Er din WordPress-hjemmeside sikker?

I dag hører man meget om IT-sikkerhed og mangel på samme. Store som små virksomheder bliver ramt af hackerangreb i større eller mindre grad. Rigtig mange hjemmesider bliver ramt af hackerangreb, der ødelægger indholdet på siden. Det kan være fatalt for en virksomheds online forretning, hvis en webshop bliver hacket.

WordPress er et af de mest brugte CMS-systemer, og derfor er det også ofte WordPress-sider, der bliver angrebet. Derfor sætter vi i det følgende fokus på, hvordan du kan øge sikkerheden på din WordPress-hjemmeside.

Hvad får hackerne ud af det?

Du tænker måske, at du ikke er udsat, fordi du er en mindre virksomhed. Dette er dog en fejl – for realiteten er, at du aldrig kan føle dig sikker. Selvom det eksempelvis er en mindre webshop, du driver, så kan du ligge inde med personfølsomme data, som er interessant for hackerne, da de kan misbruge disse.

Det er altså ikke kun store virksomheder, der bliver angrebet af eksempelvis ransomeware, som for eksempel sagen med teleselskabet 3 tidligere på året. Her står det klart, at hackerne vil have en økonomisk gevinst ud af deres arbejde.

Når mindre virksomheder bliver ramt, skyldes det oftest andre motiver. Der findes mange hackere, som hacker sig ind på forskellige hjemmesider for deres egen fornøjelses skyld. Andre er blevet betalt af en virksomhed, der måske sælger ulovlige produkter. Dette gør de for at vinde på søgemaskineoptimeringen, så disse virksomheder vises i søgeresultaterne. Dette er dog en kortsigtet løsning, da hjemmesiden bliver blacklistet, så snart Google opdager det.  Det er også derfor, at hackerne hacker sig ind på mange forskellige sider.

Grundlæggende sikkerhedsforanstaltninger

Der er mange måder, hvorpå du kan mindske risikoen for at blive ramt af hackerangreb. Først og fremmest er det en god forudsætning, at du holder dine plugins, tema samt CMS-system opdateret. Det er som regel gennem sikkerhedshuller i disse dele, at hackerne finder deres vej ind på din side.

Andre fejl som mange WordPress-brugere begår er, at de anvender brugernavnet ”Admin”. Dette skyldes, at det en gang var standard for WordPress – og det er derfor også det første brugernavn, som en hacker vil forsøge sig med, når de prøver at få adgang til WordPress-siden.

Har du allerede en admin-bruger? Så kan du med fordel lave nogle ændringer i den. Et eksempel kan være, at du ændrer kaldenavnet til noget andet – og dernæst bruger kaldenavnet som det offentlige navn. Du kan også sætte din admin-bruger til at være abonnement, så vil rettighederne nemlig være begrænset, hvis en hacker kommer ind på siden.

Kodeord

Du ved det med sikkerhed: du skal have et stærkt kodeord, som er svært at gætte. Det betyder, at du skal undgå at bruge navne, adresser, telefonnumre, fødselsdatoer eller andet, der kan relateres til dig. Et stærkt kodeord indeholder eksempelvis både store og små bogstaver, specialtegn og er relativt langt.

Et andet godt råd, når det gælder kodeord: Skift jævnligt kodeord. Langt de fleste af os holder os til ét bestemt kodeord, når vi først har oprettet det – og ofte bruger vi det samme kodeord flere forskellige steder. Gør det til en vane at skifte dine kodeord med jævne mellemrum – så er du også sikker på, at andre (fx kolleger eller samarbejdspartnere) ikke har dit kodeord liggende, hvis de ikke har behov for at bruge det.

Du bør nemlig altid undgå at dele din bruger med andre. I WordPress er det let at oprette nye brugere, hvor adgangen er begrænset. På den måde har de udelukkende de rettigheder, de har behov for. Derudover er det let at slette brugeren igen, når de ikke længere skal lave noget på din hjemmeside.

Plugins der understøtter sikkerhed

Netop fordi WordPress anvendes af så mange mennesker og virksomheder, er der naturligvis også udviklet mange plugins, der netop har til formål at understøtte sikkerheden, så hjemmesiden ikke bliver ramt af hackerangreb. Nogle af de mest brugte og brugbare plugins bliver præsenteret i det følgende:

WP Limit Login Attempts

Mange hackerforsøg er i dag automatiseret, så det er maskiner, der prøver at logge ind med forskellige gæt på brugernavn og adgangskode. Det er også det, der kaldes ”brute force attack”.

