10 TIPS FÖR EN SÄKRARE WORDPRESS-SAJT

WordPress är världens mest använda CMS (Content Management System) och driver idag 28,3 % av alla webbplatser på internet. WordPress är en open source-programvara vilket gör den otroligt flexibel och tillgänglig för alla. Dessutom är det lätt att använda, även personer utan utvecklarbakgrund, vilket gör det lämpligt för allt från nybörjare till mer avancerade användare. Men öppenheten och de många användarna gör det också attraktivt för spam, nätfiske och annan skadlig programvara. Med detta sagt så tar WordPress säkerheten på allvar och är snabba med att uppdatera när upptäcker sårbarheter i programvaran. För att skydda dig mot hackning och spam kommer här tio tips som är ett måste för varje WordPress-användare.

1. Hantera databasen korrekt och säkert

Allt innehåll på din WordPress-webbplats är organiserat i en databas. Den databasen innehåller saker som inlägg, användare, inställningar o.s.v. Ett vanligt format på databasen i WordPress är SQL (Structured Query Language). Det är ett sätt att strukturera data för att enkelt kunna koppla ihop och hämta den effektivt. För att öka säkerheten ska du alltid ha ett starkt och slumpmässigt lösenord och användarnamn när du skapar din databas innan en WordPress-installation. Det är också bra att använda ett unikt tabellprefix istället för standardvärdet wp_. Det är också viktigt att blockera utomstående från att kunna redigera eller ansluta till din databas då den innehåller mycket viktig information. De flesta webbhotell idag blockerar alla anslutningar som inte görs från den egna servern. Men om du använder en dedikerad server är det något du själv måste sätta upp. I MySQL gör du detta genom att redigera konfigurationsfilen (my.cnf) och lägga till följande rad: bind-address = 127.0.0.1.

2. En säker wp-config.php-fil

En av de viktigaste filerna i din WordPress-installation är wp-config.php-filen. Den här filen finns i roten på din WordPress-katalog och innehåller webbplatsens konfigurationer, till exempel databasinformation. När du först hämtar WordPress ingår inte wp-config.php-filen utan installationsprocessen skapar en fil baserat på information du tillhandahåller. Eftersom filen innehåller känsliga uppgifter är det viktigt att säkra upp den så att inte någon annan kommer åt den. Det kan man göra genom att flytta den eller begränsa tillgången till den. WordPress lägger automatiskt wp-config-php i rot-katalogen men det går bra att flytta upp filen en nivå så att den ligger utanför rot-katalogen. Med rätt filrättigheter och en korrekt konfigurerad webbserver kan du egentligen behålla din wp-config.php-fil i rot-katalogen. Men som en extra säkerhetsåtgärd kan du flytta wp-config.php-filen till mappen en nivå upp, vilket gör att den hamnar utanför webbplatsens rot-katalog och gör den otillgänglig för HTTP-förfrågningar. Om du har en Apache-server kan du också säkra upp tillgängligheten med hjälp av .htaccess-filen. Lägg då till följande i början av .htaccess: order allow,deny deny from all

3. Redigera filrättigheterna på servern

I alla filsystem har filer och kataloger olika rättigheter som anger vem och vad som kan läsa, skriva, ändra och komma åt dem. Dessa filrättigheter kan man ändra på servernivå och då kan man ta bort rättigheten att skriva och ändra för alla utom administratörer.  Filrättigheterna skrivs med tre siffror och i WordPress-codex kan du läsa mer om exakt hur dessa fungerar. Du kan göra dina filrättigheter mer restriktiva genom att ändra dem med hjälp av din FTP-klient. Som standard har mappar filrättigheterna 755 och filer 644. Vilket betyder att mappar enbart kan läsas och öppnas av utomstående samt att filerna enbart kan läsas. Du ska absolut undvika att ha din rättigheter satta som 777 vilket ger vem som helst tillåtelse att skriva och ändra din fil och/eller mapp.

