Wordpress

Enkel sikkerhetssjekkliste for WordPress-nettsteder

Visste du at over 100,000 XNUMX nettsteder blir hacket daglig? Det stemmer, nettkriminalitet er en alvorlig trussel mot ethvert selskap, og alle som har et WordPress-nettsted er heller ikke trygge. Jeg har vært i kontakt med hackere (og måtte gjenopprette WordPress-siden min), og du vet sikkert at den var stygg.

Hackere leter aktivt etter sårbare nettsteder for å bryte og stjele data som de kan frigi for økonomisk vinning eller ren ondsinnet hensikt. For å beskytte deg selv og ditt dyrebare nettsted, bør du seriøst vurdere å herde WordPress-sikkerheten din.

Med tanke på at du vil miste inntekter, tid og krefter når hackere bryter seg inn på nettstedet ditt, har vi laget følgende sikkerhetssjekkliste som du kan bruke for å sikre WordPress-nettstedet ditt. Alle sikkerhetselementene i innlegget er relativt enkle å implementere selv for nybegynnere:

  1. Oppdater WordPress
  2. Oppdater temaer og plugins
  3. Bruk unike og sterke passord
  4. Installer en WordPress Security Plugin
  5. Velg Great WordPress Hosting
  6. Bruk SSL (HTTPS)
  7. Lag en fullstendig sikkerhetskopi av nettstedet
  8. Bruk en webapplikasjonsbrannmur (WAF)
  9. Deaktiver filredigering i WordPress Admin
  10. Sikre påloggingssiden din
  11. Legg til autentisering
  12. Logg ut inaktive brukere
  13. Skann etter skadelig programvare og problemer
  14. Bruk en VPN

Som du kan se, vil vi dele opp innlegget i flere deler som dekker alt fra å velge en sikker vert til å herde administrasjonsområdet ditt og andre. Du må gjenta noen sikkerhetsoppgaver, for eksempel å oppdatere temaene dine regelmessig. Andre oppgaver er en engangsting, men har fortsatt en betydelig innvirkning på å holde nettstedet ditt sikkert. Sjekk hva du trenger å fikse, og gjør det med en gang fordi hackere heller ikke kaster bort tid.

Enkel WordPress sikkerhetssjekkliste

1. Oppdater WordPress

WordPress-kjerne blir regelmessig revidert og sjekket for sikkerhetssårbarheter. Hvis sikkerhetsfeil og feil oppdages, slipper kjerneutviklere vanligvis vedlikeholdsoppdateringer. Mindre oppdateringer installeres automatisk på WordPress-nettstedet ditt.

Du må imidlertid oppdatere WordPress manuelt for alle større utgivelser. Det er en relativt enkel prosess siden du får en irriterende melding i WordPress-administratoren din. Bare 22 % av nettsidene kjører på den nyeste versjonen av WordPress, noe som er trist med tanke på hvor enkelt det er å oppdatere.

Ikke befinn deg i de resterende 78 % siden du i hovedsak utsetter nettstedet ditt for alle slags angrep ved å ikke oppdatere nettstedet ditt. Vanligvis er hackere den første gruppen mennesker som lærer om eventuelle sårbarheter i gamle versjoner, siden de regner med feilene for å starte vellykkede angrep.

Før du oppdaterer WordPress anbefaler vi å lese utgivelsesnotatene for å se hva som er endret og ta en sikkerhetskopi av nettstedet ditt (bare for sikkerhets skyld). På denne måten kan du nå hva du kan forvente når du klikker på oppdateringsknappen, og du har en feilsikker dersom noe skulle gå galt.

2. Oppdater temaer og plugins

Mens du oppdaterer WordPress-kjernen, ikke glem å oppdatere temaene og pluginene dine også. Hackere er spesielt glad i gamle temaer og plugins med kjente sikkerhetshull.

