Hur WordPress-webbplatser hackas
På grund av sin utbredda popularitet som CMS är WordPress också ett populärt mål för hackare.
Hacking-attacker är oftast opportunistiska snarare än målinriktade (även om stora varumärkeswebbplatser kan vara specifikt inriktade). De flesta attacker är automatiserade, med robotar som söker högt och lågt på internet efter säkerhetsbrister att utnyttja.
Angrepp görs ofta via:
- Osäkert webbhotell
- Inloggningsuppgifter – till exempel genom att försöka flera slumpmässiga kombinationer av användarnamn och lösenord
- Säkerhetsbrister i programvaror för CMS, insticksmoduler eller teman – vanligen när de inte har uppdaterats
Hackare har en lång rad olika motiv men ofta handlar det om vinst. Att hacka webbplatser för att distribuera skadlig kod, få tillgång till användardata, skicka skräppost eller omdirigera webbplatsbesökare kan vara extremt lukrativt.
Sådana säkerhetsöverträdelser kan ha en enormt negativ inverkan på din webbplats och ditt företag – de undergräver användarnas förtroende, orsakar lagöverträdelser och kan potentiellt kosta tusentals pund. Därför är det viktigt att skydda din WordPress-webbplats mot hackning.
är min WordPress-webbplats sårbar för hackning?
WordPress-nybörjare och små webbplatsägare tror ofta att de inte behöver oroa sig för säkerheten. De antar att deras webbplats är för liten och obetydlig för att intressera hackare.
Detta antagande är fel.
WordPress-webbplatser av alla storlekar hackas. Hackare använder automatiserade robotar för att söka på internet efter webbplatser med säkerhetsbrister och hackar där det finns möjlighet.
En annan viktig sak att inse är att du kanske inte ens är medveten om när hackare försöker bryta sig in på din webbplats. Om du inte får regelbundna säkerhetsmeddelanden om hackningsförsök får du förmodligen bara reda på det när en hackning lyckas och något på din webbplats går snett.
Det viktiga budskapet är att alla webbplatser är sårbara för hackning – och att det är bättre att förebygga än att bota. Se till att installera ett säkerhetsplugin och vidta andra förebyggande säkerhetsåtgärder för att hålla din webbplats säker.
Så slår du WordPress-hackarna
Vi delar nu med oss av de 10 bästa sätten att hålla din WordPress-webbplats säker och förhindra att den hackas.
1) Välj en säker webbhotellleverantör
Alla bra webbhotellleverantörer kommer att inkludera säkerhetsskydd för att se till att din webbplatsinformation hålls säker på deras servrar.
När du väljer en hostingleverantör, se till att kontrollera vilka säkerhetsåtgärder de har (t.ex. brandväggar och säker FTP), hur de övervakar sitt servernätverk och hur de reagerar på eventuella säkerhetsöverträdelser.
Din WordPress-webbplats kan vara särskilt sårbar för hackning om du har ett delat webbhotell, eftersom hackare potentiellt kan använda andra webbplatser på samma server för att få tillgång till din.
Det säkraste – men också det dyraste – webbhotellalternativet är en dedikerad server. Detta är väl värt att överväga om du har särskilt hög trafiknivå eller har känsliga uppgifter på din webbplats.
2) Skaffa ett säkerhetsplugin
Att ha ett högkvalitativt säkerhetsplugin är ett måste för att förhindra att din WordPress-webbplats blir hackad.
Säkerhetsplugins inkluderar i allmänhet:
- en brandvägg som blockerar misstänkt trafik
- brutalt skydd mot flera slumpmässiga inloggningsförsök
- en skanner som kontrollerar dina filer, teman och plugins för säkerhetsproblem
- regelbundna säkerhetsmeddelanden
Vi rekommenderar Wordfence – ett utmärkt, gratis säkerhetsplugin. När det är installerat kommer ”Wordfence” att visas i vänstermenyn i din WordPress-instrumentpanel. Du kan klicka här när som helst för att skanna din webbplats, se de senaste meddelandena och få rekommendationer för att förbättra webbplatsens säkerhet.
3) Välj ett säkert tema
Det är avgörande att välja rätt tema för din webbplats. Det måste naturligtvis ha rätt utseende och funktioner för din organisation. Men det måste också vara robust och säkert.
Ett säkert tema kommer att:
- Uppdateras och lappas regelbundet
- Följa goda kodningsstandarder
- Inte förknippas med buggar eller kompatibilitetsfel
Med mer än 7 000 tillgängliga WordPress-teman kan det vara svårt att veta var man ska börja!
Det bästa sättet att välja ett säkert tema är att titta på WordPress.org. Där kan du bläddra bland tema recensioner, kontrollera hur många installationer ett tema har haft och se när temat senast uppdaterades – allt bra indikationer på säkerhet.
Du kanske också vill be din WordPress byrå om rekommendationer för teman som uppfyller just din webbplats och organisations behov.
4) Håll WordPress uppdaterat
Att hålla WordPress uppdaterat är en annan viktig säkerhetsåtgärd. WordPress mjukvaruuppdateringar görs regelbundet för att optimera prestandan och åtgärda eventuella säkerhetsproblem när de upptäcks.
Det är möjligt att tillämpa automatiska uppdateringar för de flesta WordPress kärnversioner, så att din webbplats uppdateras i bakgrunden utan att du behöver göra något. Du måste dock fortfarande manuellt åtgärda större utgåvor – se till att säkerhetskopiera din webbplats först!
Uppdateringsmeddelanden kommer att visas på din WordPress-instrumentpanel så snart de är tillgängliga. Klicka bara på dem för att vidta åtgärder. Det är en bra idé att uppdatera plugins och teman regelbundet också.
