Online sikkerhed er ekstrem vigtigt fordi mere og mere data bliver tilgængeligt online. Noget data ønsker man måske at holde privat og netop derfor bør sikkerhed altid komme i første række. Omkring 20% af alle hjemmesider benytter WordPress, det er derfor et fortrukket offer for hackere. Grunden er at hackere ved at mange deres benytter WordPress benytter standard indstillinger og bruger. Hackeren kan derfor nemt udvikle et værktøj, der automatisk kan udnytte sikkerheds hullerne.Du spørger måske dig selv: hvorfor skulle jeg blive hacket? Til dette kan jeg kun svare, fordi! Der er mange forskellige slags hackere og de har selvfølgelig forskellige mål. Nogle hackere går efter penge og andre går måske efter email adresser. Du kan også være uheldig at blive forsøgskanin, for en hacker der skal teste sine evner og metoder.
Sikkerhed i WordPress
Der findes desværre ikke sikkerhed der er 100% sikkert imod hackere, men der er flere ting du kan indføre, for at gøre det udviklet for hackere at få adgang til data.
1. Ændre admin brugernavn
Når man opsætter et WordPress site, så bliver der oprettet en standard bruger kaldet “Admin”. Som sagt er det en standard bruger, som har administrator rettigheder til WordPress hjemmesiden. Admin brugeren er en stor trussel imod hackere, fordi de allerede kender brugernavnet. På den måde kan hackere forkorte sin process, da hackeren ikke først skal finde en bruger med administrator rettigheder.
Du kan komme uden om dette problem ved at oprette en ny bruger i WordPress og tildele brugeren administrator rettigheder. Log derefter ud og log på med den nye bruger. Som det sidste så sletter man admin brugeren fra brugerlisten.
2. Stærkt password
“12345678” og “Password” er ikke sikre passwords og de bør ALDRIG benyttes!! ( Her finder du de mest brugte passwords). Din bruger skal have et stærkt password så hackere og computer programmer, som benytter imod brute force (Programmer der forsøger at gætte brugernavn og passsword). Med et stærkt password forlænger du processen for hackeren. Med ekstrem sikre password er det næsten umuligt for programmet at gætte rigtig, medmindre hackere har adgang til meget store computer ressourcer.
Du bør heller ikke benytte din fødselsdag i dit password. Hvis du har problemer med at finde et sikkert password, så benyt en
3. Limit Login Attempts
Hvis hackere eller robotter forsøger at logge ind på din hjemmeside ved brug af brute force, så finderes der flere WordPress plugins, som kan afhjælpe problemet. Limit Logins Attempts er et WordPress plugin, som låser en IP adresse efter et antal forkerte login forsøg. Dette kan forlænge brute force processen, da hackeren skal skifte IP-adresse efter for eksempel 5 forkerte login forsøg.
Der er dog en mindre ulempe ved sikkerhed imod brute force. Hvis du skulle glemme dit password og indtaster et forkert password for mange gange, så vil din IP-adresse også blive blokeret. Man kan dog komme uden om dette, ved at whiteliste sin IP-adresse. Dette kræver dog at du har en fast IP-adresse du kan tilføjet til indstillingerne i indstillingerne.
”Limit Login” er ikke det eneste plugin på market, der findes mange andre WordPress plugins, som også kan tilføje yderligere sikkerhed til WordPress. ”All In One WP security & Firewall” plugin har ekstrem mange muligheder for ekstrem høj sikkerhed.
4. Hold altid Plugin & temaer opdateret
Hold altid WordPress opdateret! Jeg ser mange kunder der ikke holder deres WordPress og WordPress plugins opdateret. Grunden til at man altid ønsker at have de seneste opdateringer installeret, er fordi opdateringerne retter fejl og sikkerhedshuller. Hvis du ikke sørger for at opdatere, så efterlader du måske åbne huller som hackere kan udnytte. Sørg derfor altid for at WordPress og plugins er opdateret!
