Enkel sikkerhedscheckliste til WordPress-websteder

Enkel sikkerhedscheckliste til WordPress-websteder

Vidste du, at over 100.000 websteder bliver hacket dagligt? Det er rigtigt, cyberkriminalitet er en alvorlig trussel mod enhver virksomhed, og enhver med et WordPress-websted er heller ikke sikkert. Jeg har haft et run-in med hackere (og måtte gendanne mit WordPress-sted), og du ved sandsynligvis, at det var grimt.


Hackere er aktivt på udkig efter sårbare websteder til at bryde og stjæle data, som de kan frigive for økonomisk gevinst eller ren ondsindet hensigt. For at beskytte dig selv og dit dyrebare websted skal du alvorligt overveje at hærde din WordPress-sikkerhed.

I betragtning af at du mister indtægter, tid og kræfter, når hackere bryder ind på dit websted, har vi oprettet følgende sikkerhedskontroliste, som du kan bruge til at sikre dit WordPress-websted. Alle sikkerhedsgenstande i stillingen er relativt nemme at implementere, selv for første gang:

Som du kan se, vil vi dele posten i flere dele, der dækker alt fra at vælge en sikker vært til at hærde dit admin-område og andre. Du bliver nødt til at gentage nogle sikkerhedsopgaver, såsom at opdatere dine temaer regelmæssigt. Andre opgaver er en engangs ting, men har stadig en betydelig indflydelse på at holde dit websted sikkert. Kontroller, hvad du har brug for at løse, og gør det med det samme, fordi hackere heller ikke spilder tid.

Enkel WordPress sikkerhedscheckliste

1. Opdater WordPress

WordPress-kerne revideres regelmæssigt og kontrolleres for sikkerhedsmæssige sårbarheder. Hvis der opdages sikkerhedsfejl og fejl, frigiver kerneudviklere normalt vedligeholdelsesopdateringer. Mindre opdateringer installeres automatisk på dit WordPress-websted.

Du skal dog opdatere WordPress manuelt til alle større udgivelser. Det er en relativt ligefrem proces, da du får en irriterende besked i din WordPress-administrator. Kun 22% af websteder kører på den nyeste version af WordPress, hvilket er trist i betragtning af hvor let det er at opdatere.

Bliv ikke i de resterende 78%, da du i det væsentlige udsætter dit websted for alle slags angreb ved ikke at opdatere dit websted. Normalt er hackere den første gruppe mennesker, der lærer om sårbarheder i gamle versioner, da de regner med fejlene til at starte vellykkede angreb.

Inden du opdaterer WordPress, anbefaler vi at læse udgivelsesnotaterne for at se, hvad der er ændret, og tage en sikkerhedskopi af dit websted (bare for at være sikker). På denne måde kan du nu forvente, når du klikker på opdateringsknappen, og du har en fejlsikker, hvis noget skulle gå galt.

2. Opdater temaer & plugins

Mens du opdaterer WordPress-kernen, skal du ikke glemme at opdatere dine temaer og plugins også. Hackere er især glade for gamle temaer og plugins med kendte sikkerhedshuller.

De udnytter disse sikkerhedssårbarheder og kan endda skjule en bagdør i et gammelt tema eller plugin. Hvis du ikke opdaterer, kan de hacke dit websted, når det behager dem.

For at undgå at miste dine tilpassede stilarter anbefaler vi at bruge et WordPress-underordnet tema i modsætning til overordnet tema. På den måde mister du ikke dine tilpasninger, når du opdaterer dit tema.

Yo bør også fjerne alle inaktive temaer, plugins og ubrugte WordPress-installationer. Ikke kun vil du gemme båndbredde og gøre dit websted hurtigere, men du vil også holde hackere i skak.

En anden hurtig note, aldrig download “nulled” premium-temaer og plugins. Gå kun med pålidelige kilder som WordPress.org, Envato eller en anden velrenommeret temabutik.

3. Brug unikke og stærke adgangskoder

Du vil blive overrasket over at høre, at de fleste websteder er hacket, når de dårlige fyre stjæler dine loginoplysninger. Derudover er brute force-angreb ganske almindelige og involverer at bombardere din login-side med tusinder af brugernavn-adgangskodekombinationer, indtil noget giver.

Hvis du bruger svage brugernavne og adgangskoder (såsom den berygtede “admin” eller “12345”) gør du det utroligt nemt for hackere at bryde ind på dit websted. Gå i vane med at skabe unikke og stærke adgangskoder, som du regelmæssigt ændrer. Du kan endda bruge en gratis online generator, som denne fra LastPass.

