väldigt enkelt- men se till att ha en backuplösning så du kan återgå till tidigare version av din webbplats om det skulle uppstå kompabilitetsproblem eller andra problem vid uppdatering. Att uppdatera ett tema kan vara lite stökigare, men tveka inte att kontakta din konsult eller byrå om du behöver hjälp.
Vi brukar rekommendera att man ser över sitt system i alla fall 2-4 gånger per år, och om man känner sig osäker – ta hjälp av en expert.
3. Webbhotell
Att välja rätt host är viktigt av så många skäl, inte minst spelar hastighet, tillgänglighet och support stor roll. En välkänd- etablerad host har också i regel mycket bättre tänk kring säkerhet.
Utöver att du bör välja webbhotell/host med omsorg så bör du också se till att sätta upp din drift säkert. Se te.x. till att ha bra användarnamn och lösenord till dina databaser och FTP konton. Och helst av allt – stäng av alla FTP-konton och använd istället sFTP/SSH.
Resurser:
- DigitalOcean – Grymt bra VPS hosting
- Loopia – Prisvärt och bra webbhotell
4. Backuplösning
Om olyckan väl är framme och du blir hackad eller på något sätt lyckas ställa till det i din WordPressinstallation, då finns det inget som är så skönt som att ha en bra backuplösning och att kunna återställa din webbplats med endast ett par knapptryck.
Resurser:
5. Enkel kod – (överkurs)
Med ett par enkla rader kod så kan man ytterligare förstärka säkerheten i din installation. Om du har tillgång till FTP och en kod eller texteditor så kan du förstärka säkerheten avsevärt.
- Dölj login-feedback
Navigera till —> wp-content/themes/ditt-tema/functions.php och lägg till följande stycke i din functionsfil.
add_filter('login_errors',create_function('$a', "return null;"));
Detta gör att om man skriver in fel användarnamn/lösenord så får man ingen textfeedback, som te.x. ”ditt användarnamn är fel”. Detta gör att den som försöker ta sig in omöjligt kan veta vad som är fel.
- Dölj versionsnummer på din WordPressinstallation
Vissa versioner av WordPress blir mer eller mindre utsatta för attacker, ofta är det en viss version som innehåller fler eller färre säkerhetshål. Din WP version skrivs ut i klartext i källkoden, något som gör det enkelt för hackare och annat bus att identifiera om du har en ”svag” eller ”stark” version av WordPress. Men man kan med en rad kod ta bort denna information ur källkoden.
Allt du behöver göra är att öppna samma fil som ovan: wp-content/themes/ditt-tema/functions.php och lägga till följande kod:
remove_action( 'wp_head', 'wp_generator');
- Ta bort editorn i WordPressadmin.
Inbyggt i WordPressadministrationen finns en kodeditor, som ger dig möjlighet att se och ändra koden på din webbplats. Om någon lyckas ta sig in i din administrationspanel så kan dom via denna editor ändra och lägga till kod, helt utan att ha access till din server.
Denna möjlighet är oerhört enkel att ta bort. Lägg bara till följande rad kod i din fil wp-config.php i rooten av din installation:
define('DISALLOW_FILE_EDIT', true);
Ovanstående 3 rader kod förstärker säkerheten i din WordPressinstallation många gånger om.
Hoppas ni uppskattar denna typ av inlägg, om vi får bra feedback kommer vi fortsätta att ge våra bästa tips om hur du tar hand om din WordPresswebbplats.
/ Oscar