De utnytter disse sikkerhetssårbarhetene og kan til og med skjule en bakdør i et gammelt tema eller plugin. Hvis du ikke oppdaterer, kan de hacke nettstedet ditt når det måtte passe dem.

For å unngå å miste de egendefinerte stilene dine, anbefaler vi å bruke et WordPress-undertema i motsetning til det overordnede temaet. På den måten vil du ikke miste tilpasningene dine når du oppdaterer temaet ditt.

Du bør også eliminere alle inaktive temaer, plugins og ubrukte WordPress-installasjoner. Ikke bare vil du spare båndbredde og gjøre nettstedet ditt raskere, men du vil også holde hackere i sjakk.

En annen rask merknad, last aldri ned "nullede" premium-temaer og plugins. Gå kun med pålitelige kilder som WordPress.org, Envato eller en annen anerkjent temabutikk.

3. Bruk unike og sterke passord

Du vil bli overrasket over å høre at de fleste nettsteder blir hacket når skurkene stjeler påloggingsinformasjonen din. I tillegg er brute force-angrep ganske vanlige og involverer bombardering av påloggingssiden din med tusenvis av brukernavn-passord-kombinasjoner til noe gir seg.

Hvis du bruker svake brukernavn og passord (som den beryktede "admin" eller "12345"), gjør du det utrolig enkelt for hackere å bryte seg inn på nettstedet ditt. Få for vane å lage unike og sterke passord som du endrer regelmessig. Du kan til og med bruke en gratis online generator, som denne fra LastPass.

Å administrere mange sterke passord kan være et problem. For å hjelpe er jeg ofte avhengig av passordbehandlere som blant annet 1Password eller LastPass. Ikke bruk det samme passordet på nytt på flere nettsteder, og hold alltid påloggingsinformasjonen din trygg. Sørg for at WordPress-brukerne også bruker sterke passord.

Mens du er i gang – husk å bruke sterke passord for e-post-, cPanel-, MySQL-databaser og FTP-kontoer også.

4. Installer et WordPress Security Plugin

Når jeg lager et nytt WordPress-nettsted, har jeg vanligvis flere defacto-plugins jeg installerer nesten automatisk. Jeg får en anti-spam-plugin, Contact Form 7, Symple Shortcodes og iThemes Security, min go-to WordPress-sikkerhetsplugin.

Plugin-modulen lar meg styrke WordPress-forsvaret mitt uten å svette. Den kommer med så mange funksjoner som gjør det enkelt å holde skurkene unna nettsidene mine. Konfigurering av plugin er superduper enkelt; du bør være i gang på et blunk.

De beste WordPress-sikkerhetspluginene tilbyr deg forskjellige funksjoner, så sørg for å sjekke før du installerer for å forsikre deg om at du får alle funksjonene du trenger for å sikre hele nettstedet ditt, uansett hvor unikt det er. Standardfunksjoner inkluderer skanning av skadelig programvare, IP-blokkering, brute-force-forebygging, tofaktorautentisering og mye mer – sjekk mange av boksene for denne sikkerhetssjekklisten du leser akkurat nå!

5. Velg Great WordPress Hosting

Vanligvis kommer nybegynnere etter den første billige hostingpakken de kommer over. Jeg vil ikke holde det mot deg siden du ikke vet bedre, men tvilsomt billig (eller til og med gratis) delt hosting kan utsette deg for sikkerhetsrisiko. Jeg vet dette for et faktum siden jeg har blitt hacket på to forskjellige hostingselskaper som tilbyr delt hosting.

Delt hosting innebærer å dele en server med tusenvis av andre nettsteder. Dette øker risikoen for forurensning på tvers av stedet. Det vil si at en hacker kan få tilgang til nettstedet ditt selv om andres nettsted var det opprinnelige angrepspunktet.

Administrert WordPress-hosting fokuserer derimot kun på WordPress-nettsteder. Du deler ikke en server med andre, og du får flere sikkerhetsalternativer for å holde deg trygg. De tilbyr også dedikert støtte, og flere gjenopprettingsalternativer hvis det verste skulle skje.

