Hur man säkrar WordPress: Skydda mot hackare och dataförlust!

Jag har fått min webbplats hackad två gånger eftersom jag inte säkrade WordPress ordentligt.


Inte heller var en särskilt rolig upplevelse.

Kort sagt, att få din webbplats hackad = spendera hela dagen för att fixa saker som du inte helt förstår, och det har förutsatt att hacket inte var av en djupgående variation.

Lyckligtvis för mig, att lappa några saker och byta webbhotell gjorde susen och fixade allt., Men inte alla kommer så lätt av.

Till exempel har jag en vän som inte bara har hackat sin webbplats utan också tappat hela domänen till följd av det.

Jag antar att det jag försöker säga är detta:

Du måste säkra WordPress eftersom webbplatshackning är mycket vanligare än vi skulle vilja vara.

Det var över 81 000 rapporterade hackade webbplatser 2009, sedan 98 000, 144 000 och 170 000 påföljande år.

Sedan 2014 förlorade vi alla räkningen med en massiv rapport efter den andra. Bokstavligen utnyttjas hundratusentals WordPress-webbplatser varje år, och kanske förblir miljoner känsliga.

Gå med i GRATIS utbildning

Vill du lära dig hur man bygger 6 figurers myndighetssajter?

Gå med i denna gratis utbildning till…

  • Äntligen har en beprövad metod för att hitta lönsamma nischer
  • Få tillgång till en idiotsäker metod för sökordforskning
  • Lär dig hur du lägger ut kvalitetsinnehåll
  • Lär dig hur du bygger vita hattlänkar till din webbplats utan huvudvärk

… men det finns en elefant i rummet:

Varför säkra WordPress, vem skulle hacka min webbplats?

Säkra WordPress

Låt oss vara tydliga. Din webbplats är förmodligen inte speciell. Om inte ditt företags namn är CNN.

Faktum är att de flesta – av den stora majoriteten snarare – av attacker är automatiserade. Detta innebär att olika bots (programvara) som utvecklats av hackare genomsöker webben och letar efter sårbara webbplatser.

Om de sedan lyckas läggs webbplatsen till i hackarens portfölj, så att säga, och kan användas för olika ändamål.

Gratis domän med värd

Med andra ord, din webbplats i sig är inte speciell, men 10 000 webbplatser precis som din är rent guld för en hacker. Ett sådant nätverk av hackade webbplatser kan användas för saker som svart hatt SEO, massa e-post skickning, databasskrapning (för att få dina användares personliga information), och så vidare.

Du borde verkligen inte känna dig alltför säker bara för att / om du driver en relativt liten webbplats.

Hackare diskriminerar inte.

Nu sker WordPress-säkerhet inte automatiskt. Även om WordPress är en fantastisk plattform och en oerhört populär plattform, har det sina problem. Dessutom bidrar dess popularitet till problemen betydligt!

Tänk bara på det, om du är en hacker, kommer du inte att försöka bryta något otäckt CMS-system. Istället följer du den mest populära där ute, bara så att du kan få tillgång till det största antalet webbplatser.

Allt detta innebär att du som WordPress-användare bör ta hand om åtminstone de mest grundläggande säkerhetsåtgärderna, bara för att se till att du kan sova bra och att du inte hittar din webbplats under hackarens kontroll på morgonen..

Okej, låt oss komma till de bra sakerna! Här är allt du behöver veta om att säkra din WordPress-blogg:

Hur man säkrar WordPress-webbplatser eller bloggar

Denna guide har delats in i tre avsnitt. Varje avsnitt presenterar en uppsättning saker du kan göra för att göra din WordPress-webbplats säker. Välj vad som är bäst för dig:

  • Nybörjaren – gör detta för att ta hand om den grundläggande säkerheten; ett måste för de flesta WordPress-bloggar och webbplatser.
  • Mellannivån – gör detta för att få ytterligare säkerhet; fortfarande inte särskilt tekniskt eller svårt att göra på egen hand, men kommer att kräva lite mer ledig tid.
  • Den avancerade nivån – gör detta för att hålla dig uppdaterad och hålla din webbplats säker hela tiden.

Nybörjarnivån för WordPress-säkerhet

Detta är din absoluta måste-göra-lista:

1. Säkra ditt administratörskonto

Vad du än gör, använd inte ett uppenbart inloggnings- / användarnamn för ditt huvudsakliga administratörskonto, till exempel “admin”.

