WordPress sikkerhed
WordPress er et fantastisk CMS, og vi anbefaler det stort set altid, når nogen spøger til, hvad de skal lave deres hjemmeside med.
Desværre er WordPress også hullet som en si, når der kommer til sikkerhed, og WordPress-ejere spørger os derfor også ofte om hjælp, fordi deres sider er blevet hacket. Det er dog sjældent WordPress i sig selv, der er problemer med, når det kommer til sikkerheden, nej det er de mange plugins og temaer der findes, som desværre ikke altid er kodet med sikkerhed for øje.
Det betyder, at selvom ny hjemmeside med en standard WordPress installation egentlig er ret sikker, så kan den hurtigt bliver hacket, hvis du bare har ét plugin med en lille sårbarhed.
Vi skal i denne artikel dykke ned i, hvordan du kan sikre sin WordPress side, for man kan stort set ikke undgå at bruge plugins og temaer til WordPress, men man kan sikre, at de er i orden og up-to-date samt tage andre forholdsregler på sin side.
Vælg et godt og sikkert webhotel
Det er meget forskelligt, hvad de enkelte webhoteller gør for øge sikkerheden på din WordPress side og dit webhotel som helhed. Nogle har meget lav sikkerhed, og lader det være op til dig at sikre dig selv bedst muligt, mens andre har stor fokus på sikkerheden og forsøger at sikre deres kunder så meget som muligt, uden at de selv skal gøre så meget (fordi det også giver dem mindre support ;-)).
Vi anbefaler klart, at du vælger en webhotel-udbyder, som er proaktive i forhold til sikkerhed, specielt hvis du ikke er den store it-nørd og selv kan sørge for at sikre din side og dit webhotel generelt.
Herunder har vi fundet et par ting, som øger sikkerheden på dit webhotel og dermed også på din WordPress side.
Imunify360 eller lignende
Der findes en række softwareløsninger, som webhoteller kan investere i for at øge sikkerheden på deres kunders webhoteller. Et sådan stykke software kunne f.eks. være imunify360, som er en allround sikkerhedsløsning, som også har funktioner specifikt udviklet til WordPress.
Imunify360 har f.eks. en proaktiv malware scanner, som scanner alle filer der uploades til dit webhotel, og hvis den finder kode i disse filer, som den ved kan associeres med et hackerangreb sættes filen enten i karantæne eller udbedres automatisk.
Dette er rigtig smart, og Imunify360 fanger rigtig mange angreb på den måde.
Derudover har Imunify360 også en funktion, som jævnligt (alt efter hvordan webhotellet indstiller det) scanne dine side for f.eks. bagdøre og farlig kode. Hvis den finder en bagdør, fjernes den. En bagdør er et stykke kode, typisk gemt godt væk i noget andet kode på din side, men som en hacker kan bruge til at få adgang til din side.
Udbydere som danske nordicway ved vi kører med Imunify360.
Firewall
En firewall eller WAF (Web App Firewall ) er dybest set en række regler for, hvad der må og ikke ske på dit webhotel.
F.eks. kan en firewall regel være, at en php-funktion ikke må skrive ny kode til eksisterende filer eller at en url ikke må tilgås mere end x antal gange i sekundet.
Der er forskel på hvor strenge firewalls, og som webhotel-udbyder er det en fin balancegang mellem at have en firewall der er streng nok til at holde hacker-angreb ud, men ikke så streng at den blokerer handlinger, som faktisk er ok – også kaldet falsk-positiver.
Du skal selvfølgelig vælge en udbyder som har en firewall. Her kan du f.eks. kigge efter ModSecurity samt Imunify360, som også fungerer som firewall.
Gratis backup
Backup er også sikkerhed, og det er vigtigt, at din udbyder tager daglig backup af din side. Det gør de fleste op til 14 dage tilbage i tiden, men det er ikke alle, der giver dig adgang til denne backup uden ekstra omkostninger.
Du skal derfor sikre dig, at din webhotel-udbyder for det første tager backup (gerne til cloud) samt at du selv kan få fat på din backup når du har brug for den, så du ikke skal betale for eller vente på en backup, hvis din side bliver hacket.
