Ökad säkerhet för WordPress hemsidor

Ökad säkerhet för WordPress hemsidor

WordPress angrips ofta av hackare och spammare. Samtidigt som plattformen har rykte om sig att vara väldigt användarvänlig så är den tyvärr sårbar vid attacker. Varför skulle någon vilja attackera min hemsida kan man fråga sig? Ännu märkligare blir det om ytterst lite trafik leds till den. Faktum är att hackare sällan är intresserade av att stjäla data eller radera viktiga filer. Istället vill de använda servern där hemsidan finns för att kunna skicka spam via e-post. Det är angeläget att företags hemsidor inte drabbas av attacker då exempelvis spamutskick kan skada varumärket. Ett vanligt misstag är att många tror att deras hemsida inte riskerar att bli hackad för att den aldrig blivit det tidigare.
På vilka sätt kan hackare äventyra ditt företags hemsida? Det finns fyra kategorier av tekniker som är de vanligaste som hackare använder sig av. I en artikel från förra året rapporterade WP White Security följande statistik om hackade hemsidor:

41% were hacked through a security vulnerability on their hosting platform
29% were hacked via a security issue in the WordPress Theme they were using
22% were hacked via a security issue in the WordPress Plugins they were using
8% were hacked because they had a weak password
Källa: https://premium.wpmudev.org/blog/keeping-wordpress-secure-the-ultimate-g…

Värt att ha i åtanke är att hackare sällan vill kämpa länge för att få åtkomst till hemsidor. Därför angriper de oftast hemsidor som är extra sårbara för attacker. Därför finns det effektiva metoder som medför att hackare lämnar ditt företags hemsida ifred.
Att använda sig av ett flertal metoder för att öka säkerheten tar inte mer än 20-30 minuter att genomföra, vilket är väl värda investerade minuter. Det krävs bland annat lite enklare modifieringar av filerna .htaccess och wp-config.php. Dessutom bör man ha i åtanke att enbart välja WordPress-plugins med hög säkerhet.

Vikten av ett pålitligt webbhotell

Först och främst bör man ha ett bra och pålitligt webbhotell. Självfallet bör man föredra ett webbhotell som tar seriöst på säkerheten. Det man kan ha i åtanke är att webbhotellet bör:

-ha en god support för de senaste versionerna av PHP och MySQL
-vara optimerad för att köra WordPress
-ha en WordPress-optimerad brandvägg
-kunna scanna malware och infekterade filer
-ha en support som har goda kunskaper kring säkerhetsfrågor gällande WordPress
Bra webbhotell erbjuder även dagliga backups, men därmed inte sagt att man som ägare till en hemsida inte själv behöver göra backups.

Uppdaterad version

En grundläggande del i att förhindra angrepp är att man ständigt bör se till att man har en uppdaterad version av WordPress. I annat fall blir det lättare för hackare att ladda upp script och skicka spam direkt från servern, vilket kan resultera i att serverns IP-adress blir svartlistad och viktiga nyhetsbrev eller liknande som ska gå iväg som seriös e-post från företagets hemsida inte kommer fram. Det finns dock program som kan upptäcka om IP adresser är svartlistade. Dessa kan vara väl värda att investera i ifall man vet med sig att viktiga mail måste nå fram till mottagaren.

Backdoor ger tillgång till ditt företags hemsida i framtiden

Om servern har bristande säkerhet kan hackaren lägga till kod i databasen vilket kan medföra ändringar av data eller radera data. Till exempel kan alla poster och sidor raderas. När ett WordPress-plugin hackas finns det möjlighet att köra en PHP-funktion för att exempelvis skicka spam. Det finns även möjlighet för hackaren att lämna en så kallad backdoor någonstans på hemsidan. På så sätt kan hackaren få tillgång till hemsidan i framtiden även när man tror att alla infekterade filer är raderade.

Viktiga inställningar vid installation

Information som sparas genom besökares cookies krypteras bättre tack vare WordPress Security Keys. De är ett tillägg som även gör det svårare för hackare att komma åt lösenord eftersom slumpvalda element adderas. WordPress Security Keys kan modifieras i filen wp-config.php, vilket är en övergripande viktig fil som kan hittas i rotmappen bland WordPress installationsfiler.