Det här är för lätt att gissa. Gå istället med något roligt, som “master-commander-45”.

Användarnamn i WordPress kan inte ändras när den har ställts in under installationen. Så här är vad du gör:

  • Skapa ett nytt användarkonto i användare > Lägg till ny. Tilldela den till administratörsrollen:

  • Radera ditt ursprungliga administratörskonto (även i användare).

Radera WordPress-användare

2. Använd ett Editor-konto för innehållsarbete

Att använda ditt huvudsakliga administratörskonto för redigering / publicering (eller när du arbetar med innehåll i allmänhet) kan vara riskabelt. Särskilt om du använder Wi-Fi på ett café eller något.

Skapa istället ett Editor-konto för allt innehållsarbete du gör. Återigen gör inloggningen inte uppenbar. Gör detta i användare > Lägg till ny.

redaktörskonto i WordPress

3. Använd säkra WordPress-lösenord

Snälla … Jag ber dig … använd inte lösenord som är lätta att gissa. Som de vanligaste lösenorden, eller något som är en kombination av vanliga ord (t.ex. JohnSmith1).

Följ istället denna väg:

  1. Skapa ett, bara ett, ultrasäkert lösenord för dig själv. Följ denna guide.
  2. Registrera dig på LastPass (det är gratis) och ställ in det ultrasäkra lösenordet som ditt huvudvalvlösenord.
  3. Använd sedan LastPass för att generera säkra lösenord för allt som händer med din webbplats.

Lastpass

Tvinga dessutom de människor som också har tillgång till din webbplats att göra detsamma.

4. Begränsa inloggningsförsök

Gissa lösenord är ett verkligt hot. I grunden kan en bot, eller till och med en människa, göra flera försök att gissa dina inloggnings- / lösenordskombinationer tills de har rätt. De kanske inte lyckas med 10-20 försök. Men om du använder ett mittkomplext lösenord kan det 100 000: e försöket vara framgångsrikt.

Lösning? Begränsa möjliga inloggningsförsök med detta plugin.

inloggning låsning

5. Säkra din egen maskin

Förutom att göra din webbplats säker, måste du också ta hand om datorerna du använder för att komma åt webbplatsen.

Det finns alla typer av virus där ute. Börja från enkla nyckelloggare som kommer att vara uppmärksamma på dina tangenttryckningar och sedan försöka återskapa din inloggning och lösenord, för att rikta FTP-baserade bots som letar efter öppna FTP-anslutningar och sedan ladda upp en hackad fil direkt till din server.

Lösningen är enkel. Ta hand om din dator. Använd bra antivirusprogram.

6. Uppdatera WordPress regelbundet

Uppdatering av WordPress är en av de saker som alla vet att de behöver göra, men vi glömmer ändå på något sätt. Så låt mig berätta varför det verkligen är avgörande.

En detaljerad ändringslogg följer varje ny version av WordPress. I den ändringsloggen listas varje fel som har åtgärdats. Med andra ord är det en manual för hackare som vill rikta in sig på äldre versioner av WordPress.

Hur allvarligt detta kan vara? Förra året tillkännagav WordPress-killarna att alla versioner före 3.9.2 var sårbara för scriptinghack på flera platser. Cirka 86% av alla WordPress-webbplatser var sårbara vid den tiden.

Och lite nyligen upptäckte Sucuri-killarna en kampanj för skadlig programvara som redan pågår.

Lyckligtvis för oss är lösningen mycket enkel för det mesta … bara aktivera auto-uppdateringar för din WordPress-webbplats, eller utför alltid en uppdatering manuellt så snart du ser ett meddelande som detta:

WordPress-uppdatering

7. Uppdatera plugins regelbundet

När det gäller uppdateringar är det inte bara WordPress själv som måste hållas uppdaterad. Samma sak gäller plugins som du använder.

Och konsekvenserna kan vara ganska allvarliga om du försummar detta.

För ett tag sedan var det det stora MailPoet-problemet.

(MailPoet är ett populärt plugin för e-postmarknadsföring – du kan använda det för att skicka nyhetsbrev via e-post till din kontaktlista direkt via din WordPress-blogg.)

Problemet var att ett fel i MailPoet gjorde det möjligt för hackare att ladda upp PHP-körbara filer till din webbserver och ta kontroll över webbplatsen helt. Till och med PCWorld skrev om detta! 50 000 webbplatser blev hackade.