5. Slet ubrugte temaer og plugins
Slet temaer og plugins via FTP eller WordPress dashboard, for at eliminere veje hackere kan udnytte for at opnå adgang til hjemmesiden. Derudover så frigøre du også disk plads på din web server. Du kan i nogle tilfælde opleve performance forbedring ved sletning af gamle deaktiveret plugins, man har jo lov at håbe 🙂
6. Forhindre besøgende i at oprette en bruger
WordPress tillader at besøgende kan register sig på din hjemmside. Hvis din hjemmeside er afhængig af at besøgende kan register sig, så skal du selvfølgelig ikke deaktiver denne funktion. Hvis du blot ønsker at besøgende skal kunne tilmelde sig dit nyhedsbrev, så bør man deaktivere ‘Anyone can register’ i WordPress. Du kan ændre indstillingerne i WordPress Dashboard under SettingsGeneral
Hvis du vil have ekstrem høj sikkerhed på dit WordPress dashboard(wp-admin), så kan du vælge kun at tillade specifikke IP-adresser adgang til din backend (wp-admin). Du kan nemt opnå denne sikkerhed ved at tilføje nedenstående linjer i din .htaccess fil.
Order Allow,Deny
Allow from www.ditdomænenavn.dk
Allow from x.x.x.x
Allow from x.x.x.x
Allow from x.x.x.x
7. Lav en backup!!
Sørg altid for at lave en backup så ofte som muligt! Hvis du skulle blive hacket, så vil den nemmeste fix være at benytte en backup, så man kangenskabe hjemmesiden fra før hacker angrebet. Hvis du ikke har en backup af dine WordPress filer eller i det mindste databasen, så kan et hacker angreb resulterer i data tab
8. Get Google Webmasters
Google Webmaster Tools som navnet fortæller er dette et webmaster værktøj fra Google. GWT(Google Webmasters Tools) giver dig detaljeret information omkring din hjemmeside og helbredet. Hvis du nogensinde bliver hacket, så har du behov for dette tool, for at få en clean report fra Google. Google tilføjer nemlig blokering til hjemmesider som indeholder trusler imod deres brugere. Hvilket vil sige at hvis en hacker har placeret farlige script på din webserver, så vil Google tilføje et ekstra sikkerheds filter, som vil vise den besøgende en advarsel, før de får adgang til hjemmesiden.
Hvis du har Google Webmaster tilsluttet din WordPress blog, så vil Google automatisk oplyse hvor de dårlige script befinder sig på din webserver. Efter udbedring og fjernelse af truslen, kan du få google til at lave en re-scan at din hjemmeside, for at tjekke helbredet på hjemmesiden. Når hjemmesiden er blevet erklæret helbredt af Google, så vil advarslen blive fjernet igen.
9. Undgå gratis temaer
Vi taler ikke om de 3-4 standard teamer der findes som standard i WordPress. Her snakker vi om gratis teamer som kan hentes rundt omkring på internettet. Benyt aldrig de gratis temaer og såkaldte nulled theme! fordi temaerne kan på forhånd indeholde dårlige scripts og andre former for trusler. Hold dig til specielt designet temaer eller premium theme. De førende sælger er themeforest, her finder du både premium themes og plugins, der tit bliver opdateret for sikkerhed og fejlrettelser.
10. Ændre rettighederne på filer
WordPress filerne på din webserver indeholder rettigheder, som fastslår hvem der har mulighed for at udføre ændre på filerne. Hvis rettighederne er sat forkerte på filen, vil det kunne resultere i at hackere kan tilføje dårlig kode til filen. Rettigheder er derfor ekstrem vigtigt! Rettighederne på foldere bør være 755. Individuelle filers rettigheder skal være sat til 644. Hvis du ikke er skarp i webserver rettigheder, så kan du kontakt din hosting udbyder for optimale rettigheder.
Som nævnt tidligere er der desværre ingen sikkerhed der er skudsikker! Men sørg altid for at gøre det så svært som muligt for hackere, så de ikke når deres mål! og husk nu den backup! 🙂
Læg en kommentar