Lösenord

När lösenordet är svagt kan automatiserade script upprepande gånger slumpa fram olika lösenord till dess det blir rätt och hackare får åtkomst till hemsidan. Därför är det viktigt att:
-regelbundet byta sitt lösenord
-skapa starka lösenord genom att använda ett program som genererar lösenord
-se till att fler användare av hemsidan har starka lösenord

Användarnamn

För det huvudsakliga adminkontot har WordPress använt admin som förinställt användarnamn. Nu för tiden ger dock WordPress möjligheten att ändra användarnamn redan under installationsprocessen. Trots detta är det många som fortfarande väljer admin som användarnamn. Problemet är att hackare känner till att admin används som förinställt användarnamn. Det innebär att de enbart behöver fokusera på lösenordet. Därför är det många automatiserade script som tar användarnamnet admin för given vid försök att få åtkomst till företags hemsidor. Med detta i åtanke blir det en självklarhet att snarast byta användarnamn.

Begränsade försök att logga in

Det finns plugin till WordPress som begränsar antalet inloggningsförsök från IP-adresser. Det medför att WordPress blockerar hackares automatiserade script efter upprepade försök. När väl en användare har misslyckats logga in under ett visst antal försök så blir det inte längre möjligt att försöka mer under en viss tid. Under hur lång tid beror på vad man själv gör för inställning. Man kan också manuellt blockera eller tillåta användare som har misslyckats att logga in.

Två-stegsautentisering

För att göra det ännu svårare för hackare att få åtkomst till företagets hemsida kan man använda sig av autentisering i två steg. Enligt denna metod är alla tvungna att använda en autentiseringskod för att kunna logga in på hemsidan. Till exempel kan det krävas en viss kod för att man ska kunna logga in via sin mobiltelefon o.s.v. Många kan uppleva två-stegsautentisering som frustrerande och ta onödigt mycket med tid i anspråk, men man bör ha i åtanke att det är en av de mest effektiva metoderna för att hålla hackare utanför hemsidan.

Dölj inloggningssidan

Grundinställningen för inloggningssidan innebär att webbadressen är dinhemsida.com/wp-admin/. Genom att flytta filerna för inloggning blir det svårare för hackare att ens hitta inloggningssidan. Det finns plugin till WordPress som på ett enkelt sätt kan flytta filerna. Om man av någon anledning skulle glömma bort inloggningsfilerna nya plats återställs allting genom att helt enkelt avinstallera aktuellt plugin.

Förebyggande åtgärder

Med hjälp av vanligt sunt förnuft kan man förhöja hemsidans säkerhet, och genom att använda sig av förebyggande åtgärder:
-Logga inte in på hemsidan från osäkra platser
-Se till att datorn inte är utsatt för virus (Man bör installera ett anti-malware-program https://www.malwarebytes.org/).
-Installera en brandvägg på datorn för extra säkerhet
-Ladda endast upp filer till din hemsida genom en säker FTP-klient
-Var noga med att ingen råkar se dina inloggningsuppgifter när du loggar in i exempelvis offentliga miljöer
-Om nödvändigt, ge endast betrodda användare tillgång till FTP:n.

Gör backuper ofta

En god inställning är att alltid förbereda sig för att det värsta kan hända. I synnerhet när det handlar om hemsidor. Trots man har ett oerhört säkert lösenord så är det ingen garanti för att hemsidan aldrig kommer bli hackad. Ett mycket viktigt komplement till ett starkt lösenord är att se till att ta back upp på företagets hemsida kontinuerligt.

Behöver ditt företag hjälp?

Ibland kan man av olika anledningar vara i behov av extern hjälp om man skulle drabbas av problem.
Vi på Sunbird kan hjälpa ditt företag att ta bort malware. Vi håller din WordPress hemsida säker från virus. Vanligtvis brukar det en dag att få upp hemsidan igen.

Läs mer från Sunbird Webbyrå.

Digital analys: Du har 8 sekunder på dig att fånga besökarens intresse innan den lämnar

Koncentrationsförmågan har blivit sämre Koncentrationsförmågan har minskat kraftigt senaste året vilket är något den webbplats man gör måste möta. Enligt

Webbyrå med fokus på ökar försäljning
Så dubblar du din hemsidas försäljning med konverteringsoptimering (CRO) 2020

Syftet med denna guide kommer vara att förmedla den kunskap, tekniker och verktyg ni behöver för att dubbla er hemsidas