Er du i tvivl om du har det rette webhotel eller har du slet ikke valgt et endnu, så har vi herunder samlet en liste med en række gode danske webhotel-udbydere, som vi ved gør en masse i forhold til sikkerhed:
Webhotel | Priser | ||||||||
---|---|---|---|---|---|---|---|---|---|
9 kr./md.Første år | 29 kr./md.Efterfølgende år | 110 kr.Oprettelse | 914 kr.Over 3 år | LÆS MERE OM nordicway | |||||
39 kr./md.Første år | 39 kr./md.Efterfølgende år | 0 kr.Oprettelse | 1404 kr.Over 3 år | LÆS MERE OM Duelhost | |||||
60 kr./md.Første år | 60 kr./md.Efterfølgende år | 0 kr.Oprettelse | 2160 kr.Over 3 år | LÆS MERE OM Netsite | |||||
5 kr./md.Første år | 66 kr./md.Efterfølgende år | 0 kr.Oprettelse | 1644 kr.Over 3 år | LÆS MERE OM Simply.com | |||||
16 kr./md.Første år | 161 kr./md.Efterfølgende år | 99 kr.Oprettelse | 4155 kr.Over 3 år | LÆS MERE OM DanDomain | |||||
99 kr./md.Første år | 209 kr./md.Efterfølgende år | 99 kr.Oprettelse | 6303 kr.Over 3 år | LÆS MERE OM Scannet | |||||
Data senest opdateret: 03.10.2024 |
Installer et sikkerhedsplugin
Der findes et hav sikkerhedsplugins, som du kan installere på din WordPress side, og som fra start, uden den store konfigurering, øger sikkerheden på din side. Vi kan f.eks. nævne “All in one wp security & firewall”, som vi selv bruger på en del WordPress sider.
Det er forskelligt, hvad de enkelte plugins kan, men herunder har vi beskrevet en række ting, som de fleste sikkerhedsplugins kan hjælpe dig med at forbedre på din side.
Skift admin-brugernavn
De fleste sikkerheds-plugins vil hurtigt opdage, hvis dit administrator brugernavn er f.eks. “admin” eller noget andet generisk. Dette er ret nemt at gætte for hackere, og derfor er det en god idé at skifte det til noget mere unikt.
Vælg en kode du ikke bruger andre steder
Har du en kode du bruger flere steder? Undlad at bruge den på din WordPress side. Hvis et af de steder du bruger koden bliver hacket (f.eks. hvis du har en bruger på et forum et sted), vil en hacker kunne købe din kode og den associerede e-mail på “the dark web” og teste om du måske bruger den samme e-mail og kode andre steder. Hvis du gør det på din hjemmeside, når du logger ind på din hjemmeside, kan hackere så nemt som ingen ting bare logge ind.
Vælg altid en unik kode som både bruger tal, bogstaver og specialtegn.
Skift admin-login url
Når du logger ind på en standard WordPress installation, så foregår det via /wp-login.php. Det ved hackere og bots på nettet godt, og derfor udsættes netop denne url for gentagne login forsøg og hacks.
Du kan dog undgå dette ved at ændre login-url´en til noget kun du ved, således at du skal gå til f.eks. /mit-nye-login for at logge ind. Denne side kender hackere ikke, og det gør det sværere for dem at bryde ind på din side. Et plugin som “All in one wp security & firewall” har en funktion, som hjælper dig med at ændre login-url til din side.
Bloker gentagne fejl-logins
Et typisk tegn på, at nogle forsøger at bryde din på din side er, når en bot eller person fra samme ip gentagne gange i træk mislykkedes med at logge ind, fordi de forsøger at gætte din kode. Når dette sker, kan et sikkerhedsplugin blokere for logins på den ip, således at hvis en person eller bot fejler i login mere end 4 gange indenfor et minut, så bliver de blokeret helt fra at besøge siden.
Du kan så manuelt ophæve blokeringen i tilfælde af, at det rent faktisk er en rigtig person, som gerne må logge ind, men som bare har brugt for mange forsøg.
Tjek fil-tilladelser
Filer på dit webhotel har forskellige tilladelser, således at nogle er “read-only”, mens andre kan redigeres. Det er dog vigtigt, at der ikke er fejl i disse tilladelser, og derfor kan et sikkerhedsplugin hjælpe dig med at identificere filer, som måske har de forkerte tilladelser og rette dem til det rigtige.
Er der f.eks. en fil, som ikke må kunne rettes, kan et plugin finde den og spørge dig om rettighederne til denne fil ikke bør ændres.
Herunder kan du se en video, som netop gennemgår “All in one wp security & firewall” pluginnet:
Sikre din wp-admin mappe
Wp-admin mappen er klart den vigtigste mappe i din WordPress installation, da det er her alle backendadministrationsfilerne ligger. Disse må under ingen omstændigheder ændres af andre end dig f.eks. ved opdateringer.
Du kan sikre, at kun du har adgang til mappen ved at oprette en .htaccess fil i din wp-admin mappe med nedenstående indhold:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist din IP adresse
allow from xx.xx.xx.xxx
</LIMIT>
Her udskifter du “xx.xx.xx.xxx” med din ip, og når du gemme filen, vil det kun være personer der sidder på din ip-adresse, altså dit netværk, som kan få adgang til denne mappe.
