WordPress sikkerhed

WordPress sikkerhed

WordPress er et fantastisk CMS, og vi anbefaler det stort set altid, når nogen spøger til, hvad de skal lave deres hjemmeside med.

Desværre er WordPress også hullet som en si, når der kommer til sikkerhed, og WordPress-ejere spørger os derfor også ofte om hjælp, fordi deres sider er blevet hacket.  Det er dog sjældent WordPress i sig selv, der er problemer med, når det kommer til sikkerheden, nej det er de mange plugins og temaer der findes, som desværre ikke altid er kodet med sikkerhed for øje.

Det betyder, at selvom ny hjemmeside med en standard WordPress installation egentlig er ret sikker, så kan den hurtigt bliver hacket, hvis du bare har ét plugin med en lille sårbarhed.

Vi skal i denne artikel dykke ned i, hvordan du kan sikre sin WordPress side, for man kan stort set ikke undgå at bruge plugins og temaer til WordPress, men man kan sikre, at de er i orden og up-to-date samt tage andre forholdsregler på sin side.

Vælg et godt og sikkert webhotel

Det er meget forskelligt, hvad de enkelte webhoteller gør for øge sikkerheden på din WordPress side og dit webhotel som helhed. Nogle har meget lav sikkerhed, og lader det være op til dig at sikre dig selv bedst muligt, mens andre har stor fokus på sikkerheden og forsøger at sikre deres kunder så meget som muligt, uden at de selv skal gøre så meget (fordi det også giver dem mindre support ;-)).

Vi anbefaler klart, at du vælger en webhotel-udbyder, som er proaktive i forhold til sikkerhed, specielt hvis du ikke er den store it-nørd og selv kan sørge for at sikre din side og dit webhotel generelt.

Herunder har vi fundet et par ting, som øger sikkerheden på dit webhotel og dermed også på din WordPress side.

Imunify360 eller lignende

Der findes en række softwareløsninger, som webhoteller kan investere i for at øge sikkerheden på deres kunders webhoteller. Et sådan stykke software kunne f.eks. være imunify360, som er en allround sikkerhedsløsning, som også har funktioner specifikt udviklet til WordPress.

Imunify360 har f.eks. en proaktiv malware scanner, som scanner alle filer der uploades til dit webhotel, og hvis den finder kode i disse filer, som den ved kan associeres med et hackerangreb sættes filen enten i karantæne eller udbedres automatisk.

Dette er rigtig smart, og Imunify360 fanger rigtig mange angreb på den måde.

Derudover har Imunify360 også en funktion, som jævnligt (alt efter hvordan webhotellet indstiller det) scanne dine side for f.eks. bagdøre og farlig kode. Hvis den finder en bagdør, fjernes den. En  bagdør er et stykke kode, typisk gemt godt væk i noget andet kode på din side, men som en hacker kan bruge til at få adgang til din side.

Udbydere som danske nordicway ved vi kører med Imunify360.

Firewall

En firewall  eller WAF (Web App Firewall ) er dybest set en række regler for, hvad der må og ikke ske på dit webhotel.

F.eks. kan en firewall regel være, at en php-funktion ikke må skrive ny kode til eksisterende filer eller at en url ikke må tilgås mere end x antal gange i sekundet.

Der er forskel på hvor strenge firewalls, og som webhotel-udbyder er det en fin balancegang mellem at have en firewall der er streng nok til at holde hacker-angreb ud, men ikke så streng at den blokerer handlinger, som faktisk er ok – også kaldet falsk-positiver.

Du skal selvfølgelig vælge en udbyder som har en firewall. Her kan du f.eks. kigge efter ModSecurity samt Imunify360, som også fungerer som firewall.

Gratis backup

Backup er også sikkerhed, og det er vigtigt, at din udbyder tager daglig backup af din side. Det gør de fleste op til 14 dage tilbage i tiden, men det er ikke alle, der giver dig adgang til denne backup uden ekstra omkostninger.