Håndtering af mange stærke adgangskoder kan være et problem. For at hjælpe stoler jeg ofte på adgangskodeadministratorer som f.eks. 1Password eller LastPass. Brug ikke den samme adgangskode på flere websteder, og hold altid dine login-oplysninger sikre. Sørg for, at dine WordPress-brugere også bruger stærke adgangskoder.

Mens du er ved det – husk også at bruge stærke adgangskoder til din e-mail, cPanel, MySQL-databaser og FTP-konti.

4. Installer et WordPress Security Plugin

Hver gang jeg opretter et nyt WordPress-websted, har jeg normalt flere defacto-plugins, som jeg installerer næsten automatisk. Jeg får et anti-spam-plugin, Kontaktformular 7, Symple Shortcodes og iThemes Security, min go-to WordPress-sikkerhedsplugin.

Plugin giver mig mulighed for at befæste mine WordPress-forsvar uden at bryde en sved. Det leveres med så mange funktioner, der gør det nemt at holde de onde ud af mine websteder. Det er let at bruge konfiguration af plugin; du skal være i gang på kort tid.

De bedste WordPress-sikkerhedsplugins tilbyder dig forskellige funktioner, så sørg for at tjekke, før du installerer for at sikre, at du får alle de funktioner, du har brug for for at sikre hele dit websted, uanset hvor unik du er. Standardfunktioner inkluderer malware-scanning, IP-blokering, forebyggelse af brute-force, tofaktorautentisering og meget mere – kontrol af mange af felterne for denne sikkerhedstjekliste, du læser lige nu!

5. Vælg Great WordPress Hosting

Begyndere springer typisk for den første billige hosting-pakke, de støder på. Jeg ville ikke holde det imod dig, da du ikke ved noget bedre, men tvivlsomt billig (eller endda gratis) delt hosting kan udsætte dig for sikkerhedsrisici. Det ved jeg faktisk, da jeg er blevet hacket på to forskellige hostingfirmaer, der tilbyder delt hosting.

Delt hosting involverer at dele en server med tusinder af andre websteder. Dette øger risikoen for kontaminering på tværs af stedet. Det vil sige, at en hacker kan få adgang til dit websted, selvom en andens websted var det oprindelige angrebspunkt.

Administreret WordPress-hosting fokuserer på den anden side kun på WordPress-websteder. Du deler ikke en server med andre, og du får flere sikkerhedsindstillinger for at forblive i sikkerhed. De tilbyder også dedikeret support, og flere inddrivelsesmuligheder skulle det værste ske.

Hvis du skal bruge delt hosting, skal du sige, at du begynder med en blog, der ikke tjener penge endnu, skal du sørge for, at webstederne er isoleret eller “fængslet.” Hvis du driver et forretnings- eller e-handelswebsted, lønner det sig at bruge den bedste WordPress-hosting, som du kan passe ind i dit budget fra ordet go – såsom VPS, dedikeret eller administreret WordPress-hosting.

6. Brug SSL (HTTPS)

I dag tilbyder mange WordPress-hostingfirmaer gratis SSL-certifikater fra ordet og af en god grund. SSL-certifikater gør dit websted mere sikkert end sider uden SSL. Google anbefaler også at bruge SSL-certifikater til at beskytte data på dit websted (og sørge for, at brugerne ved, om du bruger SSL eller ej).

HTTPS er mere sikkert end dets forgænger HTTP. Et websted, der bruger HTTPS, krypterer alle de data, der bevæger sig mellem brugerens browser og dine servere. Hvis en hacker opfanger kommunikationen, finder de kun krypterede data, der er lige så nyttige som en enbens mand i en rumpesparkkonkurrence ��

Det er lige så nemt at installere SSL-certifikater på de fleste webhosts som A, B, C. De fleste tilbyder installatører med ét klik, der gør hele processen let. Log ind på din cPanel og klik på en enkelt knap for at installere og administrere dine SSL-certifikater. Hvis du vil have en mere praktisk tilgang, kan du overveje at tjekke Let’s Encrypt.

7. Opret en komplet sikkerhedskopi af webstedet

Da hackere gjorde mig løs, var jeg nødt til at genopbygge mine websteder fra bunden, en hovedpine, jeg ville have undgået, hvis jeg pålideligt huskede at tage backup af WordPress.

Men nej, sikkerhedskopierne, der var med min webhost, blev beskadiget under angrebet, og nej, jeg havde ikke en sekundær backup-løsning. Et klassisk tilfælde af at lægge alle dine æg i en kurv, der lærte mig en hård lektion.

