Ökad säkerhet för WordPress hemsidor

av Nils Fridlund
den 31 augusti, 2017
Bild på säkra servrar i lokal

WordPress angrips ofta av hackare och spammare. Samtidigt som plattformen har rykte om sig att vara väldigt användarvänlig så är den tyvärr sårbar vid attacker. Varför skulle någon vilja attackera min hemsida kan man fråga sig? Ännu märkligare blir det om ytterst lite trafik leds till den. Faktum är att hackare sällan är intresserade av att stjäla data eller radera viktiga filer. Istället vill de använda servern där hemsidan finns för att kunna skicka spam via e-post. Det är angeläget att företags hemsidor inte drabbas av attacker då exempelvis spamutskick kan skada varumärket. Ett vanligt misstag är att många tror att deras hemsida inte riskerar att bli hackad för att den aldrig blivit det tidigare.
På vilka sätt kan hackare äventyra ditt företags hemsida? Det finns fyra kategorier av tekniker som är de vanligaste som hackare använder sig av. I en artikel från förra året rapporterade WP White Security följande statistik om hackade hemsidor:

41% were hacked through a security vulnerability on their hosting platform
29% were hacked via a security issue in the WordPress Theme they were using
22% were hacked via a security issue in the WordPress Plugins they were using
8% were hacked because they had a weak password
Källa: https://premium.wpmudev.org/blog/keeping-wordpress-secure-the-ultimate-g…

Värt att ha i åtanke är att hackare sällan vill kämpa länge för att få åtkomst till hemsidor. Därför angriper de oftast hemsidor som är extra sårbara för attacker. Därför finns det effektiva metoder som medför att hackare lämnar ditt företags hemsida ifred.
Att använda sig av ett flertal metoder för att öka säkerheten tar inte mer än 20-30 minuter att genomföra, vilket är väl värda investerade minuter. Det krävs bland annat lite enklare modifieringar av filerna .htaccess och wp-config.php. Dessutom bör man ha i åtanke att enbart välja WordPress-plugins med hög säkerhet.

Vikten av ett pålitligt webbhotell

Först och främst bör man ha ett bra och pålitligt webbhotell. Självfallet bör man föredra ett webbhotell som tar seriöst på säkerheten. Det man kan ha i åtanke är att webbhotellet bör:

-ha en god support för de senaste versionerna av PHP och MySQL
-vara optimerad för att köra WordPress
-ha en WordPress-optimerad brandvägg
-kunna scanna malware och infekterade filer
-ha en support som har goda kunskaper kring säkerhetsfrågor gällande WordPress
Bra webbhotell erbjuder även dagliga backups, men därmed inte sagt att man som ägare till en hemsida inte själv behöver göra backups.

Uppdaterad version

En grundläggande del i att förhindra angrepp är att man ständigt bör se till att man har en uppdaterad version av WordPress. I annat fall blir det lättare för hackare att ladda upp script och skicka spam direkt från servern, vilket kan resultera i att serverns IP-adress blir svartlistad och viktiga nyhetsbrev eller liknande som ska gå iväg som seriös e-post från företagets hemsida inte kommer fram. Det finns dock program som kan upptäcka om IP adresser är svartlistade. Dessa kan vara väl värda att investera i ifall man vet med sig att viktiga mail måste nå fram till mottagaren.

Backdoor ger tillgång till ditt företags hemsida i framtiden

Om servern har bristande säkerhet kan hackaren lägga till kod i databasen vilket kan medföra ändringar av data eller radera data. Till exempel kan alla poster och sidor raderas. När ett WordPress-plugin hackas finns det möjlighet att köra en PHP-funktion för att exempelvis skicka spam. Det finns även möjlighet för hackaren att lämna en så kallad backdoor någonstans på hemsidan. På så sätt kan hackaren få tillgång till hemsidan i framtiden även när man tror att alla infekterade filer är raderade.

Viktiga inställningar vid installation

Information som sparas genom besökares cookies krypteras bättre tack vare WordPress Security Keys. De är ett tillägg som även gör det svårare för hackare att komma åt lösenord eftersom slumpvalda element adderas. WordPress Security Keys kan modifieras i filen wp-config.php, vilket är en övergripande viktig fil som kan hittas i rotmappen bland WordPress installationsfiler.