Du skal derfor sikre dig, at din webhotel-udbyder for det første tager backup (gerne til cloud) samt at du selv kan få fat på din backup når du har brug for den, så du ikke skal betale for eller vente på en backup, hvis din side bliver hacket.

Er du i tvivl om du har det rette webhotel eller har du slet ikke valgt et endnu, så har vi herunder samlet en liste med en række gode danske webhotel-udbydere, som vi ved gør en masse i forhold til sikkerhed:

Webhotel Priser
nordicway webhotel 9 kr./md.Først år 29 kr./md.Efterfølgende år 110 kr.Oprettelse 914 kr.Over 3 år LÆS MERE OM nordicway
Simply.com webhotel 9 kr./md.Først år 37 kr./md.Efterfølgende år 0 kr.Oprettelse 996 kr.Over 3 år LÆS MERE OM Simply.com
DanDomain webhotel 16 kr./md.Først år 161 kr./md.Efterfølgende år 124 kr.Oprettelse 4180 kr.Over 3 år LÆS MERE OM DanDomain
One.com webhotel 19 kr./md.Først år 49 kr./md.Efterfølgende år 0 kr.Oprettelse 1404 kr.Over 3 år LÆS MERE OM One.com
cHosting webhotel 22 kr./md.Først år 22 kr./md.Efterfølgende år 0 kr.Oprettelse 792 kr.Over 3 år LÆS MERE OM cHosting
Scannet webhotel 123 kr./md.Først år 248 kr./md.Efterfølgende år 0 kr.Oprettelse 7428 kr.Over 3 år LÆS MERE OM Scannet
Data senest opdateret: 16.04.2021

Den månedlige pris hos udbyderne i tabellen ovenfor er den pris, der er gældende det første år. Der tages således ikke højde for eventuelle rabatter eller prisstiginger efter det første år.

Installer et sikkerhedsplugin

Der findes et hav sikkerhedsplugins, som du kan installere på din WordPress side, og som fra start, uden den store konfigurering, øger sikkerheden på din side. Vi kan f.eks. nævne “All in one wp security & firewall”, som vi selv bruger på en del WordPress sider.

Det er forskelligt, hvad de enkelte plugins kan, men herunder har vi beskrevet en række ting, som de fleste sikkerhedsplugins kan hjælpe dig med at forbedre på din side.

Skift admin-brugernavn

De fleste sikkerheds-plugins vil hurtigt opdage, hvis dit administrator brugernavn er  f.eks. “admin” eller noget andet generisk. Dette er ret nemt at gætte for hackere, og derfor er det en god idé at skifte det til noget mere unikt.

Vælg en kode du ikke bruger andre steder

Har du en kode du bruger flere steder? Undlad at bruge den på din WordPress side. Hvis et af de steder du bruger koden bliver hacket (f.eks. hvis du har en bruger på et forum et sted), vil en hacker kunne købe din kode og den associerede e-mail på “the dark web” og teste om du måske bruger den samme e-mail og kode andre steder. Hvis du gør det på din hjemmeside, når du logger ind på din hjemmeside, kan hackere så nemt som ingen ting bare logge ind.

Vælg altid en unik kode som både bruger tal, bogstaver og specialtegn.

Skift admin-login url

Når du logger ind på en standard WordPress installation, så foregår det via /wp-login.php. Det ved hackere og bots på nettet godt, og derfor udsættes netop denne url for gentagne login forsøg og hacks.

Du kan dog undgå dette ved at ændre login-url´en til noget kun du ved, således at du skal gå til f.eks. /mit-nye-login for at logge ind. Denne side kender hackere ikke, og det gør det sværere for dem at bryde ind på din side. Et plugin som “All in one wp security & firewall” har en funktion, som hjælper dig med at ændre login-url til din side.

Bloker gentagne fejl-logins

Et typisk tegn på, at nogle forsøger at bryde din på din side er, når en bot eller person fra samme ip gentagne gange i træk mislykkedes med at logge ind, fordi de forsøger at gætte din kode. Når dette sker, kan et sikkerhedsplugin blokere for logins på den ip, således at hvis en person eller bot fejler i login mere end 4 gange indenfor et minut, så bliver de blokeret helt fra at besøge siden.