I dag opretter jeg fulde sikkerhedskopier på websitet, der inkluderer mine webstedsfiler og databaser. Jeg bruger hovedsageligt ManageWP, men jeg bruger også Duplicator-plugin til at gemme sikkerhedskopier på min computer og i Google Drev.

Jeg opfordrer dig til at oprette fuld sikkerhedskopier regelmæssigt. Mange WordPress-backupløsninger giver dig mulighed for at automatisere hele processen, sparer tid og giver dig ro i sindet.

8. Brug en Web Application Firewall (WAF)

For at tilføje et ekstra lag af sikkerhed til dit WordPress-sted og sove bedre om natten skal du aktivere en webapplikations firewall (WAF). En WAF beskytter dit websted ved at blokere for ondsindet trafik længe før det kommer til dit websted. Det er en proaktiv foranstaltning at stoppe de onde fyre døde i deres spor, før de forårsager nogen skade.

Firewall filtrerer din indkommende trafik og eliminerer hackere, mens de lader legitime brugere slippe igennem. Mange WordPress sikkerhedsfirmaer tilbyder webapplikations firewalls sammen med andre funktioner. Populære indstillinger i branchen inkluderer Sucuri og CloudFlare.

9. Deaktiver filredigering i WordPress Admin

WordPress CMS leveres med en fantastisk kodeeditor, der giver dig mulighed for at redigere plugin- og temafiler inde i dit WordPress admin-kontrolpanel. Kodeditoren er et godt værktøj at have til din rådighed, men i de forkerte hænder kan hackere bruge den til at udskyde eller tilføje malware på dit websted.

Du kan altid redigere dine tema- og plugins-filer (hvis det er nødvendigt) via FTP eller filhåndtering i cPanel, hvilket betyder, at du helt kan deaktivere kodeditoren i WordPress. Du ønsker ikke, at hackere, der får adgang til dit WordPress-admin-område, skal have adgang til kodeditoren, fordi de kan forårsage en masse skade med et par kodelinjer.

Hvad skal man gøre? Du kan deaktivere den indbyggede kodeditor ved hjælp af gratis Sucuri Security plugin. Alternativt kan du tilføje følgende kode til din wp-config.php fil:

// Tillad filredigering
definere ('DISALLOW_FILE_EDIT', sandt);

Vi går videre.

10. Sikre din login-side

Normalt har loginformularen på din WordPress to felter; brugernavn og adgangskode. Når brute force angribere og bots bliver smartere om dagen, hvordan forhindrer du hackere i at få adgang til dit WordPress admin-område? Det er simpelt; tilføjer du CAPTCHA eller sikkerhedsspørgsmål, der gør det sværere for nogen at få uautoriseret adgang.

Og du behøver ikke at redigere kode til tilføj CAPTCHA eller sikkerhedsspørgsmål til din login-side. Der er et populært WordPress-plugin kendt som WP-sikkerhedsspørgsmål det er let at konfigurere og bruge. Hvis du gerne vil bruge CAPTCHA, kan du bruge det Simpel login Captcha, WordFence, eller en af ​​de mange andre muligheder, der er gratis tilgængelige på WordPress.org.

På samme tid kan du ændre din wp-login URL til noget unikt. På den måde vil bots og hackere have svært ved at prøve at gætte URL’en til din login-side. wp-login er allerede populært blandt hackere, så det giver perfekt mening at ændre URL’en til noget andet. Du kan bruge et plugin som f.eks WPS Skjul login.

11. Tilføj godkendelse

Overvej desuden at implementere tofaktor- og multifaktorautentificering. Hvis en hacker får adgang til dine loginoplysninger, kan de ikke logge ind på dit WordPress-sted. Der er mange muligheder, men Google Authenticator er et populært valg.

Bortset fra det, begrænser login på din login-side. Hvis en besøgende prøver at logge ind med en konto, der ikke findes eller forsøger at logge ind mange gange, er de sandsynligvis en hacker eller bot, der prøver at brute-force deres vej ind. Du kan bruge et plugin som f.eks. Begræns loginforsøg eller Login Lockdown for at holde disse påtrængende elementer væk.

12. Log ud af inaktive brugere

Når du har et WordPress-websted med flere brugere, kan du ikke fuldt ud kontrollere, hvordan eller hvor brugere får adgang til dit websted. En forfatter beslutter muligvis at bruge gratis offentlig Wi-Fi til at gøre sidste hånd på en artikel. En webdesigner forlader muligvis deres skrivebord og vender tilbage fra en times times frokostpause.