Med WP Limit Login Attemps får du mulighed for at begrænset antallet af gæt, som maskinen kan komme med.

Efter at have indtastet forkert information et antal gange (eksempelvis 5 gange), blokerer pluginet for forsøg fra maskinen i en tidsperiode – for eksempel i 10 minutter, hvor maskinen ikke kan få lov til at prøve at logge ind.

Derudover kan du også med pluginet opsætte en Captcha verifikation, som gør maskiner ude af stand til at komme videre.

Wordfence Security

Kilde: Wordfence

Wordfence er et plugin, som mange WordPress-brugere anvender. Med Wordfence får du både en firewall samt antivirus. Wordfence scanner selv de filer, der ligger på din WordPress-installation, og giver dig besked, hvis der findes malware eller forældede filer.

Derudover sørger firewallen for at blokere for de ip-adresser, der forsøger brute force attacks. Du kan også sætte Wordfence op, så du modtager en mail, hver gang en bruger logger ind på hjemmesiden. Dette kan være en fordel for dig, hvis det kun er dig, eller hvis I er få personer, der har adgang til siden. I mailen får du oplysninger om den bruger, der er logget ind. Oplysningerne omfatter blandt andet brugernavn, user IP og user location.

Akeeba Backup

Screenshot

Det er altid en god idé jævnligt at tage en backup af dine filer. Dette gælder også for din hjemmeside. Med Akeeba Backup kan du hurtigt og let gennemføre backups af hele din hjemmeside. Her har du mulighed for manuelt at starte en backup, eller at automatisere processen.

Med Akeeba Backup gemmes dine backups under pluginet, men du har også mulighed for at downloade .jpa-filerne, så du også har dem liggende lokalt. Dette er en fordel, hvis din side eksempelvis går ned, eller data på siden bliver slettet, da du på den måde stadig vil have adgang til din backup.

Det er en god idé at tage en backup af din hjemmeside, inden du opdaterer WordPress, tema eller plugins. Der kan opstå fejl som følge af opdateringerne, og det kan skabe fejl på din hjemmeside. Sørg derfor altid for at tage en backup inden du gennemfører opdateringer, for så kan du altid føre din backup tilbage på siden igen i tilfælde af fejl.

Begræns adgangen med .htacces

Screenshot

Hvis du og/eller din virksomhed kun arbejder på WordPress-hjemmesiden fra én (eller enkelte) ip-adresser, kan du spærre for adgang til siden fra andre ip-adresser.

Dette gør du via .htaccess-filen, hvor du skal tilføje et par sætninger, som spærrer adgangen fra alle ip-adresser undtagen dem, du noterer.

Køb et SSL Certifikat

Hvis du ikke allerede har et SSL Certifikat, bør du se at købe det. Du kan se, om en hjemmeside har et SSL Certifikat ved at tjekke, om url’en starter med ”https”. Med et SSL Certifikat beskytter du din hjemmeside mod, at en tredjepart kan kigge med i de informationer, der bliver udvekslet mellem bruger og virksomhed.

Google arbejder sig også hen imod, at alle hjemmesider skal have et SSL Certifikat, som vi også berettede om i vores blogindlæg fra januar om Chromes opdatering.Det skal til for at beskytte brugerens identitet og oplysninger. Det betyder altså, at Google med tiden vil straffe almindelige http-sider i søgeresultaterne.

Har du en webshop, eller bliver der på anden vis sendt personfølsomme oplysninger, er det en nødvendighed at have et SSL-certifikat. Et SSL Certifikat købes som et abonnement med en årlig rate.

Der er mange måder, hvorpå du kan gøre din WordPress-hjemmeside langt mere sikker, så du undgår hackerangreb. Har du brug for hjælp til at gøre din hjemmeside sikker, så du undgår hackerangreb? Udfyld formularen herunder, så kontakter vi dig.

CTA Blog

Skal vi også hjælpe dig videre?

Står du med en konkret digital udfordring eller har vækstambitioner, så står vi klar til at tage en uforpligtende dialog.

John Nielsen