Udviklerne bag WordPress gør alt hvad de kan for at gøre systemet så sikkert og robust som muligt, og mange WordPress-brugere tror, at deres website er sikret mod alt, når systemet er hentet og sat op. Eller måske tænker man bare ikke over, at der er folk, som kan finde på at hacke ens side uden grund – ja nærmest for sjov. Jeg gør dig nu opmærksom på dette, og jeg vil samtidigt fortælle dig, hvordan du kan komme hackerne i forkøbet ved at beskytte din WordPress-side.

Lad mig starte med at slå fast, at jeg ikke beskylder hverken WordPress eller specifikke plugins for at være fyldt med fejl, men samtidigt kan jeg erkende, at intet system er 100% sikkert. Koden til WordPress er tilgængelig for alle, og det er derfor nemt at udnytte eventuelle huller og sårbarheder heri, ligesom plugins kan åbne op for huller og gøre din side usikker.

Hacking af websites med WordPress er et aktuelt problem, og metoderne og årsagerne er mange. Årsagerne vil jeg ikke komme ind på i denne artikel, da de er irrelevante i denne sammenhæng. Når en WordPress-side bliver hacket, så foregår det oftest i et såkaldt driveby-angreb, hvor mange sider bliver angrebet på samme tid. Der er ikke tale om en gruppe personer, der sidder og hacker manuelt – selvom det kunne være sjovt at forestille sig – men snarere et stykke kode, der tilgår siderne via. en søgemaskine e.l. Et angreb varer få minutter, og de fleste gange er der tale om defacing, hvor websitets udseende bliver ændret, og hackeren efterlader en sød hilsen.

På få minutter kan du beskytte din WordPress-side ved at følge et eller flere af følgende tips.

Ændr brugernavn for superadministrator

Siden WordPress 3.0 har det været muligt at angive et administratorbrugernavn under installationen. Standard er “admin” og det tager ganske få sekunder at ændre, hvilket anbefales på det kraftigste. Det beskytter din side ved at gøre arbejdet sværere for en hacker, hvorfor han muligvis springer over din side ved et angreb.

Det er ikke muligt at ændre et brugernavn i administrationen, når det først er valgt, men det kan gøres direkte i din database under tabellen wp_users, f.eks. gennem PHPMyAdmin.

Hav en stærk, unik adgangskode

Sikkerhed 101. Jeg vil ikke remse en liste op, hvad et godt kodeord indebærer og ikke indebærer, da nettet er fyldt med disse lister, men jeg mener, at en lang adgangskode bestående af tilfældige, usammenhængende ord er bedre end en kort adgangskode bestående af tilfældige bogstaver og tal. Og så kan den være nemmere at huske.

Med unik menes der, at du aldrig – aldrig – skal genbruge en adgangskode. Hvis du gør det, og en person får fat i koden, så vil han kunne gøre meget mere skade. Men det har intet med hacking at gøre.

Ændr præfiks for databasetabellerne

Dette skal gøres i wp-config.php før WordPress installeres. Standard er:

[php]
$table_prefix = ‘wp_’;
[/php]

Ændr det til hvad som helst, så længe det ikke indeholder specielle tegn.

Hold system, temaer og plugins opdaterede

Dette siger lidt sig selv. Jo ældre noget kode er, jo større sandsynlighed er der for, at nogen har fundet og udnyttet en sårbarhed deri. Hvis der officielt opdages et hul i WordPress, så går der ikke lang tid, før der udgives en opdatering, som lukker det. Temaer og plugins kan laves af folk som dig og mig; WordPress har ingen regler om sikkerhed – kun retningslinjer – og de har ikke folk til at lede efter huller i de, der bliver uploadet på hhv. WordPress Free Themes Directory eller WordPress Plugin Directory. Heldigvis foregår det nogenlunde på samme måde som ved systemet: Findes der et hul, så er fællesskabet hurtigt ude og påminde udgiveren om det.

Kan du se, at et plugin eller et tema ikke er blevet opdateret i lang tid, så hold dig fra dem, da de højst sandsynligt er døde projekter.