5) Använd säkra inloggningsuppgifter
Som nämnts ovan är ett av de viktigaste sätten för hackare att komma åt din WordPress-webbplats genom automatiserade ”gissade” inloggningsförsök. Ju mer uppenbara ditt användarnamn och lösenord är, desto större är sannolikheten att dessa försök lyckas.
För att förhindra hackning, se till att välja ett atypiskt användarnamn. Detta innebär i princip att du inte använder ”admin”, som är så vanligt att det vanligtvis är det första användarnamnet som hackare försöker.
För det andra ska du välja ett säkert lösenord som innehåller en blandning av bokstäver, symboler och siffror. För maximal säkerhet bör det vara minst 12 tecken och inte innehålla några ordboksord.
Såväl som du säkrar inloggningen till WordPress instrumentpanel, se till att välja säkra användarnamn och lösenord för dina andra webbplatsrelaterade konton, t.ex. din anpassade e-postadress. Annars kan dessa också användas för att hacka din webbplats.
6) Lägg till tvåfaktorsautentisering
Du kan stärka din WordPress-inloggning ytterligare genom att aktivera tvåfaktorsautentisering. Detta är särskilt användbart om du har flera användare som loggar in på baksidan av din webbplats.
Med tvåfaktorsautentisering loggar användarna in i två steg. Först anger de sitt användarnamn och lösenord. Därefter måste de ange en engångskod för att verifiera sin identitet.
Med Wordfence-säkerhetspluginet som vi rekommenderade ovan är tvåfaktorsautentisering enkelt att aktivera. Det använder en autentiseringsapp för att generera koder för användarna.
För att ställa in saker och ting går du till Wordfence > Login Security i din WordPress-instrumentpanel och kopierar den angivna nyckeln. Ladda sedan ner Google Authenticator (eller en annan autentiseringsapp) och ange den här nyckeln.
Därefter ger appen en sexsiffrig kod. Skriv bara in denna igen på din WordPress-instrumentpanel och klicka på ”Activate”.
Tvåfaktorsautentisering kommer nu att vara aktiverad. Detta innebär att varje gång du försöker logga in på WordPress kommer du att uppmanas att gå till din autentiseringsapp och hämta en lösenkod.
7) Inaktivera filredigering
WordPress har en kodredigerare som gör att du kan redigera webbplatsens filer via din instrumentpanel. Även om detta uppenbarligen är en användbar funktion är det också ett stort ansvar när det gäller hackning. Vi rekommenderar därför att du stänger av den.
Ett annat sätt att förhindra filredigering är att inaktivera exekvering av PHP-filer i dina /wp-content/uploads/-mappar. För detta öppnar du Anteckningar – eller en liknande textredigerare – och klistrar in följande:
<Filer *.php>
deny from all
</Files>
Om du sparar detta som .htaccess och laddar upp filen till mapparna /wp-content/uploads/ på din webbplats kommer det också att förhindra hackare från att göra bakdörrsattacker på din PHP-exekvering.
8) Skanna din webbplats och dator
Det är viktigt att skanna din webbplats regelbundet för att kontrollera om det finns skadlig kod, virus och misstänkt kod. Om du använder Wordfence-pluginet kan du göra detta genom att gå till Wordfence > Scan och klicka på ”Start new scan”.
Om det finns några problem kommer Wordfence att föreslå hur du kan åtgärda dem och få din webbplats säker igen. Vi rekommenderar att du skannar minst en gång i månaden – om du kan göra det oftare är det ännu bättre!
Det är dock ingen idé att förlita sig på att ha en säker webbplats om datorn som du använder webbplatsen från är avlyssnad eller infekterad. Se därför till att skanna din dator eller enhet regelbundet också.
Du bör använda ett bra antivirusprogram på din enhet och se till att du uppdaterar ditt system regelbundet. Vi rekommenderar också att du kontrollerar sekretessinställningarna i din webbläsare för att undvika att bli hackad när du surfar på internet.
9) Använd HTTPS
Att ha en HTTPS-webbplats innebär att kommunikationen mellan din webbplats och användarnas webbläsare är krypterad. Detta är därför ytterligare ett viktigt sätt att förhindra hackning.
Om du inte redan har en HTTPS-webbplats är det mycket enkelt att överföra. Du behöver bara skaffa ett SSL-certifikat (Secure Sockets Layer), som är tillgängligt för alla webbplatser utan kostnad från Let’s Encrypt.
Om du redan har ett SSL-certifikat ska du se till att ställa in en kalenderpåminnelse för att förnya det vartannat år. Annars är det lätt att glömma och låta webbplatsens HTTPS-status – och goda säkerhetsreferenser – förfalla.
10) Säkerhetskopiera, säkerhetskopiera, säkerhetskopiera!
Vårt vårt sista tips förhindrar faktiskt inte hackning, men det är troligen det viktigaste steget att ta ifall din webbplats skulle bli hackad.
Om du gör regelbundna säkerhetskopior av din webbplats kan du snabbt återställa den igen om det någonsin behövs. Utan säkerhetskopiering kan du riskera att förlora allt du någonsin har designat, publicerat eller skrivit på din webbplats.
Hur du säkerhetskopierar din WordPress-webbplats beror på vilken typ av webbhotell du har. Se till att prata med din webbhotellleverantör; de kan inkludera säkerhetskopiering som en del av ditt webbhotellpaket.
Alternativt kan du prata med din WordPress-byrå eller installera ett säkerhetskopieringsplugin. Oavsett vilket sätt du gör det, se till att säkerhetskopiera din WordPress-webbplats regelbundet och förvara dina säkerhetskopior på ett säkert sätt så att du vet att de finns där om du någonsin behöver dem.