Lektion? Uppdatera alltid dina plugins så snart ett meddelande dyker upp. Du vet bara inte när en ny sårbarhet upptäcks och fixas sedan av en senare uppdatering.

plugin-uppdatering

Om du missar märket, kan du ge de dåliga killarna tillräckligt med tid att lyckas attackera din webbplats.

8. Säkerhetskopiera din webbplats regelbundet

Visst kan säkerhetskopior inte spara din webbplats från att bli hackad. Ändå är de en absolut obligatorisk sak att ha om saker och ting går vilt!

Säkerhetskopior är ovärderliga. Om du har nyligen gjort en säkerhetskopia av din webbplats kommer du att kunna återställa den till det normala oavsett vilken dålig sak som kan hända.

Två av de bästa metoderna för att ta hand om detta:

  • via ett gratis plugin – WordPress Backup till Dropbox – det tar dina filer och databasinnehåll och lagrar det på ditt Dropbox-konto. Allt gjort på autopilot en gång om dagen; eller:

wordpress backup till dropbox

  • genom VaultPress – en mer funktionsrik lösning (en betald lösning; börjar på $ 99 / år).

Vaultpress

9. Välj den bästa webbhotell du har råd

Helt framme måste jag vara ärlig med dig och erkänna att $ 5 / månad webbhotell inte är så bra.

Jag, till exempel, hade en gång min server infekterad med skadlig kod medan jag körde på en billig $ 5 / månad värdplan. Min webbplats, min domän och min WordPress var inte ens involverade i överträdelsen. Det är servern själv som har hackats.

Lektion? Spara inte pengar på din serviceplan. Gå alltid efter den bästa webbhotelltjänsten som du har råd.

Några kvalitetsrekommendationer:

  • Hostgator,
  • Hostpapa,
  • Siteground,
  • Svänghjul.

10. Ladda bara ned plugins och teman från kända källor

Oavsiktliga sårbarheter, låt oss namnge dem på det sättet, är inte det enda som kan bita dig.

Det finns också avsiktliga sårbarheter.

Om du till exempel får ett plugin från en skuggig källa, kan den innehålla källkod utformad specifikt för att hacka din webbplats. I så fall, genom att få pluginprogrammet, är det du som effektivt hackar din egen webbplats.

Samma sak gäller teman.

Hur man hittar kvalitets plugins och teman?

De första platserna att gå är det officiella tematecknen och plugin-katalogerna på WordPress.org. Nedladdningarna där innehåller inte avsiktligt farlig kod.

När det gäller premiumtema och plugins måste du följa säljarens rykte. ThemeForest är ett exempel på en webbplats som massan säljer teman. Den här typen av webbplats är i allmänhet säker på grund av den långa och grundliga granskningsprocessen för varje nytt tema och plugin som skickas in där, men det finns också mindre företag som skapar fantastiska teman som Astra. Dessa företag är ännu säkrare, hela deras verksamhet är beroende av sin produkt och det finns inga externa leverantörer som lägger till sina teman, bara företaget.

Mellannivån för WordPress-säkerhet

Gör följande för extra säkerhet; fortfarande inte särskilt tekniska uppgifter:

11. Ta bort plugins som du inte använder

Som MailPoet-exemplet lär oss (beskrivs ovan), vet du aldrig vilka överraskningar som väntar inuti dina plugins.

Ibland kommer du att stöta på grundläggande säkerhetsproblem, andra gånger något mer allvarligt.

Hursomhelst, för att rädda dig från besvärliga mer tar du helt enkelt bort alla plugins som du inte använder. Att hålla dem inaktiva kommer inte att minska det. Kom ihåg att källfilerna för dessa plugins fortfarande finns på din server.

Så skapa en ny vana, i stället för att bara inaktivera plugin som du inte använder just nu, ta bort den helt.

plugin radera

12. Minska ditt totala antal plugins

Jetpack-pluginFörutom att du bara får dina plugins från säkra källor och kända utvecklare och tar bort de plugins du inte använder, kan du också minska det totala antalet plugins du har installerat.

Och jag talar inte bara om att ta bort saker slumpmässigt och förlora bra funktionalitet.

Försök istället använda plugins som ersätter andra plugins med deras funktionalitet.

