WordPress sikkerhed

WordPress sikkerhed. Sådan holder du hackerne ude.

Har du prøvet at få din WordPress hjemmeside hacket? Hvis du er heldig at være gået fri, så skal jeg hilse og sige fra alle os andre. Det er nederen.

En hacket hjemmesider giver dig kun bøvl. Det tager lang tid at genoprette systemet, måske mister du noget af din data eller dit domæne bliver misbrugt til spam.

Har du en forretning, så koster det direkte på bundlinjen.

Google kan også finde på at blackliste sider, der indeholder malware (ondsindet software) eller bliver brugt til phishing. Det kan virkelig godt betale sig at bruge energien på en sikker hjemmeside. Før skaden sker. Det får du en guide til her.

Disclaimer:

Der er ingen 100  % garantier. Din side kan aldrig blive fuldstændig og komplet sikker. Den her guide giver dig gode råd til, hvordan du giver hackerne kam til deres hår (min farmors måde at sige, at du gør livet surt for hackerne og beskytter dig bedst muligt). Altså en perlerække af simple ting du kan gøre, så du øger sikkerheden markant på din WordPress side.

Hop direkte til de 12 gode råd – klik her

Hvorfor bliver hjemmesider hacket?

En vigtig del af at implementere sikkerhed på en hjemmeside er faktisk en grundlæggende viden om, hvorfor hackerne overhovedet er interesseret i at få fingrene i din side. For det er da svært at forstå, hvordan en hacker kan få glæde af en side med glutenfrie lasagneopskrifter.

Motivet er i næsten alle tilfælde penge. På den eller anden måde. De tre primære årsager er:

  • De vil stjæle sig adgang til dine data, maillister, kreditkortinformationer og så videre
    Sandsynligheden for, at brugere afleverer noget spændende data om sig selv, når de besøger din hjemmeside er relativt stor. Det kan være noget så simpelt som en liste af e-mails, detaljer knyttet på brugere eller måske endda kreditkortoplysninger, som de aflurer, hvis din sikkerhed ikke er i orden.
  • De vil bruge din side til at sende spam e-mails
    Skumle typer har brug for et rent domæne og webhotel, hvor de kan sende deres mange spammails fra. Derfor bygger de – lidt groft sagt – en automatiseret bot, der bryder ind i hjemmesider, gemmer et lille stykke kode og pumper mails afsted. De fleste webhosts opdager dette, og så lukker de simpelthen din hjemmeside ned, indtil du har fikset problemet.
  • De vil bruge din side til at placere ondsindet software på din eller dine brugeres computere
    Ondsindet software kan installeres på en måde, så du slet ikke opdager noget. Smart for hackerne. Noget værre bøvl for både dig og dine brugere. Et meget almindeligt scenarie er, at hackerne ønsker at bruge din og dine brugeres maskiner i et større angreb. Det kan eksempelvis være et af de DDOS (Distributed Denial of Service) angreb, som af og til rammer offentlige organisationer og private virksomheder i Danmark.

Hvorfor er det WordPress, hackerne går efter?

Det korte svar er: Fordi WordPress er så mega populært.

Opdager en hacker en sårbarhed på en populær platform, så bliver det pludselig meget let at overtage mange hundrede sider. WordPress bliver brugt af millioner af mennesker hver dag. Så det er klart, at du får mest udbytte ved at angribe WordPress.

Er WordPress meget usikker?

Nej. WordPress er i sin kerne meget sikker. Og det er faktisk ret svært at få adgang. Problemerne begynder først for alvor at opstå, fordi alle og enhver kan skrive plug-ins og temaer til WordPress. Og det er bare ikke alle plugins og temaer der kører med en lige høj standard af sikkerhed i koden. Så hvis et populært plugin kommer ud med en sårbarhed kan det have store konsekvenser for mange tusinder af sideejere.

De store og velrespekterede plugins er både gode til at have styr på sikkerhed. Og de er gode til at informere, hvis det går galt. Det betyder, at de ofte fortæller om kendte sårbarheder. Det er godt, fordi vi så ved, at det er vigtigt at opdatere. Derfor er det også vigtigt, at du holder dine plugins og temaer opdaterede. Et uopdateret plugin med en sårbarhed er næsten en lidt for let genvej ind i din side for en hacker.

Det er faktisk i naturen af WordPress, at det er open-source, så de gode nørder også kan indrapportere måder at reparere sårbarheder på. Så hele økosystemet omkring WordPress holder sig sikkert.

