WordPress är ett av världens största plattformar för blogg/hemsidor om inte den största – oundvikligen gör det att detta blir ett populärt mål för hackare – här går vi genom en checklista på top 10 saker du måste tänka på för att skydda din WordPress sida så gott det går.

 

1. Använd starka lösenord

Detta är nog en av de viktigaste punkterna, ditt lösenord för att logga in på WordPress är en enkel väg in för hackare om du har ett generiskt såsom “abc123” då det är väldigt lätt att gissa sig till och då många hackare använder automatiserade verktyg som testar tusentals lösenord i minuten i sk. brute-force attacker brukar dessa knäckas som en barnlek – använd gärna ord som inte finns i en ordbok eller variationer på det och försök att få med siffror och specialtecken för att vara extra säker, heter din hund Lasse så skulle ditt lösenord kunna vara “LassE_1298”

För att ändra ditt lösenord gå till “Användare -> Din profil

Tänk på att WordPress urskiljer på små och stora bokstäver – att blanda små och stora bokstäver är kanon när det kommer till lösenord

 

2. Uppdatera!

En väldigt vanlig väg in för hackare är att uttnyttja plugins/teman som har säkerhetshål – då kvittar det hur pass bra lösenord du har – de kommer in endå, dessa attacker är relativt vanliga och de flesta WordPress sidor som blir hackade är de som inte har blivit uppdaterade på väldigt länge – så se till att försöka hålla alla din plugins och teman uppdaterade men var försiktig så att du har i åtanke på kompatibiliteten – kör du tex. Woocommerce 2.6 och hoppar till Woocommerce 3.0 så kan vissa saker sluta fungera då det är en så pass stor uppdatering.

En uppdatering som du alltid borde göra oavsett är att uppdatera din WordPress version, det finns en super smidig plugin som sköter detta åt dig och även kan ställas in på att uppdatera dina plugins/teman automatiskt nämligen automatic updater

3. Begränsa antal inloggningsförsök

Som vi nämnt tidigare så använder hackare oftast automatiserade verktyg för att testa en rad olika lösenord mot din WordPress installation med brute-force attacker – förutom att såsmåningom komma in på din hemsida (om du använder svaga lösenord) så slöar det även ner din hemsida då WordPress får enormt många förfrågningar och behöver jobba på högvarv.

Detta kan lösas enkelt genom en plugin – vi rekommenderar att installera och använda WP Limit Login Attempts som blockerar användare som försöker att logga in med felaktiga uppgifter för många gånger per rad – det finns även ett inbyggt captcha stöd för att starka upp säkerheten ännu mer.

4. Använd inte “admin” som användarnamn

Som standard i WordPress (om du inte ändrar under installationen) så heter ditt administrationskonto “admin” – detta är inte bra av många anledningar, den största anledningen till att du aldrig borde ha admin som användare är att det namnet är för lätt att gissa sig till när man försöker att logga in på ens hemsida – de flesta automatiserade verktyg  (brute-force) kör med användarnamnet “admin” som standard, byt gärna till ditt namn eller smeknamn.

5. Var noga med dina källor och har bra omdöme när du laddar ner teman/plugins

Så fort du laddar ner ett tillägg/tema så läggs det på kod på din sida som oftast inte har granskats av något större säkerhetsteam utan detta är i de flesta fallen privatpersoner och ibland små företag som utvecklar detta på eget bevåg – i vissa fall kan även tillägg/teman innehålla skadlig kod och hjälpa hackare att ta sig in i din hemsida eller göra annat bus, alla tillägg/teman på wordpress.org är i stort sätt säkra ifrån sådant då de granskas och användare kan kommentera/anmäla olämpliga plugins – läs gärna vad andra användare har sagt om tilläget/temat och hur många användare det har innan du laddar ner det.

Bild på tillägget “WP Fastest cache” under “Tillägg -> Lägg till nytt” – notera antal aktiva installationer och texten senast uppdaterad – detta tyder på att det är ett populärt plugin (1548) ratings och har en stor användarbas och uppdateras regelbundet, ett säkert kort

Om du väljer att ladda ner en plugin utanför din WordPress sida eller wordpress.org så rekommenderar vi att ni verkligen granskar källan – det är vanligt med sk. warez och nulled sidor att de erbjuder premium plugins som oftast kostar pengar helt “gratis” – men det är väldigt vanligt att de lägger in skadlig kod.

 

6. Ta bort plugins som du inte använder

Vi pratade tidigare om att ouppdaterade/osäkra plugins är en av vägarna hackare kan få tillgång till din sida – i praktiken så betyder mindre plugins mindre risker och ligger mest kvar som en säkerhetsrisk, en större sådan dessutom om du inte uppdaterar dem, så ta bort alla överflödiga plugins du inte har användning av.

7. Ta backup

Detta är ett jätteviktigt steg som många överser – genom att ha en backup sparad av din hemsida så kan du enkelt återställa den efter ett ev. hack eller dylikt. Det är väldigt vanligt att när väl en hackare är inne i sidan så infekterar han ett flertals filer för att skapa ännu fler vägar in – detta kan resultera i att du får ett flertals filer med skadlig kod och dessa är oftast väldigt svåra att hitta. Så istället för att behöva bygga om mestadels v sidan och laga den så kan du ersätta/skriva över all filer med en färsk backup.

8. Installera in säkerhetsplugins

Det finns en uppsjö av säkerhetsplugins till WordPress som agerar liknande som ditt antivirus gör på datorn – det finns scanners, brandväggar, begränsingar på inloggningar m.m – ett tillägg som har i princip allt du behöver är Wordfence  vilket vi starkt rekommenderar. Om du vill ha tips på de bästa tillägen för WordPress angående säkerhet så kan du läsa vår guide Top 5 Säkerhets-plugins för WordPress

9. Sök igenom din webbsida regelbundet efter skadlig kod

Genom att söka igenom din webbsida efter skadlig kod så har du ständigt koll på om någon ny skadlig kod har kommit in i systemet genom tex. en ny plugin eller tema. Att söka genom sin wordpress installation efter skadlig kod går tyvärr inte att göra som standard – för detta behöver du ett verktyg och åter igen så rekommenderar vi Wordfence för detta då vi anser att de har den bästa  virusskannern!

10. Se till att din dator är säker

Det sista steget är att att se till att din arbetsplats där du administrerar din sida ifrån är säker – om du tex. har en keylogger eller trojan på din dator som fiskar efter användaruppgifter så kan dina WordPress inloggningsuppgifter ryka med där också.

Om du tex. sitter på ett publikt wi-fi nätverk så tänk på att risken finns att trafiken blir avlyssnad