hvordan WordPress-websteder bliver hacket
På grund af dets udbredte popularitet som et CMS er WordPress også et populært mål for hackere.
Hacking-angreb er for det meste opportunistiske snarere end målrettede (selv om store mærkewebsteder kan være specifikt målrettede). De fleste angreb er automatiserede, hvor robotter søger højt og lavt på internettet efter sikkerhedsbrister, som de kan udnytte.
Angrebene foretages ofte via:
- Usikker webstedshosting
- Loginoplysninger – f.eks. ved at forsøge flere tilfældige kombinationer af brugernavn og adgangskode
- Sikkerhedssvagheder i CMS-, plugin- eller temasoftware – som regel når den ikke er blevet opdateret
Hackere har en lang række forskellige motiver, men ofte handler det om profit. Det kan være ekstremt lukrativt at hacke websteder for at distribuere malware, få adgang til brugerdata, sende spam-mails eller omdirigere besøgende på et websted.
Sådanne sikkerhedsbrud kan have en enormt negativ indvirkning på dit websted og din virksomhed – de underminerer brugernes tillid, forårsager lovovertrædelser og kan potentielt koste tusindvis af pund. Så det er afgørende at beskytte dit WordPress-websted mod hacking.
Er mit WordPress-websted sårbart over for hacking?
WordPress-nybegyndere og små webstedsejere tror ofte, at de ikke behøver at bekymre sig om sikkerhed. De antager, at deres websted vil være for lille og ubetydelig til at interessere hackere.
Denne antagelse er forkert.
WordPress-websteder af alle størrelser bliver hacket. Hackere bruger automatiserede robotter til at scanne internettet efter websteder med sikkerhedsbrister og vil hacke, hvor der er mulighed for det.
En anden vigtig ting at indse er, at du måske ikke engang er klar over, når hackere forsøger at bryde ind på dit websted. Medmindre du får regelmæssige sikkerhedsnotifikationer om hackerforsøg, vil du sandsynligvis først opdage det, når det lykkes at hacke, og noget på dit websted går galt.
Det vigtigste budskab er, at alle websteder er sårbare over for hackerangreb – og at det er bedre at forebygge end at helbrede. Sørg for at installere et sikkerhedsplugin og træffe andre forebyggende sikkerhedsforanstaltninger for at holde dit websted sikkert.
Sådan slår du WordPress-hackerne
Vi deler nu de 10 bedste måder at holde dit WordPress-websted sikkert og forhindre, at det bliver hacket.
1) Vælg en sikker hostingudbyder
Alle gode hostingudbydere vil inkludere sikkerhedsbeskyttelse for at sikre, at dine webstedsoplysninger holdes sikre på deres servere.
Når du vælger en hostingudbyder, skal du sørge for at kontrollere, hvilke sikkerhedsforanstaltninger de har (f.eks. firewalls og sikker FTP), hvordan de overvåger deres servernetværk, og hvordan de reagerer på eventuelle sikkerhedsbrud.
Din WordPress-websted kan være særligt sårbart over for hacking, hvis du har et delt hostingabonnement, da hackere potentielt kan bruge andre websteder på den samme server til at få adgang til dit.
Den mest sikre – men også den dyreste – hostingmulighed er en dedikeret server. Dette er værd at overveje, hvis du har særlig høj trafik eller har følsomme data på dit websted.
2) Få et sikkerhedsplugin
Har du et sikkerhedsplugin af høj kvalitet, er det et must at have for at forhindre, at dit WordPress-websted bliver hacket.
Sikkerhedsplugins omfatter generelt:
- en firewall til at blokere mistænkelig trafik
- brute-force-beskyttelse mod flere tilfældige loginforsøg
- en scanner, der kontrollerer dine filer, temaer og plugins for sikkerhedsproblemer
- regelmæssige sikkerhedsmeddelelser
Vi anbefaler Wordfence – et fremragende, gratis sikkerhedsplugin. Når det er installeret, vises ‘Wordfence’ i menuen til venstre i dit WordPress-dashboard. Du kan til enhver tid klikke her for at scanne dit websted, se de seneste meddelelser og få anbefalinger til at forbedre webstedets sikkerhed.