12 ting du kan gøre i dag for bedre sikkerhed i WordPress

Konklusionen er, at din WordPress side potentielt kan blive hacket. Sådan er det faktisk for alle hjemmesider. Det er altid en risiko, når du opererer på internettet. Den gode nyhed er, at der er rigtig meget du kan gøre for styrke sikkerheden på din side.

Der er også meget du kan gøre, så det er let at komme tilbage, hvis uheldet er ude.

Her er 12 gode råd

  1. Installér et stærkt sikkerhedsplugin
  2. Brug stærke kodeord
  3. Hold din WordPress installation opdateret
  4. Slet plugins og temaer du ikke bruger
  5. Brug Captcha som et ekstra sikkerhedsniveau
  6. Begræns antallet af loginforsøg
  7. Tilføj et SSL certifikat til din side
  8. Brug to-faktor autentifikation til login
  9. Gem din loginside lidt væk
  10. Backup, backup, backup
  11. Scan dit site for malware
  12. Hold styr på brugerollerne i WordPress

1. Installér et stærkt sikkerhedsplugin

En af styrkerne ved WordPress er, at du kan gøre din side stærkere med plugins. Det gælder også for sikkerheden på din side.

Der findes flere store plugins med fokus på at øge sikkerheden i WordPress. De har varierende muligheder i henholdsvis gratis og betalte versioner. Her er tre, som jeg selv har gode erfaringer med:

  • iThemes Security
  • BulletProof Security
  • WordFence Security

Et godt sikkerhedsplugin er klart den mest effektive indsats du kan starte med. Men som du kan se i de mange tips til øget sikkerhed her på siden, så kan sådan et plugin ikke stå alene. Og der er stadig meget, du skal gøre for at give hackerne kamp til stregen.

2. Brug stærke kodeord

Det her tip er på den ene side lige så overraskende som pavens sjove hat. Men det er desværre bare stadigvæk et kæmpe problem.

Statistikken taler for, at du bruger for svage kodeord.

De mest brugte kodeord er stadig ting som ‘123456’ og ‘password’.  Din mors fødselsdato og dit kæledyrs favoritlegetøj er heller ikke gode løsninger.

Det er bare ikke godt nok. Dine kodeord skal hellere se sådan her ud: ‘kn$uHk2z4t$m4BbpM’

Det er selvfølgelig bøvlet at huske. Specielt når jeg nu kræver af dig, at du har unikke kodeord til både din WordPress Administrator, Webhost, Database og alt andet du har online.

Derfor vil jeg anbefale, at du i samme omgang kigger lidt på at få et værktøj til at hjælpe dig med at styre dine kodeord. Så du kun skal huske ét eneste (stadig kompliceret) kodeord.

Det kan du gøre med en service som LastPass. Det har jeg skrevet en guide til her.

3. Hold din WordPress installation opdateret

Når sikkerhedshuller bliver opdaget i et af dine plugins, så er hackerne hurtige til at udnytte det.

udviklerne er også hurtige til at reparere deres kode, så hullerne hurtigt bliver lappet.

Men det kræver, at du opdaterer dine plugins, temaer og selve WordPress kernen løbende.

Det er ikke så kompleks. Men du skal lige tjekke, at siden stadig virker. Og jeg anbefaler, at du gør det på ugentlig basis. Det tager ikke mange minutter. Bare husk at tage backup inden (det kan hurtigt ende i tårer – eller en meeeeeeget lang arbejdsdag).

Her finder du den officielle guide til at opdatere WordPress.

Orker du ikke det bøvl hver uge, så bør du finde professionel hjælp til det. Det skal gøres. Og ikke bare hvert år inden sommerfesten.

4. Slet plugins og temaer du ikke bruger

Når du bygger en hjemmeside med WordPress, så kan det ofte være en lidt iterativ proces, hvor du prøver mange ting af undervejs. Måske har du prøvet et par forskellige designtemaer, og de plugins du startede med, dem bruger du ikke længere.

Alle temaer og plugins, som du ikke bruger, skal væk. Det gør selvfølgelig din WordPress installation nemmere at arbejde med, når du ikke har unødvendige ting, der ligger og flyder. Men det primære argument er sikkerheden.

I 2011 fik mange WordPress brugere sig en slem overraskelse, fordi der var et sikkerhedshul i et stykke kode, der blev brugt i mange, mange WordPress temaer. Det hed TimThumb. Og har du så et gammelt tema liggende, der bruger noget hullet kode. Så er du ekstra udsat.

