5 tips der sikrer optimal sikkerhed på din WordPress hjemmeside
WordPress er det mest udbredte CMS i verden, og ca. 30% af alle websites er bygget i WP.
Det store antal WordPress hjemmesider gør hver enkelt hjemmeside til et yndet mål for hackere og IT kriminelle.
En hacker kan ødelægge din side på få sekunder, og derfor er det vigtigt, at du har styr på sikkerheden så du minimerer risikoen for, at dit arbejde med siden går tabt.
Tjekliste vedr. opsætning af sikkerhedsforanstaltning i WordPress
Når du opretter en ny WordPress side, er det vigtigt at du straks beskytter den bedst muligt mod hackerangreb. Det kan du bruge denne tjekliste til.
Tjeklisten kan naturligvis også bruges til eksisterende WordPress installationer, og jo før du kommer i gang desto bedre.
Tjeklisten ser således ud, og jeg foreslår at du laver ændringerne i denne rækkefølge:
- Ændring af brugernavn og password
- Opsætning af 2-faktor login
- Installering af sikkerhedsplugin
- Valg af plugins og themes
- Opsætning af backup
Ingen hjemmeside kan sikres 100%, men hvis du bruger de tips der nævnes her, vil du være godt beskyttet.
Start med at vælge et godt brugernavn og password
Det første du skal gøre, er at ændre brugernavn og password. Du må aldrig anvende brugernavnet ”Admin”, som WordPress er født med, da det er det første sted en hacker vil forsøge at få adgang.
Det er også en dårlig idé at bruge dit navn, firmanavn eller mailadresse, da det vil være for let at gætte. Vælg i stedet et brugernavn som ikke kan forbindes med din person, og som ikke er et ord der findes på din hjemmeside.
Husk at ændre kaldenavn i WP, så det ikke er dit brugernavn der bliver vist som forfatternavn, når du udgiver artikler.
Dernæst skal du vælge et password. For at et password er svært at bryde, skal det bestå af både store og små bogstaver, tal og tegn. Et password skal være langt, gerne 15-20 karakterer, og gerne det rene volapyk som f.eks. k5IgjL99IsOfe$6. Du må aldrig bruge det samme password flere steder, så hvert password skal være unikt.
Det er de færreste mennesker, der kan huske lange brugernavne og passwords. Det kan være en stor hjælp at installere en password manager, som kan huske alle dine brugernavne og adgangskoder.
En password manager er en database, hvor du indtaster alle de koder du har brug for at huske. På den måde skal du kun huske kodeordet til password manageren, og når du er logget ind på den, har du adgang til alle de brugernavne og passwords, du har lagt ind.
Der findes en del forskellige password managers på markedet. Bl.a. kan nævnes LastPass som findes i en gratis udgave, der opfylder de flestes behov. LastPass kan bruges på både computer og mobil, så der er adgang overalt, hvor du har internetadgang.
Brug 2-faktor login og få ekstra sikkerhed
Hvis du vil sikre din loginside yderligere, kan du bruge 2-faktor login, der effektivt beskytter mod Brute Force angreb.
Et Brute Force angreb foregår ved, at en hacker bombarderer din loginside med forskellige brugernavne og passwords, indtil han (måske) er heldig at ramme de rigtige.
Hvis du bruger 2-faktor login, skal du indtaste en ekstra kode, som kun du selv har adgang til. Det er typisk en kode, som du modtager i en app eller på SMS.
Et godt plugin til 2-faktor login er Google Authenticator. Når plugin’et er installeret, og du skal logge ind i WordPress, skal du bruge en ekstra 6 cifret kode. Koden får du på telefonen i Google Authenticator app, og det er ikke muligt at logge ind uden den ekstra kode.
2-faktor login giver dig en betydelig øget sikkerhed, men det kræver at du har din telefon ved hånden, når du skal logge ind i WP.
Sikkerhedsplugins giver det sidste lag sikkerhed
For at få det sidste lag af sikkerhed, kan du installere et sikkerhedsplugin. Der findes flere sikkerhedsplugins som kan bruges gratis i deres grundform, hvilket er en fin løsning for de fleste.
De mest kendte plugins er Wordfence, All In One WP Security & Firewall, iThemes Security og Sucuri Security, men som nævnt findes der flere andre.
Fælles for disse sikkerhedsplugins er, at de beskytter din WordPress installation nogenlunde på samme måde, som et antivirus program beskytter en computer. Her er et udpluk af nogle af funktionerne:
- Indbygget firewall der beskytter mod skadelig kode
- Blokering af IP-adresser ved for mange loginforsøg
- Brugere bliver automatisk logget ud, efter et givent tidsrum
- Aktivitetslog over brugere der har været logget på
- Kontrollerer om der foretages ændringer i WordPress filerne
- Mulighed for at blokere IP-adresser
- Og flere andre funktioner
De fleste plugins kan bruges uden nogen videre opsætning, men de har alle mulighed for at opsætte avancerede indstillinger, hvis du ønsker det.
Når du begynder at rode med de mere avancerede indstillinger, er der grund til at udvise forsigtighed, da du potentielt kan lukke dig selv ude af sitet. Læs vejledningen grundigt, så du forstår konsekvensen af de indstillinger du laver.
Pas på dårligt kodede plugins og temaer, og husk at opdatere
Det er let at falde i ”plugin-fælden”, og forfalde til at installere alverdens plugins med smarte funktioner.
Hvis du installerer for mange plugins på hjemmesiden, kan det have en negativ indvirkning på sidens loadtid, men værre er det, at hackere ofte kompromitterer en side igennem et plugin eller et tema.
Hvis en hacker kan finde et plugin eller et tema som kan hackes, skal han bare finde alle WordPress sider der bruger det pågældende plugin, for at få adgang til siderne.
Det er en god idé, kun at bruge plugins og temaer som jævnligt bliver opdateret, og husk altid selv at opdatere, når der kommer nye versioner.
Hvis du har mange WordPress installationer, findes der hjælpeprogrammer, der kan opdatere alle dine sider, uden du behøver at logge ind på hver enkelt side.
Husk også at opdatere WordPress installationen, når der kommer opdateringer til den.
Tag jævnlig backup af din WordPress installation
Husk at tage jævnlig backup af din installation. Hvis du skulle være uheldig at din side bliver hacket, kan du hurtigt genskabe siden, hvis du har en backup.
De fleste webhoteller vil kunne hjælpe med at genskabe din side, men hvis du har din egen backup, vil du sandsynligvis selv kunne løse problemet.
Nu har du en grundlæggende viden om Wordpress sikkerhed
Wordpress sikkerhed er et kæmpe emne, men nu har du fået en grundlæggende indsigt, og du kan gå i gang med at sikre din hjemmeside.
Det kan lyde som om man er en smule paranoid, når man taler om hackere og brute force angreb, hvis man bare driver en lille hjemmeside, men faktum er, at 90% af alle hackede websites bruger Wordpress som CMS.
Mange affiliatesider, webshops og firma hjemmesider er lavet i Wordpress, og her vil man miste indtægt, hvis siden er nede pga. hackerangreb.
Hvis du endnu ikke har sikret din side, så skynd dig at få det gjort.
Skriv en kommentar
Want to join the discussion?Feel free to contribute!