Lösenord

När lösenordet är svagt kan automatiserade script upprepande gånger slumpa fram olika lösenord till dess det blir rätt och hackare får åtkomst till hemsidan. Därför är det viktigt att:
-regelbundet byta sitt lösenord
-skapa starka lösenord genom att använda ett program som genererar lösenord
-se till att fler användare av hemsidan har starka lösenord

Användarnamn

För det huvudsakliga adminkontot har WordPress använt admin som förinställt användarnamn. Nu för tiden ger dock WordPress möjligheten att ändra användarnamn redan under installationsprocessen. Trots detta är det många som fortfarande väljer admin som användarnamn. Problemet är att hackare känner till att admin används som förinställt användarnamn. Det innebär att de enbart behöver fokusera på lösenordet. Därför är det många automatiserade script som tar användarnamnet admin för given vid försök att få åtkomst till företags hemsidor. Med detta i åtanke blir det en självklarhet att snarast byta användarnamn.

Begränsade försök att logga in

Det finns plugin till WordPress som begränsar antalet inloggningsförsök från IP-adresser. Det medför att WordPress blockerar hackares automatiserade script efter upprepade försök. När väl en användare har misslyckats logga in under ett visst antal försök så blir det inte längre möjligt att försöka mer under en viss tid. Under hur lång tid beror på vad man själv gör för inställning. Man kan också manuellt blockera eller tillåta användare som har misslyckats att logga in.

Två-stegsautentisering

För att göra det ännu svårare för hackare att få åtkomst till företagets hemsida kan man använda sig av autentisering i två steg. Enligt denna metod är alla tvungna att använda en autentiseringskod för att kunna logga in på hemsidan. Till exempel kan det krävas en viss kod för att man ska kunna logga in via sin mobiltelefon o.s.v. Många kan uppleva två-stegsautentisering som frustrerande och ta onödigt mycket med tid i anspråk, men man bör ha i åtanke att det är en av de mest effektiva metoderna för att hålla hackare utanför hemsidan.

Dölj inloggningssidan

Grundinställningen för inloggningssidan innebär att webbadressen är www.dinhemsida.com/wp-admin/. Genom att flytta filerna för inloggning blir det svårare för hackare att ens hitta inloggningssidan. Det finns plugin till WordPress som på ett enkelt sätt kan flytta filerna. Om man av någon anledning skulle glömma bort inloggningsfilerna nya plats återställs allting genom att helt enkelt avinstallera aktuellt plugin.

Förebyggande åtgärder

Med hjälp av vanligt sunt förnuft kan man förhöja hemsidans säkerhet, och genom att använda sig av förebyggande åtgärder:
-Logga inte in på hemsidan från osäkra platser
-Se till att datorn inte är utsatt för virus (Man bör installera ett anti-malware-program https://www.malwarebytes.org/).
-Installera en brandvägg på datorn för extra säkerhet
-Ladda endast upp filer till din hemsida genom en säker FTP-klient
-Var noga med att ingen råkar se dina inloggningsuppgifter när du loggar in i exempelvis offentliga miljöer
-Om nödvändigt, ge endast betrodda användare tillgång till FTP:n.

Gör backuper ofta

En god inställning är att alltid förbereda sig för att det värsta kan hända. I synnerhet när det handlar om hemsidor. Trots man har ett oerhört säkert lösenord så är det ingen garanti för att hemsidan aldrig kommer bli hackad. Ett mycket viktigt komplement till ett starkt lösenord är att se till att ta back upp på företagets hemsida kontinuerligt.

Behöver ditt företag hjälp?

Ibland kan man av olika anledningar vara i behov av extern hjälp om man skulle drabbas av problem.
Vi på Sunbird kan hjälpa ditt företag att ta bort malware. Vi håller din WordPress hemsida säker från virus. Vanligtvis brukar det en dag att få upp hemsidan igen.

Författare

Nils Fridlund

Nils är specialiserad på sökmarknadsföring (SEO & AdWords). Karriären började 2012 och har sedan dess drivit egna projekt, resultatbaserad SEO mot kunder, bloggat på MajesticSEO och agerat konsult gentemot andra webbyråer. Idag är Nils VD och Head of Search på Sunbird. Boka ett möte och få en kostnadsfri första konsultation.

Du kanske också gillar:
Så dubblar du din hemsidas försäljning med konverteringsoptimering (CRO) 2018

Så dubblar du din hemsidas försäljning med konverteringsoptimering (CRO) 2019

Syftet med denna guide kommer vara att förmedla den kunskap, tekniker och verktyg ni behöver för att dubbla er hemsidas försäljning med konverteringsoptimering. Kapitel 1: Vad

Modern webbdesign

Digitala trender 2019 – Håll din hemsida modern längre

Det genomsnittliga spannet en person håller fokus har gått från 12 sekunder år 2000 till åtta sekunder år 2015. Webbdesign ändras ständigt och anpassas efter användarna.