Här är ett exempel. Jetpack – ett välkänt plugin från team Automattic – kan framgångsrikt ersätta en handfull andra plugins som du kanske använder just nu. Till exempel kan några av de saker Jetpack ge dig:

  • kontaktformulär,
  • bildgallerier och karuseller,
  • sociala medieknappar,
  • mobiltema,
  • länkar till relaterade inlägg,
  • webbplatsstatistik och mer.

13. Använd en säkerhetsplugin

Wordfence-pluginlogotypSäkerhetsplugins är i princip vad namnet antyder att de är … Via olika metoder hjälper de din WordPress-blogg att förbli säker.

Detta görs ofta genom databassökningar, brandväggsskydd, kontroll av filtillstånd och en rad andra saker (låt oss inte komma in på de tekniska detaljerna).

Här är de mest populära säkerhetsplugins:

  • Sucuri Security
  • BulletProof Security
  • AntiVirus
  • Acunetix WP Security
  • Wordfence Security

Det fantastiska med dem är att de ofta arbetar med autopilot, så du behöver inte nödvändigtvis förstå vad som händer under huven.

(Observera. Det är bäst att bara använda ett av sådana plugins för att undvika programvarukonflikter.)

14. Skydda din webbplats mot våldattacker

Våldkraftsattacker är en annan typ av djur.

I grund och botten, om någon vill krassa saker på din webbplats, har de två möjliga vägar:

  • den kirurgiska attacken – där de noggrant letar efter en sårbarhet och sedan utforskar den med laserprecision,
  • attacken för brute force – där de helt enkelt försöker gissa ditt lösenord flera gånger tills de lyckas, vilket ofta betyder miljoner försök i rad.

Det bästa sättet att skydda dig mot det senare brukade vara ett plugin som heter BruteProtect. Men från augusti 2014 har BruteProtect integrerats i Jetpack (nämns ovan).

15. Använd CloudFlare

CloudFlare är en riktigt mystisk lösning för mig. Och det som är mystiskt med det är inte det faktum att det är väldigt effektivt vad det gör, utan att de flesta godisarna finns gratis.

CloudFlare

Kort sagt, CloudFlare dirigerar all trafik som kommer till din webbplats genom ett nätverk av servrar. Dessa servrar släpper bara in äkta personer som vill läsa ditt innehåll och studsar alla som är misstänkta.

16. Monitor för malware

Malware är ett paraplytermer (Wikipedia säger) som hänvisar till olika former av påträngande programvara, inklusive skadliga webbskript – det som kan attackera din WordPress-blogg.

… Jag hatar skadlig programvara. Jag har haft skadlig programvara en gång på min webbplats och det var inte kul.

Och det sorgliga är att du inte får reda på att ”du har skadlig programvara” förrän det i grund och botten är för sent och skadan har gjorts. Åh, och Google tappade redan min webbplats från rankningen vid den punkten.

Det bästa sättet att rädda dig från liknande problem är att använda en lösning som kontinuerligt skannar din WordPress-webbplats och låter dig veta när något skuggigt pågår.

Två möjligheter:

  • Sucuri (från $ 16.66 / månad).
  • CodeGuard (från $ 5 / månad).

17. Utför en temakontroll

När du funderar på att ändra ditt tema eller få ett tema för en ny webbplats börjar du med att utföra en temakontroll med det här insticksprogrammet.

temakontroll

Det kommer att informera dig om temat följer alla de senaste WordPress-standarderna och rekommenderade kodrutiner. Detta är ett bra sätt att ta reda på om utvecklarna verkligen visste vad de gjorde.

18. Blockera pingbacks och trackbacks

Att ställa (tvivelaktigt i dag) användbarheten av pingbacks åt sidan, en enda spik till deras kista är att pingbacks kan användas för DDoS-attacker. Sucuri-teamet kastade lite ljus på detta för ett tag sedan.

Överväg att inaktivera pingbacks på din webbplats. Detta kan göras i Inställningar > Diskussion. Avmarkera bara den här rutan:

pingbacks inaktiveras

Den avancerade nivån för WordPress-säkerhet

Den här avancerade nivån blir inte så detaljerad för varje säkerhetsåtgärd som listas. Jag tänkte att eftersom du redan känner dig igenom WordPress så räcker det bara med allmänna rubriker för att få dig i rätt riktning.

19. Generera nya WordPress-säkerhetsnycklar

WordPress-säkerhetsnycklar hanterar kryptering av information som lagras i användarens cookies. För att säkra saker måste nycklarna genereras slumpmässigt för varje WordPress-installation. Hitta dem i wp-config.php-filen.