4. Installera ett SSL-certifikat

Idag finns all anledning att ha ett SSL-certifikat installerat. SSL-certifikatet är en nyckel som krypterar information som skickas mellan webbplatsen och användaren. Det ökar säkerheten och minskar risken att någon plockar upp informationen mittemellan. Dessutom gillar Google SSL-certifikat, de ger en rankningboost¹ till webbplatser med ett korrekt uppsatt SSL-certifikat och dessutom varnar deras egen webbläsare, Google Chrome, sina användare för webbplatser som inte har något certifikat.²

5. Håll dig uppdaterad

Att använda en äldre version av WordPress är en av de vanligaste orsakerna till att webbplatser kan bli hackade. Se därför alltid till att du har den senaste versionen installerad. Då får du de senaste åtgärderna av buggar och du får också ta del av de senaste optimeringarna som gör din webbplats snabbare. Men det är inte bara själva WordPress-installationen du ska hålla uppdaterad, även tillägg och teman behöver vara av de senaste versionerna. Om ett tillägg inte längre uppdateras kontinuerligt är det viktigt att byta ut det mot ett med samma funktionalitet som fortfarande uppdateras. Gamla och ouppdaterade tillägg utgör en säkerhetsrisk, inte bara för hackare utan också för att de kan orsaka konflikter med andra tillägg på din webbplats. Och när du ändå uppdaterar dina tillägg, se över ifall du verkligen behöver alla du installerat. Ju fler tillägg du använder desto långsammare blir webbplatsen och det vill du inte.

6. Dölj vilken version av WordPress du använder

Även om du alltid ska ha den senaste versionen av WordPress installerad så kan det vara bra att dölja det för andra. Olika versioner har kända sårbarheter och det är lätt att ta reda på vilken version du kör då det står i head-taggen i koden på varje sida. Men det är också lätt att ta bort den informationen genom att lägga till en rad i din functions.php-fil: Remove_action (‘wp_head’, ‘wp_generator’);

7. Rensa och begränsa bland användare

Något som många missar är att med jämna mellanrum kontrollera vilka som har tillgång till att redigera på webbplatsen. Självklart ska de som arbetar med webben ha tillgång men det finns ofta användare som aldrig loggar in och som kanske rent av inte längre jobbar kvar. Att ha användare som inte används kan vara en säkerhetsrisk och ge en ingång till hackare. Se också över vilken roll de olika användarna har. Om det är någon som bara publicerar blogginlägg då och då behöver de inte vara administratörer. Användare är en svaghet i alla system, speciellt om de använder svaga lösenord och delar med sig av dessa till andra. Se till att så få som möjligt har administratörsrollen och få de med tillgång till sajten att använda säkrare lösenord. Kontrollera också att du inte använder standardiserade användarnamnet “admin”, utan väljer ett eget.

8. Begränsa åtkomst med hjälp av IP-adress

Om ni är få användare som alltid använder WordPress från samma statiska IP-adress så kan du enkelt begränsa åtkomsten genom att lägga till en .htaccess-fil i wp-admin-mappen. I den nya .htaccess-filen lägger du till följande: order deny, allow allow from 1.2.3.4 # user 1 IP allow from 5.6.7.8 # user 2 IP, etc deny from all

9. Vikten av säkerhetskopior

Om det värsta skulle hända så är det viktigt att se till att ha en säkerhetskopia på allt. Då kan du enkelt återställa din webbplats utan att tappa allt innehåll. Det finns flera bra plugins som kan hjälpa dig säkerhetskopiera din webbplats på ett enkelt sätt. Själva använder vi BackupBuddy, men det finns flera bra alternativ när du söker i WordPress egen plugin-katalog.

10. Skanna och övervaka hela tiden

Sist men inte minst, genom att ha en riktigt bra brandvägg undviker du en hel del attacker. Wordfence är ett av de mest använda tilläggen för WordPress – med all rätt. Det innehåller en bra brandvägg och uppdaterar kontinuerligt sitt tillägg och sin brandvägg med de senaste malware-signaturerna och skadliga IP-adresserna. Om olyckan ändå skulle vara framme och din webbplats blir hackad så kan Wordfence dessutom hjälpa dig söka igenom hela sajten och rensa den från skadlig kod och liknande.

Ta din säkerhet på allvar

Hackning är som sagt ett stort problem och med enkla medel kan du göra det lite svårare för de med dåliga avsikter att komma åt känslig information på din webbplats. Det är alltid bäst att vara proaktiv när det gäller din webbplats säkerhet. Om du håller dig uppdaterad kring det senaste och följer våra råd så kommer du förhoppningsvis slippa risken att förlora viktig information och även slippa lägga många timmars arbete på att återställa och rensa din webbplats från spam och skadlig kod.

¹ https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html

² https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html[/vc_column_text][/vc_column][/vc_row]