3) Vælg et sikkert tema
Det er afgørende at vælge det rigtige tema til dit websted. Det skal naturligvis have det rigtige udseende og de rigtige funktioner til din organisation. Men det skal også være robust og sikkert.
Et sikkert tema vil:
- Være opdateret og patchet regelmæssigt
- Følge gode kodningsstandarder
- Ikke være forbundet med fejl eller kompatibilitetsfejl
Med mere end 7.000 tilgængelige WordPress-temaer kan det være svært at vide, hvor man skal starte!
Den bedste måde at vælge et sikkert tema på er ved at kigge på WordPress.org. Der kan du gennemse anmeldelser af temaer, tjekke, hvor mange installationer et tema har haft, og se, hvornår temaet sidst er blevet opdateret – alt sammen gode indikationer på sikkerhed.
Du kan også spørge dit WordPress-bureau om anbefalinger af temaer, der opfylder dit særlige websted og din organisations behov.
4) Hold WordPress opdateret
Hold WordPress opdateret
Det er en anden vigtig sikkerhedsforanstaltning at holde WordPress opdateret. WordPress-softwareopdateringer foretages regelmæssigt for at optimere ydeevnen og lappe eventuelle sikkerhedsproblemer, efterhånden som de bliver opdaget.
Det er muligt at anvende automatiske opdateringer for de fleste WordPress-kerneudgaver, så dit websted opdateres i baggrunden, uden at du behøver at gøre noget. Du skal dog stadig manuelt foretage større udgivelser – sørg for at tage en sikkerhedskopi af dit websted først!
Opdateringsmeddelelser vises på dit WordPress-dashboard, så snart de er tilgængelige. Du skal blot klikke på dem for at handle. Det er også en god idé at opdatere plugins og temaer regelmæssigt.
5) Brug sikre loginoplysninger
Som nævnt ovenfor er en af de vigtigste måder, hvorpå hackere kan få adgang til dit WordPress-websted, gennem automatiserede “gættede” loginforsøg. Jo mere indlysende dit brugernavn og din adgangskode er, jo større er sandsynligheden for, at disse forsøg vil lykkes.
For at forhindre hacking skal du sørge for at vælge et atypisk brugernavn. Det betyder grundlæggende, at du ikke skal bruge “admin”, som er så almindeligt, at det normalt er det første brugernavn, som hackere vil prøve.
For det andet skal du vælge en sikker adgangskode, der indeholder en blanding af bogstaver, symboler og tal. For at opnå maksimal sikkerhed bør det være på mindst 12 tegn og ikke indeholde ord fra ordbøger.
Selvom at sikre dit WordPress-dashboard-login skal du sørge for at vælge sikre brugernavne og adgangskoder til dine andre webstedsrelaterede konti, f.eks. din brugerdefinerede e-mail-adresse. Ellers kan disse også bruges til at hacke dit websted.
6) Tilføj to-faktor-godkendelse
Du kan styrke dit WordPress-login endnu mere ved at aktivere to-faktor-godkendelse. Dette er især nyttigt, hvis du har flere brugere, der logger ind i backenden af dit websted.
Med to-faktor-godkendelse logger brugerne ind i to trin. Først indtaster de deres brugernavn og adgangskode. Derefter skal de indtaste en engangskode for at bekræfte deres identitet.
Med det Wordfence-sikkerhedsplugin, som vi anbefalede ovenfor, er to-faktor-godkendelse let at aktivere. Det bruger en authenticator-app til at generere adgangskoder til brugerne.
For at konfigurere tingene skal du gå til Wordfence > Login Security i dit WordPress-dashboard og kopiere den angivne nøgle. Download derefter Google Authenticator (eller en anden authenticator-app), og indtast denne nøgle.