Hvis du må bruke delt hosting, si at du starter med en blogg som ikke tjener penger ennå, sørg for at sidene er isolert eller "fengslet". Hvis du driver en bedrift eller et e-handelsnettsted, lønner det seg å bruke den beste WordPress-verten du kan passe inn i budsjettet ditt fra begynnelsen – for eksempel VPS, dedikert eller administrert WordPress-hosting.

6. Bruk SSL (HTTPS)

I dag tilbyr mange WordPress-vertsselskaper gratis SSL-sertifikater fra første stund og med en god grunn. SSL-sertifikater gjør nettstedet ditt sikrere enn nettsteder uten SSL. Google anbefaler også å bruke SSL-sertifikater for å beskytte data på nettstedet ditt (og sørge for at brukerne vet om du bruker SSL eller ikke).

HTTPS er sikrere enn forgjengeren HTTP. Et nettsted som bruker HTTPS krypterer all data som beveger seg mellom brukerens nettleser og serverne dine. Hvis en hacker avskjærer kommunikasjonen, vil de kun finne kryptert data som er like nyttig som en ettbent mann i en røvsparkkonkurranse 🙂

Installering av SSL-sertifikater på de fleste webverter er like enkelt som A, B, C. De fleste tilbyr installeringsprogrammer med ett klikk som gjør hele prosessen enkel. Bare logg inn på cPanel og klikk på en enkelt knapp for å installere og administrere SSL-sertifikatene dine. Hvis du vil ha en mer praktisk tilnærming, bør du vurdere å sjekke ut Let's Encrypt.

7. Lag en fullstendig sikkerhetskopi av nettstedet

Da hackere detroniserte meg, måtte jeg gjenoppbygge nettsidene mine fra bunnen av, en hodepine jeg ville ha unngått hvis jeg hadde husket å sikkerhetskopiere WordPress på en pålitelig måte.

Men nei, sikkerhetskopiene som var hos webverten min ble ødelagt under angrepet, og nei, jeg hadde ikke en sekundær backup-løsning. Et klassisk tilfelle av å legge alle eggene dine i én kurv som lærte meg en vanskelig lekse.

I dag lager jeg fullstendige sikkerhetskopier av nettsteder som inkluderer nettstedsfiler og databaser. Jeg bruker hovedsakelig ManageWP, men jeg bruker også Duplicator-pluginen til å lagre sikkerhetskopier på datamaskinen min og i Google Drive.

Jeg oppfordrer deg til å lage fullstendige sikkerhetskopier regelmessig. Mange WordPress backup-løsninger lar deg automatisere hele prosessen, sparer tid og gir deg trygghet.

8. Bruk en webapplikasjonsbrannmur (WAF)

For å legge til et ekstra lag med sikkerhet til WordPress-nettstedet ditt, og sove bedre om natten, aktiver en nettapplikasjonsbrannmur (WAF). En WAF beskytter nettstedet ditt ved å blokkere ondsinnet trafikk lenge før det kommer til nettstedet ditt. Det er et proaktivt tiltak for å stoppe skurkene døde i sporene deres før de forårsaker skade.

Brannmuren filtrerer den innkommende trafikken din, eliminerer hackere samtidig som legitime brukere slipper gjennom. Mange WordPress-sikkerhetsselskaper tilbyr brannmurer for nettapplikasjoner sammen med andre funksjoner. Populære alternativer i bransjen inkluderer Sucuri og Cloudflare.

9. Deaktiver filredigering i WordPress Admin

WordPress CMS kommer med en fantastisk koderedigerer som lar deg redigere plugin- og temafiler i WordPress admin-dashbordet. Kodeeditoren er et flott verktøy å ha til rådighet, men i feil hender kan hackere bruke den til å ødelegge eller legge til skadelig programvare på nettstedet ditt.