Installer kun plugins og temaer, du kan stole på

Som sagt, så er der ingen retningslinjer for kvaliteten af uploads af temaer og plugins hos WordPress.org. Og der findes også andre sider, hvor man kan hente plugins og temaer fra – nogen af dem har muligvis godkendelsesprocesser for uploads. Som udgangspunkt er antallet af downloads og klassifikationen for et plugin eller et tema en god måde at rette sig efter, da de giver en god indikator af, hvor godt de gør det, som udgiveren påstår, de skal kunne.

Med andre ord: Undgå plugins og temaer, der kun har 1 stjerne og er blevet meget hentet få gange.

Deaktiver den online editor

Med den online editor kan du ændre i tema- og plugin-filer direkte fra administrationen i WordPress. I værste tilfælde: Hvis en hacker får adgang til administrationen kan han bruge den til at eksekvere ondsindet kode eller manipulere dine filer. Størstedelen af WordPress-brugere får slet ikke brug for funktionen, selvom det da for den teknisk begavede kan være rart hurtigt at kunne ændre noget kode fra administrationen.

For at deaktivere editoren og øge beskyttelsen på dit website indsættes følgende stykke kode i wp-config.php:

[php]
define(‘DISALLOW_FILE_EDIT’,true);
[/php]

Dobbelttjek tilladelser for filer

Dette kan du gøre gennem en FTP-klient, f.eks. efter du har uploadet WordPress til dit website. Indstillingerne skal være således:

  • Mapper: 755
  • Filer: 644
  • wp-config.php: 600

Disse tal siger noget om, hvilke instanser, der kan tilgå, læse fra eller skrive til dine filer.

Placer wp-config.php over roden af WordPress

WordPress tillader, at wp-config.php placeres i rodens forælder – ikke længere op end det. Dvs. i den mappe, som indeholder mappen med WordPress. Dette vil beskytte filen og afholde en hacker fra at kunne tilgå den via dit website, så hvis din udbyder tillader at placere og eksekvere filer én mappe over dit websites rod, så anbefales dette.

Bemærk at dit websites rod ikke nødvendigvis behøver at være roden for din WordPress-installation, hvis du f.eks. har lagt denne under /wordpress/.

Begræns adgang til administrationen

Dette er det stærkeste sikkerhedstip på listen. Du kan begrænse adgangen til din administration til kun at gælde visse ip-adresser. Dette betyder, at den er beskyttet mod hackere, men det betyder til gengæld også, at din egen adgang bliver meget infleksibel.

Har du mange brugere på dit website, og benytter du ofte hotspots til at blogge på farten, så er denne metode ikke anbefalet. Tilgår du og dine få brugere derimod din side fra faste pladser, så giver dette den ultimative sikkerhed.

Klik her for at læse, hvordan man begrænser adgangen til administrationen i WordPress.

Tag backup af det hele

Dette er ikke et sikkerhedstip, men jeg mente, at det ville være en god idé at få med. Det kan ikke siges mange gange nok: Tag backup af alt, du har kært! Det er brandærgerligt, når værdifuld data går tabt, og på dette tidspunkt kan man være nok så bagklog. Så husk at tage regelmæssig backup af din database og af dine filer, hvilket fører mig til sidste punkt på listen:

Er din side blevet hacket

Som jeg sagde i starten af artiklen, vil man oftest kunne se meget tydeligt, at ens side er blevet hacket. Det er nu, at ens backup er god at have. Glem lappeløsninger som blot at fikse det synlige, som hackeren har forårsaget. Der kan være ændret noget, som ikke er synligt for den almindelige bruger – så slet alt og benyt den seneste version af dit backup. Husk også at ændre administrator- og databaseadgangskoden for en sikkerheds skyld.

Disse tips er dem, jeg finder vigtigst og samtidigt nemmest at følge for den almindelige WordPress-bruger, og hvis du benytter bare ét af dem, så garanterer jeg, at din WordPress-side vil være mere beskyttet og sikker end den gennemsnitlige. Og da det er jo hverken besværligt eller tidskrævende at følge dem, så der er faktisk ingen grund til at lade være.

Har du selv et godt tip, som du benytter til at beskytte din WordPress-side, så læg endelig en kommentar herunder.

Del:

Kommentér

Der er lukket for kommentarer.