Bli en vinnare på Google

Bli en vinnare på Google – En konkret guide steg för steg

Syftet med detta inlägget är att ge dig konkreta steg för att öka din trafik och öka er försäljning. 1. Sökordsanalys Första steget mot att vinna

Font & färg

Hemsidors Typografi

Detta är ett smakprov av Sunbirds kunskaper. Vi hjälper dig mer än gärna med en ny hemsida till ditt företag. Med hjälp av våra webbplatser vill vi

Mobil som visar upp responsive webbdesign

Responsiv webbdesign till ditt företags hemsida – Viktigt av flera anledningar

I en tid då mobiltelefoner, surfplattor m.m. fått en allt större plats så förväntar sig många hämta information på internet smidigare. Det är minst lika vanligt

Bild på säkra servrar i lokal

Ökad säkerhet för WordPress hemsidor

WordPress angrips ofta av hackare och spammare. Samtidigt som plattformen har rykte om sig att vara väldigt användarvänlig så är den tyvärr sårbar vid attacker. Varför

Christian Sandström

Nedan ord är Christians egna och representerar den resa Wellflix och Sunbird tagit.

Jag har länge haft en dröm om en affärsidé som nu skulle ta nästa steg. Vi anlitade en varumärkesbyggare, en logotypdesigner och Sunbird för vår webbutveckling. Så här gick det.

– Då hemsidan skulle ta längst tid började vi tillsammans med Sunbird slipa på designen. Jag fick först se några tidiga idéer och gillade riktningen vi skulle ta. Jag godkände och Sunbird fortsatte jobba på samma spår. Några dagar senare ringde Nils (på Sunbird) upp och skickade över vad de gjort. När jag fick se designen blev jag helt tyst och fann mig själv att nästan fälla en tår. Min dröm som jag haft så länge var framför mig. Jag har aldrig förväntat mig att en byrå ska kunna ha den förståelsen och det engagemanget.

– Under tiden hemsidan kodades gick jag vidare och funderade på vårt namn. Även här tänkte jag att jag behövde extern input från folk i branschen. Jag gick till två olika byråer som enbart jobbade med branding. Namnen de kom upp med var inte bättre än de jag själv kommit på och tackade besviket nej och sköt upp idén om det perfekta namnet till senare. Jag valde att behålla mitt gamla namn – Fungera & Prestera.

– När jag valt att behålla namnet gick jag till logotypdesigners för att sätta logotypen. Vid detta laget var både färger och namnet bestämt. Jag fick här totalt sett ett tiotal logotyper att kolla på. Logotyperna kändes som något jag sett förut och att de var gjorda utan minsta förståelse för just vårt företag. Jag hade både kontaktat brandingbyråer och logotypdesignerns som båda jobba med detta heltid och resultatet blev bristfälligt. Vid detta laget var jag rätt nedstämd och min dröm kändes inte riktigt lika nära.

– Jag ringde upp Nils för att be om råd. Vi pratade länge och kom fram till att Sunbird skulle ta på sig att göra både företagsnamnet och logotypen. Sunbirds visade återigen prov på sin förståelse och att ha lyssnat på mig. Vårt resultat:

 

Wellflix

 

 

 

– Min insikt om Sunbird är att de verkligen förstår mig som kund och brinner för var de gör. Sunbird har inneburit en hel del för Wellflix och vi lämnar alla dagar i veckan vår rekommendation.

– Christian Sandström

Vi har jobbat med Sunbird sedan 2013 och har bara det senaste året ökar vår organiska försäljning med +247%.

Det unika med Sunbird är att vi jobbar direkt med Sunbirds VD, Nils, och inte en projektledare. Nils har ett starkt driv och kommer med egna idéer som ökar vår försäljning. Han är enormt skarp och definitivt en av de bäst vi jobbat med. Nils förstår oss och blir som en förlängd arm inom webbutveckling och sökmotoroptimering.

Vi tror på Sunbirds affärsidé. De kombinerar snygg webbdesign som säljer tillsammans med ökad trafik. Vi har fastnat för Sunbird och rekommenderar dem till alla växande företag som vill driva resultat.

– Erik Schuss