Det populære indholdsstyringssystem WordPress er nu meget udbredt. I denne artikel vil vi gerne give dig et par tips til at sikre din WordPress-installation.
På grund af den store udbredelse af WordPress er det desværre også et populært mål for hackere, og der er desværre også automatiserede angreb på WordPress-installationer igen og igen, hvor det kontrolleres, om disse indeholder kendte sikkerhedshuller.
Det er derfor meget vigtigt, at du altid holder din WordPress opdateret. Ved professionel brug er det derfor også nyttigt at hyre et bureau til at holde WordPress opdateret og vælge en webhost, der også bruger en firewall for at beskytte systemet bedst muligt mod kendte angreb.
Vi har her listet de vigtigste punkter om, hvordan du kan beskytte din WordPress-installation.
[tie_list type="checklist"]- Hold altid WordPress opdateret
WordPress er ikke kun en software til blogs, men kan også udstyres med såkaldte plug-ins, udvidelser med forskellige funktioner. Mange brugere bruger særlige plug-ins og designs (temaer) til individuelle websteder. Hovedproblemet ved angrebene er manglende opdateringer af installationerne.
Tip: Hvis det er muligt, skal du vælge en webhost til WordPress-installationen med en administrationsgrænseflade, der hjælper dig med at opdatere WordPress og plugins. Vores anbefaling er brugen af Plesk som forvaltningssoftware.
Aktiver den automatiske opdatering af WordPress.
Softwaren holdes således altid opdateret. Dette er også muligt for mange Plusins.
Det er tilrådeligt at logge regelmæssigt ind på wordpress' administrationsgrænseflade og kontrollere softwarens aktuelle status. WordPress viser direkte, om opdateringer er tilgængelige.
Mere problematisk er temaer, dvs. færdige designs, som normalt indeholder betalte plusser. Disse temaer installeres normalt ikke automatisk, men skal opdateres manuelt. For at gøre dette skal du downloade den aktuelle version af temaet fra producenten og kopiere det til mappen themes. Efter opdateringen er det normalt kun nogle få indstillinger, der skal foretages i temaadministrationen.
[tie_list type="checklist"]- Brug krypterede forbindelser.
WordPress-loginoplysningerne er meget eftertragtede og kan nemt spioneres ud på et usikkert netværk, f.eks. når du logger ind på et åbent wi-fi på en restaurant eller et hotel.
Du bør derfor altid bruge et certifikat til en hjemmeside. Det er bedst at vælge en webhost, der kan oprette et certifikat for dig. Det koster kun få euro om året for en professionel beskyttelse af dit anlæg.
Sørg altid for, at du har krypteret adgang til din WordPress-installation via https://, samt sikker e-mailadgang og sikkert login via FTP-nød, hvis det er nødvendigt. Når du har brugt en ukrypteret forbindelse, anbefaler vi, at du straks ændrer alle adgangskoder.
[tie_list type="checklist"]- Gem filen wp-login.php
Der er også en måde at omdøbe wp-admin-mappen på, men det kan give problemer med WordPress-funktionerne. Den nemme måde at beskytte sig mod de fleste bruteforce-angreb, hvor adgangskoderne blot gættes, er at inkludere kode i .htaccess-filen. Dette kan kombineres godt med passwordbeskyttelse.
[tie_list type="checklist"]- Beskyt din administrationsmappe med en adgangskode.
Du bør desuden beskytte denne mappe med en adgangskode. Din udbyder tilbyder muligheden for at oprette en mappebeskyttelse for visse mapper. Beskyt din administrationsmappe med et kompliceret brugernavn og en adgangskode, der er mindst 12 tegn lang og indeholder specialtegn. Vælg aldrig adgangskoder, der kun er 8 tegn lange. Disse betragtes nu generelt som usikre og kan normalt hurtigt knækkes, da de allerede er blevet forudberegnet afhængigt af krypteringstypen.
