Det populära innehållshanteringssystemet WordPress används numera i stor utsträckning. I den här artikeln vill vi ge dig några tips om hur du kan säkra din WordPress-installation.
På grund av den stora spridningen av WordPress är det tyvärr också ett populärt mål för hackare och det förekommer tyvärr också automatiserade attacker på WordPress-installationer gång på gång där man kontrollerar om de innehåller kända säkerhetsbrister.
Det är därför mycket viktigt att du alltid håller din WordPress uppdaterad. För professionell användning är det därför också bra att anlita en byrå som håller WordPress uppdaterad och välja ett webbhotell som också använder en brandvägg för att skydda systemet på bästa möjliga sätt mot kända attacker.
Vi har här listat de viktigaste punkterna för att skydda din WordPress-installation.
[tie_list type="checklist"]- Håll alltid WordPress uppdaterad
WordPress är inte bara en programvara för bloggar, utan kan utrustas med så kallade plug-ins, tillägg med olika funktioner. Många användare använder särskilda plugins och teman för enskilda webbplatser. Det största problemet med attackerna är bristen på uppdateringar av installationerna.
Tips: Välj om möjligt ett webbhotell för WordPress-installationen med ett administrationsgränssnitt som hjälper dig att uppdatera WordPress och plugins. Vår rekommendation är att använda följande Plesk som programvara för hantering.
Aktivera den automatiska uppdateringen av WordPress.
Programvaran hålls alltid uppdaterad. Detta är också möjligt för många Plusins.
Det är lämpligt att regelbundet logga in i wordpress administrationsgränssnitt och kontrollera programvarans aktuella status. WordPress visar direkt om uppdateringar finns tillgängliga.
Mer problematiskt är teman, dvs. färdiga designer som vanligtvis innehåller betalda tillägg. Dessa teman installeras vanligtvis inte automatiskt utan måste uppdateras manuellt. För att göra detta måste du ladda ner den aktuella versionen av temat från tillverkaren och kopiera den till katalogen themes. Efter uppdateringen är det vanligtvis bara några få inställningar som behöver göras i temaadministrationen.
[tie_list type="checklist"]- Använd krypterade anslutningar.
WordPress-inloggningsuppgifter är mycket eftertraktade och kan lätt spioneras ut på ett osäkert nätverk, t.ex. när du loggar in på ett öppet wifi på en restaurang eller ett hotell.
Du bör därför alltid använda ett certifikat för en hemsida. Det är bäst att välja ett webbhotell som kan skapa ett certifikat åt dig. Det kostar bara några euro per år för ett professionellt skydd av din anläggning.
Se alltid till att du har krypterad åtkomst till din WordPress-installation via https://, samt säker e-poståtkomst och säker inloggning via FTP-nöt vid behov. När du har använt en okrypterad anslutning rekommenderar vi att du byter ut alla lösenord omedelbart.
[tie_list type="checklist"]- Spara filen wp-login.php
Det finns också ett sätt att byta namn på wp-admin-katalogen, men det kan orsaka problem med WordPress funktionalitet. Det enklaste sättet att skydda sig mot de flesta bruteforce-attacker där lösenord helt enkelt gissas är att inkludera kod i .htaccess-filen. Detta kan kombineras väl med lösenordsskydd.
[tie_list type="checklist"]- Skydda administrationskatalogen med ett lösenord.
Dessutom bör du skydda denna katalog med ett lösenord. Din leverantör erbjuder möjligheten att inrätta katalogskydd för vissa kataloger. Skydda administrationskatalogen med ett komplicerat användarnamn och lösenord som är minst 12 tecken långt och innehåller specialtecken. Välj aldrig lösenord som bara är 8 tecken långa. Dessa anses numera allmänt osäkra och kan vanligtvis knäckas snabbt, eftersom de redan har beräknats i förväg beroende på krypteringstypen.
Efter lösenordsskyddet öppnar du .htaccess-filen och klistrar in följande kod ovan:
ErrorDocument 401 "Låst
ErrorDocument 403 "Låst
# Tillåt plugins att få tillgång till admin-ajax.php trots lösenordsskydd
Beställning tillåta,neka
Tillåt från alla
Tillfredsställer alla
Detta säkerställer att WordPress-plugins fortfarande kan kalla filerna.
[tie_list type="checklist"]- Använd allmänt tillgängliga plugins och teman så mycket som möjligt.
Plugins är vanligtvis ansvariga för säkerhetsbrister i WordPress. Plugins och teman är små programpaket som tillhandahålls av tredjepartsleverantörer. I princip är idén bra, men det finns numera många tvivelaktiga leverantörer och leverantörer som helt enkelt inte har någon kunskap och därför skapar programvara som innehåller säkerhetshål. Det finns praktiskt taget inget skydd mot detta för lekmannen. Vi rekommenderar därför att du endast använder plugins som redan har installerats ofta och som har ett bra betyg.
Använd inte gratis teman som du kan ladda ner från vilken webbplats som helst. Köp ett tema t.ex. på Themeforest eller Templatemonster från en så kallad elitleverantör, dvs. professionella programmeringsgrupper som har en hög omsättning.
Var också uppmärksam på när den senaste installationen är. Leverantörer som inte uppdaterar sina plugins och teman eller som redan har slutat utveckla dem rekommenderas inte.
[tie_list type="checklist"]- Ta bort oanvända teman och plugins
Om din webbplats är klar och du vill börja, rekommenderar vi alltid att du raderar oanvända plugins och teman helt och hållet. Detta gäller även WordPress egna teman som inte kan tas bort lika lätt. Potentiella angripare gillar att gömma sina filer i dessa standardkataloger, så det är tillrådligt att radera oanvända filer helt och hållet. Du kan göra detta via administrationsgränssnittet eller via FTP. Ta helt enkelt bort de kataloger från temakatalogen som du inte använder.
[tie_list type="checklist"]Använd en programbrandvägg
[/tie_list]Om möjligt bör du använda en programbrandvägg. Detta är en programvara som kontrollerar varje anslutning och erbjuder många möjligheter att förhindra potentiella attacker.
Hos många leverantörer finns det gratis alternativ som fail2ban (rekommenderas), mod_säkerhet Använd WAF för att blockera kända attacker eller tvivelaktiga kända IP-adresser. I delade webbhotellsmiljöer, dvs. små webbhotellskonton, är detta vanligtvis inte möjligt eftersom det finns för många specialfunktioner som inte kan ställas in globalt. För professionell användning rekommenderar vi att du i alla fall använder en hanterad V-server, dvs. en separat miljö bara för din webbplats.
Hos vissa premiumleverantörer kan du också använda en extern brandväggslösning för din webbplats. System från Barracuda, Sonicwall och Imperva finns till exempel här. Dessa filtrerar trafiken innan den når webbservern och blockerar de flesta attacker. En sådan lösning är dock relativt dyr, 50-250 euro per månad, och lämpar sig endast för yrkesmässigt bruk.
Slutsats: Det är mycket enkelt att skapa en webbplats själv med WordPress. Den automatiska uppdateringen som många webbhotell erbjuder är också bra jämfört med andra innehållshanteringssystem. Om du alltid ser till att dina tillägg är uppdaterade (minst en gång i veckan) kan inte mycket hända dig.
Det som inte kostar något är också värdelöst. Tyvärr gäller detta för många plugins och teman. Observera att många bedragare infekterar teman med skadlig kod och distribuerar dem sedan gratis som sina egna teman. Så snart du har installerat något sådant här, kommer din webbplats snabbt att användas för att skicka ut Spam eller angrepp på andra.