Har du allerede en .htaccess fil i din wp-admin mappe, kan du blot tilføje ovenstående.
Vær desuden opmærksom på, at de fleste idag har en dynamisk ip, som hele tiden skifter. Du skal derfor jævnligt ind og opdatere din ip, for at få adgang. Alternativt kan du nøjes med at indsætte den første del af din ip, da den typisk er konstant i forhold til den internetudbyder du har. Her vil din begrænsning så være, at det kun er personer der har internet fra den internetudbyder, som du har, der kan få adgang.
Har du f.eks. ip´en 83.89.249.143, kan du nøjes med at indsætte 83.89.
Du finder din ip ved blot at google “whats my ip”.
Hold plugins og temaer opdateret
Når du lige har lavet en hjemmeside, så er altid 100% opdateret, men der går typisk ikke længe før det første plugin eller ligefrem temaet skal opdateres.
Det kan godt være lidt nervepirrende at opdatere, da der jo altid kan gå noget galt, men det er vigtigt, at du alligevel får det gjort, da der som en del af disse opdateringer ofte er vigtige sikkerheds udbedringer.
Husk desuden på, at hvis dit webhotel tager backup af din side, så har du altid den du kan rulle tilbage til, hvis en opdatering laver rav i tingene. Der er derfor ingen undskyldning for ikke at holde sin side 100% opdateret hele tiden.
Vær varsom med plugins hvor noget kan uploades eller indsendes
Helt generelt skal du være varsom med plugins, hvor brugere kan uploade eller indsende noget. Dette er nemlig altid en form for dør for en hacker, da han her kan indsende/injecte kode på din side, hvis det plugin du har installeret ikke er sikret ordentligt.
Specielt plugins som disse, bør du altid være hurtig til at opdatere.
Sikring af dit domæne
Selvom dette ikke har direkte med WordPress at gøre, så er det stadig relevant når du har en WordPress hjemmeside.
SSL
Helt generelt bør du altid have SSL på din side – det vil sige at de loader på https fremfor http. Stort set alle hjemmesideudbydere tilbyder idag gratis SSL til deres kunder, og det er således kun et spørgsmål om, at du tvinger din side til at bruge https fremfor http. Det kan f.eks. nemt gøres med et plugin som Really Simple SSL
DNSSEC
DNSSEC (Domain Name System Security Extensions) er noget du kan opsætte på dit domæne, som øger sikkerheden på dit domæne, specielt i forhold til dem der besøger det.
DNSSEC opsættes via DNS-administrationen på dit domæne, og langt de fleste hosting-udbydere har en guide, der viser hvordan du gør. Vi vil ikke komme ydereligere ind på det her, men nu ved du at det også er en mulighed og at dit webhotel kan hjælpe dig med det. Prøv at søge efter “DNSSEC” i deres guide-database, og du vil sikkert finde noget hjælpe der.
Flere populære artikler
Nyheder
Hastighedstest: nordicway vs simply.com vs one.com
Stor hastighedstest af nordicway, simply.com og one.com - hvem kan hurtigst loade den præcis samme hjemmeside?... Læs nyhed
2024-10-06Danske WP Engine kunder kan ikke længere opdatere deres WordPress
Danske WP Engine kunder kan ikke længere opdatere WordPress. Her er alternativerne, som du kan flytte dit webhotel til.... Læs nyhed
2024-09-26Prisen stiger igen – denne gang hos one.com
Det er ikke længe siden at Simply.com hævede deres priser og nu har deres største konkurrent i Danmark gjort det samme. One.com hæver nemlig prisen på blandt andet deres begynder pakker, så den fremover koster 59 kroner om måneden i stedet for de 49 kroner om måneden den hidtil har kostet. Vi har fået meldinger […]
... Læs nyhed 2024-05-30Duelhost | Anmeldelse, priser og alternativer
Ovejer du Duelhost som dit nye webhotel? Læs vores anmeldelse af Duelhost og bliv klogere på dem inden du køber.... Læs nyhed
2024-01-15Simply.com hæver priserne frem mod 2024
Det er kun et år siden, at vi sidst kunne berette om, at Danmarks største udbyder af webhoteller Simply, hævede priserne. Nu er det dog sket igen, og Simply har hævet priserne på henholdsvis deres Basic og Standard suite. Prisstigningerne ser således ud: Basic suite: 56 kr/md, hæves til 66 kr/md Standard suite: 93 kr/md, […]
... Læs nyhed 2024-04-03E-studio | Anmeldelse, priser og alternativer
E-studio er et populært dansk webhotel. Læs vores anmeldelse af e-studio og bliv klogere på deres priser, alternativer og meget mere.... Læs nyhed
2024-05-15