I sådanne scenarier kan din bruger muligvis uvidende udsætte dit websted for sikkerhedsrisici. En ondsindet person overtager muligvis deres session, redigerer deres detaljer og udøver simpelthen kaos. Hvis den uautoriserede part ved, hvad de laver, kan de let overtage brugerens konto og gøre skade.

Hvad skal man gøre? Du kan logge ud inaktive brugere automatisk efter en foruddefineret periode. Og den bedste del? Der er plugins til netop dette formål. En populær mulighed er Inaktiv Logout plugin, der inkluderer muligheder for at tilpasse tomgangstid før logout, brugerdefineret popup-meddelelse eller omdirigering ved logout og timeout i henhold til brugerrolle.

13. Scan efter malware og problemer (regelmæssigt)

Ofte glemt, at scanne dit WordPress-websted regelmæssigt kan hjælpe dig med at identificere sikkerhedsproblemer tidligt. Det tager kun et sekund for en hacker at bryde ind på dit websted og gøre alle slags grimme ting. Det er netop derfor, du altid skal være på toppen af ​​tingene.

Mange WordPress-sikkerhedsplugins til at scanne efter malware-infektioner, kendte sikkerhedssårbarheder, forældede scripts, brute force-angreb, ikke-eksisterende sikkerhedskopier osv. Plugins sender dig detaljerede rapporter om kendte problemer, så du kan rette dem eller ansætte en professionel.

Der er mange webstedscannere, f.eks Sucuri SiteCheck, som du kan bruge til at tjekke dit websted med det samme. Alt hvad du skal gøre er at indtaste din URL, og værktøjerne kontrollerer dit websted automatisk. Derefter tilbyder de dig en rapport om, hvad du skal løse. Når du har rapporteret, skal du straks rette alle sikkerhedssårbarheder.

14. Brug en VPN

Hvis du driver et websted, der bærer følsomme oplysninger, som aldrig må komme i hænderne på hackere, kan du overveje at bruge et virtuelt privat netværk (VPN), især når du bruger gratis offentlig Wi-Fi. En VPN beskytter dig mod angreb, der er almindelige i offentlige netværk, inklusive hjemme og på arbejde.

Et virtuelt privat netværk sikrer, at selv hvis angriberen får adgang til systemet og stjæler dine detaljer, kan de ikke gøre noget med de data, de tager fra dig. Hvis du har et internetnetværk, som du deler med mange mennesker, skal du altid bruge en VPN, før du får adgang til dit WordPress-admin-område.

Andre WordPress sikkerhedsindstillinger

Brug for mere at gøre? Vi vil meget gerne holde dit websted sikkert på alle tidspunkter, så her er bonussikkerhedsgenstande, der kan tilføjes til din checkliste:

  • Deaktiver PHP-filudførelse i / wp-content / wp-uploads /
  • Skift dit WordPress-databasepræfiks
  • Adgangskodebeskytt din administrator- og login-sider på serversiden
  • Deaktiver mappeindeksering
  • Deaktiver WP REST API og XML-RPC, hvis ikke nødvendigt
  • Du må ikke redigere / ændre WordPress-kerne – skriv eller brug et plugin, der tilbyder den funktionalitet, du har brug for i stedet
  • Sørg for, at dit websted kører den nyeste version af PHP
  • Brug et antivirusprogram på din computer
  • Aktivér Google Search Console
  • Reducer sårbarheder i XSS og SQL-injektion (du har muligvis brug for en mere teknisk kyndig person til at hjælpe med disse to)

Virkelig er antallet af trin, du kan tage for at beskytte dit websted, uendelig. Men hvis du kan tjekke de 14 varer, vi har angivet, er det et enormt skridt at sikre dit websted.


At sikre dit WordPress-websted er udfordrende, men ikke umuligt. Med de rigtige værktøjer og færdigheder kan du hurtigt hærde din WordPress-sikkerhed og holde de dårlige skuespillere væk.

Som en sammenfatning skal du altid holde dit websted opdateret. Desuden skal du aldrig downloade temaer eller plugins fra upålidelige websteder. Og for at være på den sikre side, hvis det værste skulle ske, skal du altid have en pålidelig backup-løsning på plads.

Vi håber, at du har fundet alle de tip, du har brug for for at sikre dit WordPress-websted, og dermed online-forretning. Hvis du har et spørgsmål eller har brug for hjælp til at finde ud af, hvordan du sikrer dit WordPress-websted, så lad os vide det i kommentarerne. Pas på dig selv!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map