Öka säkerheten på din WordPress-sida
WordPress är ett av världens mest kända och mest använda CMS (Content Management System). Det är inte så konstigt, med tanke på att det är Open Source och dessutom gratis att använda. En väldigt levande och aktiv community utvecklar plugins (tillägg) till plattformen och vidareutvecklar också kärnan i den för att täppa till säkerhetshål och skapa ny funktionalitet som efterfrågats.
Med hjälp av WordPress och något av de tiotusentals teman som finns för plattformen, en del är gratis medan andra kostar från ett par hundra upp till några tusen kronor, kan nästan vem som helst skapa en snygg och professionell webbplats med lite tid, svett och vilja (jag är själv självlärd, liksom så gott som alla som arbetar med verktyget).
Men det finns också en baksida med öppen källkod, och det är att den är just öppen: vem som helst kan ladda ner WordPress och analysera koden för att försöka hitta svagheter. Och är man kriminell är det också ett mycket tacksamt mål: hittar man ett säkerhetshål, har man tillgång till närmare 18 % av webben för så stor är nämligen plattformens marknadsandel just nu.
Och WordPress-siter blir också hackade relativt ofta. Vanligtvis injiceras en kodsnutt som skapar länkar till andra siter som tillhör hackaren, och siten används då i SEO-syfte. Dessa länkar är ofta osynliga för vanliga besökare, men visas för GoogleBot (sökmotorns spindelverktyg). Men det finns också ännu värre kod som placerar trojaner i din dator, skickar dig vidare till illegala siter osv. Vissa intrång är nästintill omöjliga att försvara sig mot: en riktad attack med nyskriven kod som utnyttjar ett säkerhetshål som inte blivit upptäckt av någon annan (ännu) är ett sådant, och då har du inte så mycket annat val än att kalla in kavalleriet. Men det finns också ganska enkla saker att göra, saker som troligen kommer att skydda dig mot 95-99 % av försök att hacka din site. Här är några av dem:
Håll allt uppdaterat
Att hålla sin WordPress-installation och sina plugins uppdaterade är det bästa och enklaste skyddet mot attacker som utnyttjar kända hål och buggar. Med varje core-uppdatering kommer generellt också patchar som skapar skydd mot de senast upptäcka säkerhetsriskerna.
Byt användarnamn
Vid brute force-attacker används nästan alltid användarnamnet ”admin”, helt enkelt för att den som ligger bakom attacken vet att många WordPress-användare är för lata för att byta sitt användarnamn. Gör det, och om du vill eller måste heta ”admin” utåt ändå, kan du ange det som smeknamn till din nya profil.
Se upp för gratisteman
Gratis är såklart gott, och de allra flesta gratisteman är just bara gratisteman. Det finns dock teman, ofta de som hittas hos mer tveksamma siter av typen ”Top 100 Hottest & Free WordPress Themes Right Now!”, som innehåller skadlig kod. Var också vaksam om du laddar ner teman via BitTorrent, och speciellt på teman som innehåller base64-kod.
Minimera antalet plugins du använder
När siter hackas är det ofta på grund av dåligt skrivna plugins. Den senaste tiden har stora hål också avslöjats i välskrivna och mycket populära plugins, och ju fler användare ett plugin har desto mer attraktivt är det förstås för angrepp. Ha bara plugins som du verkligen använder, och radera de som inte gör något reell nytta för din site.
Stärk upp med säkerhetsplugins
Alla plugins är dock inte av ondo. Vanliga brandväggsplugins skyddar dig mot de mest uppenbara försöken. Vi gillar bland annat Wordfence, som är gratis att ladda ner och använda. Andra bra säkerhetsplugins är Limit Login Attempts som begränsar antalet felaktiga inloggningsförsök från samma ip-adress, något som kan skydda mot brute force-attacker (men som i värsta fall snabbt kan fylla din databas med ip-nummer om attacken är omfattande), och Sucuri Security som inte bara ger dig möjligheten att stärka upp skydd i form av filrättigheter på siten, utan också har en utmärkt scanner som ofta (inte alltid) avslöjar om du blivit utsatt för intrång.
Håll koll på bakdörren
Alla dessa tips utgår från att du redan har koll på serversidan, och använder hosting med en säker datamiljö. Kommer någon in på servern och kan gå in på din site ”bakifrån” är det nämligen ganska lite du kan göra för att skydda dig. Använd därför uppdaterade säkerhetsregler om du själv hostar, eller se till att lägga din webbplats hos ett företag med koll på säkerhet.
Har du flera tips att bidra med? Kommentera gärna!