Du kan finde alle installerede temaer og plugins inde i dit kontrolpanel. Så er det bare at fjerne alle dem, der er inaktive.

Bemærk: Nogle temaer er child-theme til et parent-theme. Dit parent-theme kan sagtens se inaktivt ud. Men det bliver noget værre rod, hvis du sletter det.

5. Brug CAPTCHA som et ekstra sikkerhedsniveau

CAPTCHA er – udover at være nærmest umuligt at udtale – en forkortelse. Det står for Completely Automated Public Turing test to tell Computes and Humans Apart). Det er altså en hurtig test, der holder bots væk fra din side. En test der kan adskille mennesker fra computeresoftware.

Du kender det sikkert fra tilfældige bogstaver, der står på en sløret baggrund. Eller Google der beder dig om at markere alle felter af et billede, hvor der er lygtepæle.

Fordi automatiserede bots har svært ved at læse og løse opgaven, så kan de eksempelvis ikke logge ind på din side.

Du kan installere CAPTCHA på din WordPress side med et plugin, der hedder Google Captcha (reCAPTCHA). Det finder du her.

6. Begræns antallet af loginforsøg

Det er en del af de fleste sikkerhedsplugins. Men du kan også bruge Limit Login Attempts til at gøre lige nøjagtig det her.

Et typisk angreb vil prøve at logge ind med kendte brugernavne og kodeord. Det er egentlig bare en robot, der systematisk gætter sig frem. Det kan den gøre i det uendelige. Eller indtil den bryder gennem muren.

Når du begrænser antallet af loginforsøg, så gør du det meget, meget sværere for hackerne at gætte sig frem til dit kodeord.

7. Tilføj et SSL-certifikat på din side

SSL står for Secure Socket Layer. Det er det certifikat, som giver en grøn hængelås og beskeden Sikker i adressefeltet på eksempelvis browseren fra Google Chrome. Det betyder, at data på hjemmesiden er krypteret, og det gør det meget sværere for ubudne gæster at opsnappe, hvad der foregår på din side.

Du kan få et gratis SSL-certifikat hos Let’s Encrypt. Let’s Encrypt er et open-source projekt, der stiller SSL-certifikater gratis til rådighed, fordi de gerne vil være med til at gøre internettet mere sikkert. Det er ret sejt.

Hos den danske webhost UnoEuro kan du få et gratis Let’s Encrypt certifikat på din hjemmeside med ganske få klik. Så er der ikke flere dårlige undskyldninger. Det skal bare gøres.

Du skal være opmærksom på, at der findes forskellige niveauer af SSL-certifikater. Let’s Encrypt tilbyder gratis Domain Validated SSL. Men der kan være situationer, hvor du har brug for et lidt højere niveau. Her er de forskellige niveauer:

  • Extended Validation Certificates (EV SSL)
    Her tjekker Certificate Authority (CA) op på, at siden har ret til at bruge et bestemt domæne og samtidig bliver der lavet en udvidet sikkerhedsundersøgelse og vurdering af organisationen.
  • Organization Validated Certificates (OV SSL)
    Her tjekker CA op på retten til at bruge domænet, og der bliver foretaget en sikkerhedsundersøgelse af organisationen.
  • Domain Validated Certificates (DV SSL)
    Her tjekker CA op på ansøgerens ret til at bruge det specifikke domæne. Men der bliver foretaget nogen sikkerhedsundersøgelse af ansøgeren. Du kan være sikker på, at dine data er krypteret på sider med DV SSL, men du kan ikke være sikker på, hvem modtageren er i din anden ende.

Det kan du dykke meget mere ned i her, hvis du har behovet for det.

8. Brug to-faktor autentifikation til login på siden

Hvis du vil holde pilfingrene langt væk fra din side, så er to-faktor autentifikation en god ide. Et stærkt kodeord er ikke nok. Du skal bruge et ekstra lag af beskyttelse.

Det ekstra lag er to-faktor autentifikation. Du kender det fra NemID (kodeord og papkort). De fleste har kun en sikkerhedsfaktor på WordPress – deres kodeord. Hvis du aktiverer en ekstra faktor i din sikkerhed, så kan du eksempelvis bruge din telefon til at generere en ekstra nøgle.

Så skal ubudne gæster pludselig have både din smartphone og dit kodeord, før de kan logge ind.

Her kan du læse mere om, hvordan to-faktor-login fungerer.

