+47 24076110

Schønings gate 14b, 0362 Oslo

Top

Slik får du en sikker WordPress

Slik får du en sikker WordPress

 

Når det kommer til sikkerhet skal du aldri ta lett på det. WordPress er allerede en sikker publiseringsplattform, likevel er det smart å ta noen grep for å stoppe spammere, roboter og hackere.

 

Hold WordPress oppdatert

Noe så enkelt som å holde WordPress oppdatert kan ha stor innvirkning på sikkerheten. Når du ligger inn på kontrollpanelet og ser at det står «Oppdatering tilgjengelig», bør du ikke vente med å oppdatere nettstedet. Men før du gjør dette bør du ta en sikkerhetskopi. Informasjon om hvilke eventuelle sikkerhetshull som ble rettet opp fra forrige versjon er nå tilgjengelig for alle, noe som betyr nettsteder med utdatert versjon blir enda mer sårbare.

 

Hold utvidelser og design oppdatert

Akkurat som du må holde WordPress versjonen oppdatert regelmessig, må du også holde utvidesler og designet oppdatert. Hver utvidelse og design som er installert på nettstedet ditt er som en potensiell bakdør inn på nettstedet ditt.

Slett eventuelle utvidelser og design du ikke bruker. Fjern disse for å redusere sannsynligheten for å bli utsatt for hacking. Har du mange utvidesler som du ikke bruker eller som du ikke ønsker å oppdatere bør du slette dem. Det er ikke nok at du deaktiverer dem, du må faktisk slette dem.

Bare last ned utvidelser fra kjente steder som du stoler på. Utvidelser og design som ligger på WordPress.org og Themeforest skal være grundig skannet før du tillates. Men vær klar over at utvidelser som ikke er oppdatert over lang tid kan ha sikkerhetshull.

 

Endre filrettigheter

Ikke finn på å konfigurere mapper til 777 tillatelser. Du bør velge enten 755 eller 750, i stedet, ifølge WordPress.org. Mens du er i gang, bør du sette filer til 640 eller 644 og wp-config.php til 600.

 

For å gjøre ditt nettsted sikkert bør du bruke en eller flere sikkerhetsutvidelser. Det finnes to typer; de som gjør en enkel funksjon og de som er en alt-i-ett-løsning. Jeg anbefaler at du prøver å begrense antall utvidelser så velg derfor en som kan gjøre flere ting.

 

Ta sikkerhetskopi

Før du starter anbefaler vi at du tar en sikkerhetskopi av nettstedet ditt. Gjør dette så ofte som mulig, men spesielt når du skal gjøre store endringer, legge til nye utvidelser eller oppdateringer.

Mange unngår å ta sikkerhetskopi enten fordi de glemmer det eller bare er late. Skjer det noe uventet kan hele nettstedet kræsje og uten sikkerhetskopi kan du ikke rulle tilbake til tidligere versjon.

Det finnes en rekke forskjellige måter å gjøre dette på. Man kan gjøre det med utvidelser til WordPress eller sikkerhetskopien kan gjøres av ekstern løsning på server. Når man har drift og vedlikeholdsavtale hos oss tar vi oss av dette.

 

Gjør kontrollpanelet sikrere

Stopp hackere og roboter som prøver å bryte seg inn ved å gjøre det vanskeligere å finne frem til hva brukernavn, passord og innloggingsadressen er.

Bedre brukernavn

Første brukernavnet de prøver seg på er «admin» i kombinasjon kjente passord.

Vær smart, ikke bruk «admin» som brukernavn. Hvis du allerede har installert WordPress og har en bruker med «admin» som brukernavn eller noe annet veldig enkelt, kan du endre dette i databasen. Jeg anbefaler at man fjerner denne brukeren om ditt nettsted har denne.

Noe av det første hackere og roboter prøver på når de vil inn komme seg inn i kontrollpanelet ditt er å bruke vanlige brukernavn.

Sterkt passord

Når du skal lage passord for brukere og administratorer bør passordet være sterkt. Unngå å bruke enkle ord og kombinasjoner. Vær mer kreativ enn å velge noe så enkelt som Passord123.

Bytt nettadresse til kontrollpanelet

Er du kreativ med nettadressen til kontrollpanelet kan du gjøre det vanskeligere for uvedkommende å få tilgang. Kom deg bort fra «wp-admin» som logg inn-adresse. Velg heller noe mer kreativt som for eksempel «kominn», «komfoross», «gikontroll» eller «himmelporten».

Stopp brute force

Hvis man hadde ubegrenset med tid og prøvde et ubegrenset antall passord for å komme inn på nettstedet ville man til slutt kommet inn. Som standard bryr ikke systemet seg om hvor mange forsøk en bruker prøver for å logge inn. Man vil alltid får lov til å prøve igjen. Du bør sette på en begrensning som aktiverer en påloggingsgrensene som forby brukere å logge inn igjen og igjen med feil passord eller brukernavn.

Begrense REST API

WordPress REST API er en del av WordPress og gir utviklere nye måter å håndtere WordPress. Som standard, kan det gi allmennheten tilgang til informasjon som du tror er privat på nettstedet ditt. I versjon 4.7 og 4.7.1 gjorde sikkerhetshull i REST API at uvedkommende kunne redigere artikler uten å ha brukernavn og passord til nettstedet.

Skal du ikke bruke WordPress REST API kan du begrense tilgangen til dataen. Dette betyr at de fleste forespørsler vil kreve at en bruker er innlogget bruker eller en bruker har spesielle rettigheter, vil kunne blokkere offentlige forespørsler om potensielt private data. Vi anbefaler å begrense dette.

Ta kontakt med oss om du trenger hjelp med å holde ditt nettsted oppdatert og sikkert.