Efter adgangskodebeskyttelsen skal du åbne .htaccess-filen og indsætte følgende kode ovenfor:
ErrorDocument 401 "Låst
ErrorDocument 403 "Låst
# Tillad adgang for plugins til admin-ajax.php på trods af adgangskodebeskyttelse
Ordre tillade,nægte
Tillad fra alle
Tilfredsstille enhver
Dette sikrer, at WordPress-plugins stadig kan kalde filerne.
[tie_list type="checklist"]- Brug bredt tilgængelige plugins og temaer så meget som muligt
Plugins er normalt ansvarlige for sikkerhedssårbarheder i din WordPress. Plugins og temaer er små softwarepakker, der leveres af tredjepartsleverandører. I princippet er ideen god, men der findes nu mange tvivlsomme udbydere og udbydere, som simpelthen ikke har nogen viden og derfor skaber software, der indeholder sikkerhedshuller. Der er praktisk talt ingen beskyttelse mod dette for lægmand. Vi anbefaler derfor, at du kun bruger plugins, der allerede er blevet installeret meget ofte og har en god bedømmelse.
Du må ikke bruge gratis temaer, som du kan downloade fra et hvilket som helst websted. Køb et tema f.eks. hos Themeforest eller Templatemonster fra en såkaldt eliteudbyder, dvs. professionelle programmeringshold, som har genereret en høj omsætning.
Vær også opmærksom på, hvornår den sidste installation er foretaget. Udbydere, der ikke opdaterer deres plugins og temaer eller allerede har indstillet udviklingen, kan ikke anbefales.
[tie_list type="checklist"]- Slet ubrugte temaer og plugins
Hvis dit websted er klar, og du vil i gang, anbefaler vi altid at slette ubrugte plugins og temaer fuldstændigt. Dette gælder også for WordPress' egne temaer, som ikke kan fjernes så let. Potentielle angribere kan lide at gemme deres filer i disse standardmapper, så det er tilrådeligt at slette ubrugte filer fuldstændigt. Det kan du gøre via administrationsgrænsefladen eller via FTP. Du skal blot slette de mapper fra tema-mappen, som du ikke bruger.
[tie_list type="checklist"]Brug en programfirewall
[/tie_list]Hvis det er muligt, bør du bruge en programfirewall. Dette er en software, der kontrollerer hver eneste forbindelse og tilbyder mange muligheder for at forhindre potentielle angreb.
Hos mange udbydere er der gratis muligheder som fail2ban (anbefales), mod_security Brug WAF til at blokere kendte angreb eller tvivlsomme kendte IP-adresser. I delte hostingmiljøer, dvs. små hostingkonti, er dette normalt ikke muligt, fordi der er for mange specielle funktioner, som ikke kan indstilles globalt. Ved professionel brug anbefaler vi under alle omstændigheder at bruge en administreret V-server, dvs. et separat miljø kun til dit websted.
Hos nogle premium-udbydere kan du også bruge en ekstern firewall-løsning til dit websted. Her findes f.eks. systemer fra Barracuda, Sonicwall eller Imperva. Disse filtrerer trafikken, før den når webserveren, og blokerer de fleste angreb. En sådan løsning er dog relativt dyr med 50-250 euro om måneden og er kun egnet til professionel brug.
Konklusion: Det er meget nemt at oprette et websted selv med WordPress. Den automatiske opdatering, som mange webhoteller tilbyder, er også nyttig i forhold til andre indholdsstyringssystemer. Hvis du altid sørger for, at udvidelserne er opdaterede (mindst en gang om ugen), kan der ikke ske så meget for dig.
Det, der ikke koster noget, er også ubrugeligt. Desværre gælder dette for mange plug-ins og temaer. Bemærk venligst, at mange svindlere inficerer temaer med skadelig kode og distribuerer dem derefter gratis som deres egne temaer. Så snart du har installeret noget som dette, vil dit websted hurtigt blive brugt til at sende Spam eller angreb på andre.
