8 tips til et mere sikkert WordPress-site

hr. mørk
/ 12 months ago / 21st November 2016

I disse år er der ikke langt mellem historierne om store hackerangreb, der har brugt dén og dén metode til at tiltvinge sig adgang til sagesløse og sikkerhedsmæssigt udfordrede websites. Faktisk blev seks ud af 10 danske virksomheder hacket i 2015. Derfor slår vi nu et slag for sikkerheden ved at se lidt nærmere på, hvad du selv kan gøre.

Hvis du bruger en billig hostingudbyder (fx Unoeuro.com eller One.com), er du overladt til dig selv hvad angår sikkerhed. En løsning kan være at hoste hos os eller andre hostingudbydere, der tager hånd om sikkerheden, men det er måske i den dyre ende til en privat blog eller lignende.

Vi giver her otte vigtige råd til, hvordan du sikrer dig i WordPress – men principperne kan naturligvis applikeres til andre platforme. Vi anbefaler dog utvetydigt, at du aldrig nedprioriterer din hosting, uanset hvilket site eller hvilken app, der er tale om.

1: Tjek dit site – ofte
WordPress er ekstremt udsat, fordi det er så populært. Derfor skal du som hovedregel tjekke dit site igennem for nye opdateringer mindst en gang om ugen. Overvej også at opsætte et sikkerhedsplugin, der automatisk giver dig besked, når noget kræver din opmærksomhed.

2: Brugernavne
Sørg for at oprette et solidt brugernavn. Rigtig mange begår fejlen at oprette brugernavnene ”admin” eller ”administrator”. Vi ser også ofte domænet som brugernavn. Det er en uskik, for kan man gætte brugernavnet, er man halvvejs inde.

3: Adgangskoder
Ud med ”1234”, ”Kæledyrets navn” eller ”Min fødselsdato”. Hav altid adgangskoder på mere end otte karakterer med tal, bogstaver og tegn. Er du til den glemsomme side, så brug eventuelt en password-manager som 1password. Så kan du let holde styr på alle dine adgangkoder og sikre, at du har forskellige koder til forskellige sites.

4: WordPress-kernen
Kernen skal altid være opdateret til seneste version, så sikkerhedshuller og andet lukkes hurtigst muligt. Husk at tage backup af både filer og database inden opdatering, så du ikke mister noget, hvis uheldet er ude.

5: Plugins
Hold altid dine plugins opdaterede og tag også her backup af filer og database, inden du opdaterer. Fjern de plugins, du ikke bruger eller har deaktiveret. Før du installerer et plugin, så gør det til en vane at google det og se, om der bliver omtalt sikkerhedsproblemer. Som eksempel kan du prøve at google ”Revolution Slider”, der var årsag til massive problemer for et par år tilbage.

6: Temaer
Hold dine WordPress-temaer opdateret og fjern de temaer, du ikke længere bruger. Husk at tage backup af både filer og database inden opdatering.

7: Sikkerhedsplugins
Som nævnt tidligere kan et sikkerhedsplugin hjælpe dig – men det betyder naturligvis ikke, at du så kan slippe bolden. Der kan stadig være fejl, der slipper uset forbi plugin’et, da udviklerne bag ofte selv skal kende til et sikkerhedshul eller malware og opdatere deres registre.

Tjek fx Wordfence og brug tid på at få det konfigureret korrekt. Deres guides er rigtig gode, hvis du har brug for hjælp.

8: Spam-comments
Når et WordPress-site bliver hacket, er det ofte for at sende spam-mails ud eller distribuere malware. Det kan være svært selv at opdage at man er blevet hacket, men bruger du fx Akismet, vil pluginet gøre dig opmærksom på, når der er fundet malware eller lignende på dit site.

 

Der er naturligvis mange flere tiltag, du kan implementere og sikre, udover disse otte tips. De er dog en rigtig god start, så nogle af de mest basale ting er på plads. Så kan du siden udbygge og forstærke din online sikkerhed med afsæt heri.

 

Til slut en podcast-anbefaling
Vil du vide endnu mere, så deler Morten Resen rigtig mange fede sikkerhedstips i sin startup-podcast – lyt til Prolog 2: Sikkerheden sejler.