9. Gem din loginside lidt væk

Det her er en af de simple måder at holde hackerne væk fra din WordPress hjemmeside. WordPress kommer som standard med loginsider på to forskellige URL’er. Det er /wp-admin og /wp-login.php.

Det er det samme for alle WordPress hjemmesider. Det betyder, at hvis du har onde hensigter, så er det næsten for nemt at skrive et lille stykke kode, der finder WordPress hjemmesider og hopper direkte over på loginsiden. Herfra prøver hackerne så med råstyrke og uendelige loginforsøg at knække din kode.

Det her råd kan ikke stå alene. Det er udelukkende en måde at gøre det besværligt på for hackerne. Men som en del af en større sikkerhedsindsats, så er det her med at flytte rundt på tingene et vigtigt lille ekstra lag.

Der findes mange plugins til at løse den her opgave. Jeg har flere gange brugt WPS Hide Login. Det fungerer og er nemt at sætte op.

Find WPS Hide Login her.

Note: Har du brugere, der let skal kunne finde din loginside, så hjælper det her tip ikke. Dine brugere skal selvfølgelig let kunne finde din loginside. Og når de kan, så kan en hacker også.

10. Backup, backup og mere backup

Hvis ulykken sker, så er det altafgørende, at du har styr på backup af din WordPress hjemmeside. Det kan i hvert fald gøre dit liv meget lettere.

Har du styr på din backup, så kan du nemt rulle tilbage til en gammel udgave af dit site. En version fra før, du blev hacket.

Du skal selvfølgelig stadigvæk sørge for at lukke sikkerhedshullet. Men du kan få dit side hurtigt op at køre igen med en god backup. Alternativet er at skulle genskabe både indhold, opsætning, design og det der er værre.

Hvordan du tager backup afhænger af dit setup. Du kan selvfølgelig altid sætte et system op, som du styrer fuldstændig selv. Men måske er du allerede dækket ind.

Måske tager din webhost allerede backup. Måske har du kun backup af databasen. Og måske er der slet intet til at gribe dig, når du falder.

Hyppigheden afhænger også af dit behov. Skriver du et indlæg om ugen, så behøver du ikke lige så ofte backup, som services der måske får flere nye brugere ind i timen.

11. Scan dit site for malware

Det første du skal gøre er at lokalisere infektionen. Du kan eksempelvis kigge efter spor her:

  1. Scan siden – https://sitecheck.sucuri.net/
  2. Check WordPress kernen på serveren
  3. Check de senest ændrede filer
  4. Check om du er blevet blacklistet – https://transparencyreport.google.com/safe-browsing/

Det andet du skal gøre er at reparere hullet. Du kan eksempelvis gøre følgende:

  1. Gendan rene versioner af inficerede filer i WordPress kernen
  2. Rens din database for malware
  3. Styrk sikkerheden på brugerkonti, fjerne suspekte konti og reset kodeord
  4. Fjern bagdøre i koden – så hackerne ikke bare går ind igen
  5. Meld til Google Search Console og lignende, at din side er ren igen

Det tredje du skal gøre er at øge sikkerhedsniveauet på din WordPress side. Den guide sidder du allerede med. Så det er bare med at komme i sving.

Advarsel: Du kan hurtigt lave mere rod, når du begynder at rydde op på egen hånd. Er du usikker på, hvordan du gør, så hiv fat i en med erfaring i WordPress.

12. Hold styr på brugerrollerne i WordPress

WordPress har som standard forskellige brugerroller. Administrator kan ændre i næsten alt. Abonnent kan ikke rigtig gøre noget.

Hvis du bruger rollerne korrekt, så er det også med til at sikre et stærkere lag af sikkerhed på din side.

Det er særligt din WordPress Administrator, som der skal være fokus på. Den skal du udelukkende have en af. Og så er det vigtigt, at du kun bruger din administrator til at ændre på siden rent teknisk, installere plugins og sådan noget. Du bruger den ikke – og det er med streg under ikke – til at udgive indhold.

Læs mere om brugerrollerne i WordPress her.

Få hjælp til sikkerheden i WordPress

Har du brug for hjælp til WordPress?

Sikkerhedsindstilling, backup og hastighedsoptimering. Det kan hurtigt tage meget af din tid, eller give ekstra grå hår i hovedbunden.

Klik her og få professionel hjælp til WordPress

Spørgsmål eller kommentar? Skriv dem her.

Har du spørgsmålet, eller vil du bare lige aflevere lidt ros (eller ris), så læg en kommentar.