Du kan så manuelt ophæve blokeringen i tilfælde af, at det rent faktisk er en rigtig person, som gerne må logge ind, men som bare har brugt for mange forsøg.

Tjek fil-tilladelser

Filer på dit webhotel har forskellige tilladelser, således at nogle er “read-only”, mens andre kan redigeres. Det er dog vigtigt, at der ikke er fejl i disse tilladelser, og derfor kan et sikkerhedsplugin hjælpe dig med at identificere filer, som måske har de forkerte tilladelser og rette dem til det rigtige.

Er der f.eks. en fil, som ikke må kunne rettes, kan et plugin finde den og spørge dig om rettighederne til denne fil ikke bør ændres.

Herunder kan du se en video, som netop gennemgår “All in one wp security & firewall” pluginnet:

Sikre din wp-admin mappe

Wp-admin mappen er klart den vigtigste mappe i din WordPress installation, da det er her alle backendadministrationsfilerne ligger. Disse må under ingen omstændigheder ændres af andre end dig f.eks. ved opdateringer.

Du kan sikre, at kun du har adgang til mappen ved at oprette en .htaccess fil i din wp-admin mappe med nedenstående indhold:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist din IP adresse
allow from xx.xx.xx.xxx
</LIMIT>

Her udskifter du “xx.xx.xx.xxx” med din ip, og når du gemme filen, vil det kun  være personer der sidder på din ip-adresse, altså dit netværk, som kan få adgang til denne mappe.

Har du allerede en .htaccess fil i din wp-admin mappe, kan du blot tilføje ovenstående.

Vær desuden opmærksom på, at de fleste idag har en dynamisk ip, som hele tiden skifter. Du skal derfor jævnligt ind og opdatere din ip, for at få adgang. Alternativt kan du nøjes med at indsætte den første del af din ip, da den typisk er konstant i forhold til den internetudbyder du har. Her vil din begrænsning så være, at det kun er personer der har internet fra den internetudbyder, som du har, der kan få adgang.

Har du f.eks. ip´en 83.89.249.143, kan du nøjes med at indsætte 83.89.

Du finder din ip ved blot at google “whats my ip”.

Hold plugins og temaer opdateret

Når du lige har lavet en hjemmeside, så er altid 100% opdateret, men der går typisk ikke længe før det første plugin eller ligefrem temaet skal opdateres.

Det kan godt være lidt nervepirrende at opdatere, da der jo altid kan gå noget galt, men det er vigtigt, at du alligevel får det gjort, da der som en del af disse opdateringer ofte er vigtige sikkerheds udbedringer.

Husk desuden på, at hvis dit webhotel tager backup af din side, så har du altid den du kan rulle tilbage til, hvis en opdatering laver rav i tingene. Der er derfor ingen undskyldning for ikke at holde sin side 100% opdateret hele tiden.

Vær varsom med plugins hvor noget kan uploades eller indsendes

Helt generelt skal du være varsom med plugins, hvor brugere kan uploade eller indsende noget. Dette er nemlig altid en form for dør for en hacker, da han her kan indsende/injecte kode på din side, hvis det plugin du har installeret ikke er sikret ordentligt.

Specielt plugins som disse, bør du altid være hurtig til at opdatere.

Sikring af dit domæne

Selvom dette ikke har direkte med WordPress at gøre, så er det stadig relevant når du har en WordPress hjemmeside.

SSL

Helt generelt bør du altid have SSL på din side – det vil sige at de loader på https fremfor http. Stort set alle hjemmesideudbydere tilbyder idag gratis SSL til deres kunder, og det er således kun et spørgsmål om, at du tvinger din side til at bruge https fremfor http. Det kan f.eks. nemt gøres med et plugin som Really Simple SSL

DNSSEC

DNSSEC (Domain Name System Security Extensions) er noget du kan opsætte på dit domæne, som øger sikkerheden på dit domæne, specielt i forhold til dem der besøger det.