Du kan alltid redigere tema- og plugin-filene dine (hvis det er nødvendig) via FTP eller filbehandling i cPanel, noe som betyr at du helt kan deaktivere koderedigering i WordPress. Du vil ikke at hackere som får tilgang til WordPress-administrasjonsområdet ditt skal ha tilgang til kodeeditoren, fordi de kan forårsake mye skade med noen få linjer med kode.

Hva å gjøre? Du kan deaktivere den innebygde koderedigereren ved å bruke den gratis Sucuri Security-plugin. Alternativt kan du legge til følgende kode til din wp-config.php file:

// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Vi går videre.

10. Sikre påloggingssiden din

Vanligvis har påloggingsskjemaet på din WordPress to felt; brukernavn og passord. Med brute force-angripere og roboter som blir smartere for hver dag, hvordan stopper du hackere fra å få tilgang til WordPress-administrasjonsområdet ditt? Det er enkelt; du legger til CAPTCHA eller sikkerhetsspørsmål som gjør det vanskeligere for alle å få uautorisert tilgang.

Og du trenger ikke å redigere kode til legg til CAPTCHA or sikkerhetsspørsmål til påloggingssiden din. Det er en populær WordPress-plugin kjent som WP Security Question som er enkel å konfigurere og bruke. Hvis du vil bruke CAPTCHA, kan du bruke Simple Login Captcha, WordFence eller en av de mange andre alternativene som er tilgjengelige gratis på WordPress.org.

Samtidig kan du endre din wp-påloggings-URL til noe unikt. På den måten vil roboter og hackere ha vanskelig for å gjette URL-en til påloggingssiden din. wp-login er allerede populær blant hackere, så det gir perfekt mening å endre URL-en til noe annet. Du kan bruke en plugin som WPS Hide Login.

11. Legg til autentisering

Vurder i tillegg å implementere tofaktor- og multifaktorautentisering. I tilfelle en hacker får tilgang til påloggingsdetaljene dine, vil de ikke kunne logge seg på WordPress-siden din. Det er mange tilgjengelige alternativer, men Google Authenticator er et populært valg.

Bortsett fra det, begrense pålogginger på påloggingssiden din. Hvis en besøkende prøver å logge på med en konto som ikke eksisterer eller prøver å logge på på nytt mange ganger, er de mest sannsynlig en hacker eller bot som prøver å brutt-force seg inn. Du kan bruke en plugin som Limit Login Forsøk eller påloggingssperre for å holde disse påtrengende elementene unna.

12. Logg ut inaktive brukere

Når du har et WordPress-nettsted med flere brukere, kan du ikke helt kontrollere hvordan eller hvor brukere får tilgang til nettstedet ditt. En forfatter kan bestemme seg for å bruke gratis offentlig Wi-Fi for å gjøre siste detalj på en artikkel. En webdesigner kan forlate skrivebordet og komme tilbake fra en times lunsjpause.

I slike scenarier kan brukeren din utsette nettstedet ditt for sikkerhetsrisikoer uten å vite det. En ondsinnet person kan ta over økten deres, redigere detaljene deres og rett og slett skape kaos. Hvis den uvedkommende vet hva de gjør, kan de enkelt overta brukerens konto og gjøre skade.

Hva å gjøre? Du kan logge ut inaktive brukere automatisk etter en forhåndsdefinert periode. Og den beste delen? Det finnes plugins for akkurat dette formålet. Et populært alternativ er Inactive Logout-plugin som inkluderer alternativer for å tilpasse inaktiv tid før utlogging, egendefinert popup-melding eller omdirigering ved utlogging, og tidsavbrudd i henhold til brukerrolle.

13. Skann etter skadelig programvare og problemer (regelmessig)

Ofte glemt kan det å skanne WordPress-nettstedet ditt regelmessig hjelpe deg med å identifisere sikkerhetsproblemer tidlig. Det tar bare et sekund for en hacker å bryte seg inn på nettstedet ditt og gjøre alle slags ekle ting. Det er nettopp derfor du bør holde deg oppdatert til enhver tid.

