8 tips til bedre sikkerhed i WordPress

Hvad enten du ejer en blog, en butik eller bil, så er du interesseret i at sikre dine ting mod uvedkommende. Derfor er din bil udstyret med en lås, men hvordan er det lige, at din blog er sikret? Jo. WordPress er verdens største CMS, og er generelt også et rigtig sikkert CMS, men alligevel hører man tit om blogs, som bliver hacket og lagt offline pga. hackere. Det er rigtig vigtigt, at man indser, at bloggen altid vil være et potentielt mål for et hackerangreb. Ikke nødvendigvis fordi din blog indeholder hemmelige oplysninger, som hackeren ønsker adgang til, men det kan lige så vel være for prestige og for at have et redicert til en anden side.

For at undgå det er det derfor vigtigt, at du holder dine installationer opdateret. Ved at holde WordPress, plugins og temaer opdateret med nyeste version kan du afværge 99% af alle forsøg på at blive hacket. Hackerne udnytter nemlig gamle fejl, men der findes rigtig mange andre metoder til at holde din WordPress blog sikker på.

Hold WordPress opdateret

Som sagt er det vigtigt, at du holder din WordPress installation opdateret. Når en fejl opdages, så går der ikke langtid førend en ny opdatering er tilgængelig på WordPress.org. Samtidig med opdateringen bliver det også offentligheden kendt, hvad fejlen var. Dermed kan folk med skumle bagtanker udnytte denne fejl, indtil du får opdateret. Derfor er det vigtigt, at du hurtigst muligt opdaterer, efter at en sikkerhedsopdatering er udgivet.

Hvis du er typen, som måske ikke lige besøger din blog hver dag, så findes der et plugin, som sender mail, når der er opdateringer. Pluginet hedder Update Notifier og kan både give besked ved plugin-, tema– og WordPress opdateringer.

Slet gamle filer

Plugins er en af WordPress’s mange styrker, men absolut også en dets svagheder. Selvom du deaktiverer gamle og inaktive plugins, så er filerne stadig tilgængelige via nettet, og kan udgøre en potentiel sikkerhedsrisiko, såfremt de indeholder sikkerhedshuller. Hvis du ved, at du ikke vil bruge et plugin længere, er det derfor vigtigt, at du ikke kun deaktiverer det, men sletter det helt.

Brug et stærkt password

Et svagt password har alle dage udgjort en sikkerhedsrisiko. Derfor kan vigtigheden af et stærkt password, da heller ikke fremhæves nok. Men hvad er et stærkt password så? Jo. Et stærkt password indeholder forskellige elementer; store og små bogstaver samt tal og specialtegn. Derudover bør dit kodeord være på mindst 8 tegn. Sidst men ikke mindst så bør du jo også finde et kodeord, som du kan huske.

Er du i tvivl om, hvorvidt dit kodeord er stærkt, kan du tjekke styrken af det på Passwordmeter.

Hold din computer fri for virus

Et vigtigt aspekt, som er overset af mange, er at holde din egen computer opdateret og fri for virus. Mange er ikke klar over, at hvis computeren er inficeret med virus, så påvirker det også sikkerheden på de sider, man besøger. Eksempelvis kan virussen logge alle dine indtastninger og sende dit password og brugernavn til bagmænd, som efterfølgende kan udnytte oplysningerne ikke kun til at skaffe sig adgang til din blog, men eksempelvis også din facebook eller mail.

Wordfence holder dig opdateret

Pluginet Wordfence, som findes både i en gratis og premium version, er et super plugin til at opdage fejl og potentielle sikkerhedshuller i din WordPress installation. Pluginet indeholder mange nyttige funktioner, herunder en oversigt over loginforsøg, så du kan opdage, hvis folk forsøger at gætte sig frem til dit kodeord. Opdager du en sådan adfærd kan du med et tryk på knap blokerer ip adressen fra at besøge din side igen. Du kan også skanne for fejl og mangler i plugins, temaer og WordPress installationen og opdage hvis der er ændringer i dine filer, som du måske ikke selv har foretaget.

Slet Admin brugeren

Når du installerer din blog, bliver du automatisk tildelt en bruger ved navn admin. Det er dog en rigtig god idé at slette denne bruger og lave sig en ny admin bruger (som ikke hedder admin). Det sker fordi, folk og automatiske programmer ellers nemt kan regne dit brugernavn ud og dermed “lettere” kan forsøge sig med at skyde løs på en masse passwords. Metoden hedder et brute-forced angreb og betyder at man prøver at knække koden, ved at afprøve alle kombinationer Læs mere på Wikipedia.

Er du kommet i gang med at blogge på din admin bruger, kan du sagtens slette den og så automatisk overføre alle dine indlæg til den nye bruger.

Tjek dine temaer for uønsket kode

Dette tip er gennemgået tidligere i artiklen om pluginet Theme Authenticity Checker (TAC). Men kort så handler det om, at man skal passe på med hovedløst at finde og installere temaer fra ukendte kilder på sin blog. Temaer som ikke er hentet fra WordPress’s egen tema database er ikke nødvendigvis gennemgået af kyndige mennesker for at tjekke for fejl og uønsket kode i form af redirects til designerens egne side eller reklame links. Oftest behøves du ingen gang at være klar over, at noget er galt. Et slemt eksempel er et tema, som omdirigerer alle besøg fra Google til en anden side end bloggen. Fordi blogejeren aldrig googlede sin egen side, så tog det lang tid førend fejlen blevet opdaget og rettet. Men læs artiklen og bliv klogere og find ud af hvordan du undgår at blive snydt.

Tag backup af dine filer og databaser

Vi har tidligere været inden på, hvordan man tager backup af WordPress. At tage backup af WordPress øger som sådan ikke sikkerheden på din blog, men er rigtig nyttigt, hvis uheldet er ude. Med en backup af både filer og database kan du hurtigt genskabe det indhold, du ellers havde mistet.

Har du før oplevet brud på sikkerheden i din WordPress installation, er du blevet hacket eller har du andre kommentarer så smid en kommentar.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.