DNSSEC opsættes via DNS-administrationen på dit domæne, og langt de fleste hosting-udbydere har en guide, der viser hvordan du gør. Vi vil ikke komme ydereligere ind på det her, men nu ved du at det også er en mulighed og at dit webhotel kan hjælpe dig med det. Prøv at søge efter “DNSSEC” i deres guide-database, og du vil sikkert finde noget hjælpe der.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.

Flere populære artikler

Billigt Webhotel

Leder du efter markedets billigste hosting-løsning? I denne artikel giver vi dig en sorteret liste over de billigste webhoteller i Danmark. Læs mere...


Køb domæne | Sådan gør du!

Vi har her lavet et værktøj, hvor du kan teste, om et domæne er ledigt og efterfølgende se, hvad det koster at købe det hos en lang række danske domæne-udbydere. På den måde kan du både teste ledigheden samt købe domæne det sted, hvor det er billigst! Læs mere...


Webhotel Priser

Har du brug for at finde og sammenholde priser på webhoteller? Så læs denne guide og få et samlet pris-overblik. Læs mere...


Rabatkuponer til webhoteller

Kunne du godt tænke dig at spare lidt penge når du skal ud og købe et webhotel? Vi har her lavet en samling af alle de rabatkuponer der findes til webhoteller lige nu. Læs mere...

Professionelt webhotel til f.eks. erhverv

I denne artikel kigger sammenligner vi en række professionelle webhotelpakker, til dig som f.eks. driver en virksomhed eller ønsker plads til flere hjemmesider på samme webhotel. Læs mere...


Trustpilot-score oversigt

Du finder her en samlet oversigt over, hvordan de forskellige hosting-udbydere er blevet anmeldt på Trustpilot og hvilken score de har fået. Læs mere...


Kom godt i gang med et webhotel

Her finder du en kort beskrivelse af, hvordan du hurtigt, nemt og uden problemer kommer i gang med hosting via webhoteller. Læs mere...


Hjemmeside Hosting

Har du en hjemmeside som du gerne vil have hostet? Så lad os guide dig igennem hjemmeside-hosting-junglen! Læs mere...


Hosting guiden 2021

Vores komplette guide til hosting markedet 2021 her i Danmark. Brug guiden til at komme godt igang med hosting. Læs mere...

Nyheder

WordPress sikkerhed

Denne guide hjælper dig med at øge sikkerheden på din WordPress side. Vi ser på WordPress sikkerhed, og hvordan du sikrer din WordPress side.... Læs nyhed

2021-04-26

Ny hjemmeside | Danmarks største guide til din nye hjemmeside

I denne guide skal vi se på, hvordan du får en ny hjemmeside. Vi ser på alle de muligheder du har, og hvad prisen vil være.... Læs nyhed

2021-02-23

Magento hosting

I denne artikel skal vi kigge på Magento hosting, og hvor du kan få din Magento webshop hostet hos en dansk hosting-udbyder.... Læs nyhed

2021-02-04

WP hosting | Specialicerede WordPress hosts i Danmark

Vi skal i denne guide kigger på WP hosting i Danmark og hvor du finder specialiserede WordPress hosts i Danmark.... Læs nyhed

2021-01-19

Lav en hjemmeside | Komplet dansk guide

Lav en hjemmeside med denne danske trin for trin guide. Vi viser dig, hvordan du helt kokret laver en hjemmeside fra bunden.... Læs nyhed

2021-01-06

Er et regnskabsprogram nødvendigt for en hjemmeside?

Disclaimer: Dette indlæg er skrevet i samarbejde med Dinero.dk Har du en hjemmeside, webshop eller måske en blog? Og tjener du penge på den? Så har du højst sandsynligt brug for et regnskabsprogram. I indlægget bher kan du læse om de fordele, du kan få ved at bruge et regnskabsprogram, og om, hvordan det kan […]

... Læs nyhed

2020-11-27