Mange WordPress-sikkerhetsplugins for å skanne etter skadelig programvare, kjente sikkerhetssårbarheter, utdaterte skript, brute force-angrep, ikke-eksisterende sikkerhetskopier og så videre. Programtilleggene sender deg detaljerte rapporter om kjente problemer, slik at du kan fikse dem eller leie en profesjonell.

Det er mange nettsideskannere, for eksempel Sucuri SiteCheck, som du kan bruke til å sjekke nettstedet ditt på et blunk. Alt du trenger å gjøre er å skrive inn nettadressen din, og verktøyene vil sjekke nettstedet ditt automatisk. Etter det tilbyr de deg en rapport om hva du trenger å fikse. Når du har rapporten, fikser du alle sikkerhetssårbarheter umiddelbart.

14. Bruk en VPN

Hvis du driver et nettsted som har sensitiv informasjon som aldri må komme i hendene på hackere, bør du vurdere å bruke et virtuelt privat nettverk (VPN), mer når du bruker gratis offentlig Wi-Fi. En VPN beskytter deg mot mann-i-midt-angrep som er vanlige i offentlige nettverk, inkludert hjemme og på jobb.

Et virtuelt privat nettverk sikrer at selv om angriperne får tilgang til systemet og stjeler detaljene dine, kan de ikke gjøre noe med dataene de tar fra deg. Hvis du har et Internett-nettverk som du deler med mange mennesker, bruk alltid en VPN før du får tilgang til WordPress-administrasjonsområdet.

Andre WordPress-sikkerhetsalternativer

Trenger du mer å gjøre? Vi vil gjerne holde nettstedet ditt sikkert til enhver tid, så her er bonussikkerhetselementer du kan legge til i sjekklisten din:

  • Deaktiver kjøring av PHP-fil i /wp-content/wp-uploads/
  • Endre WordPress-databaseprefikset
  • Passordbeskytt administrator- og påloggingssidene dine på serversiden
  • Deaktiver katalogindeksering
  • Deaktiver WP REST API og XML-RPC hvis det ikke er nødvendig
  • Ikke rediger/endre WordPress-kjerne – skriv eller bruk en plugin som tilbyr funksjonaliteten du trenger i stedet
  • Sørg for at nettstedet ditt kjører den nyeste versjonen av PHP
  • Bruk et antivirusprogram på datamaskinen
  • Aktiver Google Search Console
  • Reduser XSS- og SQL-injeksjonssårbarheter (du trenger kanskje en mer teknisk kunnskapsrik person til å hjelpe med disse to)

Virkelig, antallet skritt du kan ta for å beskytte nettstedet ditt er uendelig. Men hvis du kan krysse av for de 14 elementene vi har listet opp, er det et stort skritt for å sikre nettstedet ditt.


Å sikre WordPress-nettstedet ditt er utfordrende, men ikke umulig. Med de riktige verktøyene og ferdighetene kan du raskt skjerpe WordPress-sikkerheten din og holde de dårlige skuespillerne unna.

Som en oppsummering, hold alltid nettstedet ditt oppdatert. På toppen av det, last aldri ned temaer eller plugins fra upålitelige nettsteder. Og for å være på den sikre siden hvis det verste skulle skje, ha alltid en pålitelig backup-løsning på plass.

Vi håper du fant alle tipsene du trenger for å sikre WordPress-nettstedet ditt, derav nettvirksomhet. Hvis du har et spørsmål eller trenger hjelp til å finne ut hvordan du sikrer WordPress-nettstedet ditt, vennligst gi oss beskjed i kommentarfeltet. Hold deg trygg!

Relaterte artikler

0 kommentarer
Inline tilbakemeldinger
Se alle kommentarer
Tilbake til toppen-knappen