På dette tidspunkt vil appen give en sekscifret kode. Du skal blot indtaste denne tilbage på dit WordPress-dashboard og klikke på “Aktiver”.
To-faktor-autentifikation vil nu være aktiveret. Det betyder, at hver gang du forsøger at logge ind på WordPress, vil du blive bedt om at gå til din authenticator-app og indsamle en adgangskode.
7) Deaktiver filredigering
WordPress har en kodeeditor, som giver dig mulighed for at redigere dine webstedsfiler via dit instrumentbræt. Selv om dette naturligvis er en nyttig funktion, er det også et stort ansvar i forhold til hacking. Vi anbefaler derfor, at du slår den fra.
En anden måde at forhindre filredigering på er ved at deaktivere PHP-filudførelse i dine /wp-content/uploads/-mapper. Til dette skal du åbne Notepad – eller en lignende teksteditor – og indsætte følgende:
<Files *.php>
deny from all
</Files>
Hvis du gemmer dette som .htaccess og uploader filen til mapperne /wp-content/uploads/ på dit websted, vil det også forhindre hackere i at lave bagdørs-angreb på din PHP-udførelse.
8) Scan dit websted og din computer
Det er vigtigt at scanne dit websted regelmæssigt for at tjekke for malware, virus og mistænkelig kode. Hvis du bruger Wordfence-pluginet, kan du gøre dette ved at gå til Wordfence > Scan og klikke på ‘Start ny scanning’.
Hvis der er problemer, vil Wordfence foreslå, hvordan du kan rette dem og få dit websted sikkert igen. Vi anbefaler, at du scanner mindst en gang om måneden – hvis du kan gøre det oftere, er det endnu bedre!
Det nytter dog ikke noget at stole på at have et sikkert websted, hvis den computer, som du betjener webstedet fra, er aflyttet eller inficeret. Så sørg også for at scanne din computer eller enhed regelmæssigt.
Du bør bruge et godt antivirusprogram på din enhed, og sørg for at opdatere dit system regelmæssigt. Vi anbefaler også, at du tjekker privatlivsindstillingerne i din browser for at undgå at blive hacket, mens du surfer på internettet.
9) Brug HTTPS
Hvis du har et HTTPS-websted, betyder det, at kommunikationen mellem dit websted og brugernes browsere er krypteret. Dette er derfor endnu en vigtig måde at forhindre hacking på.
Hvis du ikke allerede har et HTTPS-websted, er det meget nemt at overføre. Du skal blot anskaffe dig et SSL-certifikat (Secure Sockets Layer), som er gratis tilgængeligt for alle websteder hos Let’s Encrypt.
Hvis du allerede har et SSL-certifikat, skal du sørge for at indstille en kalenderpåmindelse om at forny det hvert andet år. Ellers er det nemt at glemme det og lade dit websteds HTTPS-status – og gode sikkerhedsoplysninger – bortfalde.
10) Backup, backup, backup, backup!
Selv om vores sidste tip faktisk ikke forhindrer hacking, er det nok det vigtigste skridt at tage, hvis dit websted nogensinde bliver hacket.
Gennem at lave regelmæssige sikkerhedskopier af dit websted kan du hurtigt genetablere dit websted igen, hvis det nogensinde bliver nødvendigt. Uden sikkerhedskopiering kan du risikere at miste alt, hvad du nogensinde har designet, lagt ud eller skrevet på dit websted.
Hvordan du tager backup af dit WordPress-websted afhænger af den type hosting, du har. Sørg for at tale med din hostingudbyder; de kan inkludere sikkerhedskopiering som en del af din hostingpakke.
Alternativt kan du tale med dit WordPress-bureau eller installere et backup-plugin. Uanset hvordan du gør det, skal du sørge for at tage backup af dit WordPress-websted regelmæssigt og gemme dine backup-filer sikkert, så du ved, at de er der, hvis du nogensinde får brug for dem.