WordPress-nycklar

20. Ändra ditt databasprefix

Standarddatabasprefixet för WordPress-webbplatser är “wp_”. Om du ändrar det kommer du automatiskt att göra alla SQL-injektionsattackförsök mycket svårare. Hitta detta i filen wp-config.php.

WordPress databas prefix

21. Använd .htaccess-skydd

.htaccess är en fil som kan ha en enorm inverkan på din totala webbplatssäkerhet. Använd antingen plugins eller skapa det manuellt enligt bästa praxis.

22. Inaktivera XML-RPC

XML-RPC har som standard aktiverats sedan WordPress version 3.5. Men ibland finns det några problem med det.

Även nyligen upptäcktes ett nytt XML-RPC-fel. Denna speciella gjorde det möjligt för din webbplats att attackeras med brute force.

Överväg att inaktivera XML-RPC helt om du inte använder det för något. Ta till exempel bort filen xmlrpc.php.

23. Inaktivera PHP-felrapportering

I sig själv är PHP-felrapportering ett bra felsökningsverktyg när man bygger en ny PHP-app / webbplats. Men om det är aktiverat på en live-sajt, om ett fel inträffar, visas hela servern på skärmen. Det här är en information som är ganska värdefull för hackare.

Överväg att inaktivera felrapportering.

24. Spåra vad som händer i din instrumentpanel

Detta är verkligen användbart om du har ett antal användare som arbetar i din instrumentpanel (bloggar med flera författare).

I grund och botten kan det inte skada dig att ha en praktisk logg som registrerar allt som händer i instrumentpanelen. Du kan använda WP Security Audit Log-plugin för detta.

wp säkerhetsrevisionslogg

25. Var uppmärksam på vad Google Search Console (GSC) säger till dig

(Obs. Du kanske känner till GSC med dess tidigare, mer bekanta namn – Googles verktyg för webbansvariga.)

GSC är mycket användbart när det gäller att informera dig om skadliga saker som händer med din webbplats.

När min webbplats hackades för första gången är det GSC som meddelade mig vad som hände.

Lektionen är enkel; oavsett webbplats du har / hanterar, anslut den till GSC. Det kostar ingenting och kan ge stora fördelar.

26. Läs Sucuri

Du kanske har lagt märke till att jag nämnde Sucuri och Sucuri-bloggen en handfull gånger i det här inlägget. Det är ingen olycka.

Sucuri-killarna är alltid på jakt efter nya sårbarheter, och ofta är det de som rapporterar om nya problem innan någon annan märker dem.

Vill du vara säker? Prenumerera helt enkelt på deras blogg och läsa deras rapporter.

Sucuri-blogg

27. Ta bort plugins som har rapporterats vara osäkra

Bortsett från de plugins du inte använder (beskrivs tidigare), bör du också agera snabbt när en plugin du använder rapporteras som osäker.

Naturligtvis kontrollerar säkerhetsnivån för varje plugin manuellt innan du installerar det, är utöver vad någon förnuftig person är villig att göra, men det finns genvägar.

Till exempel publicerar vissa webbplatser regelbundna rapporter som täcker de senaste WordPress-sårbarheterna, inklusive problem som finns i populära plugins. En av dessa webbplatser är nämnda Sucuri, den andra är den här.

(Bara för att motivera dig lite mer att ta detta steg; visste du att plugin-problem står för 54% av alla sårbarheter som finns på WordPress-bloggar och webbplatser?)

28. Använd SSL

SSL är en teknik som låter dig kryptera anslutningen mellan din webbserver och dina besökares webbläsare. Detta ökar säkerheten för hela upplevelsen, bara för att all data som överförs inte lätt kan läsas av tredje part.

Att aktivera SSL för din webbplats är dock inte en fem minuters handling. Först behöver du rätt webbhotell. Sedan måste du få själv SSL-certifikatet. Och slutligen måste du integrera den med din WordPress-webbplats (plugins för det; t.ex. Verve SSL eller WP Force SSL).

Hur man säkra WordPress: min slutsats

Puh! Vi har täckt mycket mark här. Jag hoppas att du kommer att använda dessa tips för att göra din WordPress-blogg säkrare … effektivt stänga dörren för hackare och skuggiga skript för skadlig programvara.

Men kanske är det något jag har missat här? Känner du till några andra sätt att säkra WordPress-webbplatser & bloggar?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map